OT, aber wichtig
Es geht in diesem Posting zwar um ein Off Topic, aber das Thema ist sicher für viele interessant:
Für das Online-Banking wird immer öfter das mTan-Verfahren genutzt, bei dem eine Nummer per SMS an das Handy geschickt wird. Diese Nummer gibt der Kontoinhaber dann als Einmal-Tan für eine Transaktion ein und löst damit die Überweisung aus.
Dieses Verfahren gilt als unsicher, selbst das BKA rät davon ab, wie man schnell per Google ermitteln kann.
Aus gegebenem Anlass möchte auch ich warnen: Wir haben in der Familie nun einen Fall, bei dem zwei SMS mit Einmal-Tans gesendet wurden. Es wurde kein Schaden angerichtet, da sofort ein Anruf bei der Bank erfolgte, aber die Bank hat bestätigt, daß die beiden SMS tatsächlich von der Bank kamen! Offenbar gibt es also neue Tricks und Angriffe oder es wird zumindest auf neue Art versucht, die Sicherheitssysteme auszuhebeln. Mit gängiger Antivirensoftware überprüft erwies sich übrigens der einzige für das Online-Banking genutzte PC als sauber. Das schließt nicht aus, daß es nicht einen Trojaner geben mag, der so gut programmiert ist, daß er trotz Antivirensoftware aktiv sein kann, aber das bedeutet, daß man sich als Endverbraucher und Bankkunde nicht schützen kann. Die Hardware gestützten Sicherheitssystem gelten (noch) als sicher und erscheinen deshalb vernünftiger.
Wie sagt Bülent Ceylan doch immer so schön? Uffbasse!
Gruß Michael
Beste Antwort im Thema
@Rennvan
Okay. Stell dir vor du befindest dich in einem Netzwerk, wo du mit einem Router verbunden bist.
Wenn du Online Banking machst, dürfte das im Regelfall wohl dein privates Netzwerk sein. Würdest du es bemerken, wenn sich jemand in dein WLAN hacken würde? Schwer ist das jedenfalls nicht, dafür gibt es verschiedene Varianten.
Aber nun ein Beispiel:
Dein Rechner ist jetzt mal "PC1" und der Router heißt "R1". Der Rechner vom Bösewicht heißt "PC2".
PC2 sagt R1, dass er in Wahrheit PC1 ist. Dann sagt PC2 zu PC1, dass er (also PC2) R1 ist.
Ergebnis: PC1 schickt alles zu PC2. PC2 leitet das an den Router weiter. Wenn der Router Pakete an PC1 zurückgeben will, schickt er es zunächst wieder über PC2.
PC2 kann also eingehenden und ausgehenden Traffic mitlesen. Mitlesen ist zwar schon ziemlich blöd, aber wirklich gefährlich wird es ja erst, wenn der Inhalt von den Paketen verändert wird.
Nun sitzt der Rennvan also an seinem PC1 und schreibt:
Kontoempfänger: CalleGSXF
Kontonummer: 123456
BLZ: 666666
Das schickt er auch so ab.
Das Paket mit diesen Informationen wird nun von PC2 abgefangen. Der Nutzer von PC2 verändert nun die Werte zu "seinen Gunsten" und schickt das veränderte Paket dann weiter an R1. R1 gibt die Informationen an die Bank weiter, welche daraufhin mit einer SMS (TAN) reagiert, die Rennvan zugestellt wird. Zusätzlich schickt die Bank eine neue "Seite" zu Rennvan, wo er nun die TAN eintippen muss. Außerdem steht auf der Seite nochmal zur Bestätigung, an wen die Überweisung gehen soll.
An dieser Stelle könnte der Hacker (welcher an PC2 sitzt) auffliegen. Da er aber auch die Pakete abfängt, welche der Router zum Rennvan weiterleitet, kann er nun die Werte wieder zu
Kontoempfänger: CalleGSXF
Kontonummer: 123456
BLZ: 666666
ändern. Im Endeffekt merkt Rennvan also nichts davon, dass ein Hacker gerade die komplette Überweisung manipuliert hat.
Das gleiche Prinzip funktioniert analog dazu mit Bestellungen im Internet, Chat-Kommunikationen u.v.m..
Und da sicher einer mit dem Argument "Jaaaa, aber bei einer Überweisung ist ja alles verschlüsselt!" kommt, gleich die Bemerkung: Es gibt längst Möglichkeiten für Hacker aus einem "https" ein "http" zu machen. Dann ist nix mehr verschlüsselt. Und ja, manche Banken lassen Kommunikationen ohne Verschlüsselung gar nicht mehr zu, meine Bank allerdings schon. Die ist gnadenlos durchgerasselt. Und auch wenn unverschlüsselte Verbindungen geblockt werden, kann man dem Client immer noch ein eigenes Zertifikat bzw. anderen Schlüssel unterjubeln, mit dem man dann alles in Echtzeit entschlüsseln kann.
Das ganze klingt recht kompliziert, aber tatsächlich kann man das jedem Normalsterblichen in einer Stunde beibringen.
Die Wahrscheinlichkeit, dass sowas einen trifft ist natürlich relativ gering. Aber grundsätzlich ist es möglich und vor allem ist es einfach. Und das macht die Angelegenheit so gefährlich.
Für solche Angriffe sind natürlich Zugänge zu den jeweiligen Netzwerken notwendig. Aber es gibt auch öffentliche Hotspots. Und in diesem Zuge kann ich eigentlich nur vor diesen warnen. Hotspots sind mit äußerster Vorsicht und entsprechenden Schutzmaßnahmen zu genießen. Je größer der öffentliche Hotspot ist, desto gefährlicher ist er.
PS: Das Prinzip der veränderten Daten im o.g. genannten Beispiel funktioniert übrigens auch mit eurem Trojaner.
101 Antworten
Zitat:
@cng-lpg schrieb am 11. November 2014 um 16:21:00 Uhr:
Du wirst lachen, aber der liegt bei meiner Tochter im Schrank. Die Bank hat vor einiger Zeit das System umgestellt, das war keine Entscheidung meiner Tochter. Angeblich sollte das mTan-Verfahren ja wegen der zwei Wege sicher oder sogar sicherer sein: Das Banking erfolgt über den PC, die Tan-Bestätigung über das Handy.Zitat:
@Nette Hexe schrieb am 11. November 2014 um 15:38:21 Uhr:
Habt ihr keinen Tan- Generator für's Onlinebanking oder wieso lasst ihr euch die Tan per SMS senden?Gruß Michael
Ebend.
Die Bank trifft die Entscheidung, Du hast die Wahl zwischen mitmachen oder mitmachen.
Meine Bank hat mir jetzt mitgeteilt, dass Telephonate mit meiner Filiale nunmehr kostenpflichtig sind...
entweder bezahle ich, oder ich bekomme keine Auskünfte mehr, oder ich versuche eine Bank zu finden, die das noch anders handhabt...was gar nicht so leicht ist.
Edith: Warum hat der Muhman im anderen Fred eigentlich 5 mal dasselbe gepostet...😁
Mit der entsprechenden Technik hätte der dann auch seinen neuen Reifen 5 mal bezahlt?
Zitat:
@cng-lpg schrieb am 11. November 2014 um 15:13:45 Uhr:
Nein, das Handy wurde nicht verloren. Aber ich wette, daß es in der Generation durchaus mal "ausgeliehen" werden kann. Passiert ist das meiner Tochter, die ja ganz vernünftig reagiert hat und sofort bei der Bank anrief, als die beiden SMS eingingen.Seitens der Bank wurde heute mir gegenüber bestätigt, daß die beiden SMS tatsächlich von der Bank kamen. Mehr sei aber nicht geschehen. Eine vernünftige Erklärung wurde dafür aber nicht gegeben, außer der 08/15-Anschuldigung, meine Tochter müsse wohl einen Trojaner auf dem Rechner gehabt haben. Man müsse halt ab und an seine Antivirensoftware updaten und gelegentlich mal einen Scan durchführen... - der Scanner datet sich dutzende Male pro Tag automatisch up und überwacht das System ständig. Ohne Alarm zu geben. Der zur Sicherheit durchgeführte Scan brachte auch keinen Trojaner oder andere Schadsoftware.
Ich kann mir gut vorstellen, daß sogar versucht wurde, Geld in nennenswerter Höhe abzubuchen, daß das aber vom System der Bank erkannt oder manuall unterbunden wurde. In den SMS waren zwar nur Kleinbeträge genannt, aber bei einem für mich als Laien vorstellbaren Szenario lässt sich ggf. auch diese Information beeinflussen.
Genau da liegt aber das Problem: Welcher Endverbraucher kann schon beurteilen, was da inzwischen möglich ist und wie die Gauner arbeiten? Sicher ist im Augenblick daher nur eines: Dem mTan-Verfahren kann man nicht trauen, wenn einem von der Bank (!) Nummern per SMS zu nicht selbst in Auftrag gegebenen Überweisungen gesendet werden können, wie gestern passiert.
Gruß Michael
Was für ein Schwachsinn...
Offensichtlich war nicht das Handy das Problem sondern vermutlich irgendeine Schadsoftware auf dem PC mit der die PIN geknackt wurde (oder eine Phishing Mail) und jemand versucht hat eine Überweisung auszulösen, wie dir ja auch die Bank mitgeteilt hat. Und das TAN System hat genau das getan, was es soll oder wieviel Geld wurde von dem Konto abgebucht?
btw: In der Regel haftet die Bank, wenn eine Überweisung ausgeführt wird, die du nicht durch grob fahrlässiges Handeln verschuldet hast...
Geht doch einfach in ein Geschäft und bezahlt in BAR.
Da kommt ihr auch mal aus euren vier Wänden raus.
Zitat:
@T0E schrieb am 11. November 2014 um 18:49:58 Uhr:
Was für ein Schwachsinn...Offensichtlich war nicht das Handy das Problem sondern vermutlich irgendeine Schadsoftware auf dem PC mit der die PIN geknackt wurde (oder eine Phishing Mail) und jemand versucht hat eine Überweisung auszulösen, wie dir ja auch die Bank mitgeteilt hat. Und das TAN System hat genau das getan, was es soll oder wieviel Geld wurde von dem Konto abgebucht?
btw: In der Regel haftet die Bank, wenn eine Überweisung ausgeführt wird, die du nicht durch grob fahrlässiges Handeln verschuldet hast...
Für einen Neuling nimmst Du den Mund aber ganz schön voll! Oder bist Du nur ein Zweit- oder Drittaccount von einem der vielen Trolle hier?
Ich finde es einen ganz schönen Schwachsinn, daß es laut der Bank keinen Überweisungsversuch gegeben habe, aber die SMS-Tans tatsächlich von der Bank verschickt wurden. Das ist bereits ein Widerspruch und Beleg dafür, daß das System nicht sicher ist. Der Vorwurf, man habe einen Trojaner ist genau so ein Blödsinn, da es ja keinen Überweisungsversuch gegeben haben soll.
In Sachen Trojaner ist Deine Hetze ohnehin nur ein hirnloses Nachgeplapper des Unsinns, den die Banken aus reinem Eigeninteresse von sich geben: Wie soll sich ein Laie denn schützen, wenn nicht einmal die gängige Software hilft? Wie kann man nur so dumm argumentieren! Ach nein, argumentieren kann man solch substanzlose Ergüsse ja nicht nennen...
Bliebe die Haftung der Bank: Jeder aufmerksame Leser weiß seit der zweiten Antwort, daß die Bank sogar in einem Falle ohne Schaden nicht mit der vollen Wahrheit rausrückt. Aber wenn ein Schaden entstanden ist, wird die Bank natüüüüüüüürlich alle Belege liefern, damit der Kunde der Bank beweisen kann, daß er eben nicht grob fahrlässig gehandelt hat?!? Da fällt mir der Atze Schröder ein: "Ja, neee, is' klaaa!"
Also, lieber TOE, geh woanders pöbeln, äh, spielen.
Ähnliche Themen
Zitat:
@adi1204 schrieb am 11. November 2014 um 19:08:13 Uhr:
Geht doch einfach in ein Geschäft und bezahlt in BAR.
Da kommt ihr auch mal aus euren vier Wänden raus.
Jeder, der einen Haushalt hat weiß genau, daß man Monat für Monat jede Menge Überweisungen zu machen hat - oder rennst Du mit einer Handvoll Kleingeld zur Telekom, um Deine Telefonrechnung zu bezahlen? *
lach*
Bankfilialen sind hier auf dem Lande außerdem rar - und meist geschlossen. Beispiel gefällig? Die Sparkasse im Nachbarort hat 2 Stunden geöffnet. Pro Woche! Eine Stunde am Montag Vormittag und eine Stunde am Donnerstag Nachmittag. Ist natürlich auch keine feste Filiale, sondern so ein besseres Wohnmobil. Man kann also vieles mit Bargeld machen, aber ohne das Online-Banking geht es in unserer Gesellschaft in aller Regel nicht mehr.
Gruß Michael
Aber wer zahlt denn die Telekom noch erst nach erhalt der Rechnung?
Was monatlich zu zahlen ist, lass ich abbuchen.
So sieht's aus.
Das wird alles abgebucht.
Vieles geht auch per Dauerauftrag zu machen. Einmal eingerichtet und fertig.
Online bezahle ich nur, wenn ich im Netz was bestelle.
Dafür gibts Kreditkarten. Geht wesentlich schneller.
Zitat:
@Nette Hexe schrieb am 11. November 2014 um 20:37:24 Uhr:
Aber wer zahlt denn die Telekom noch erst nach erhalt der Rechnung?
Was monatlich zu zahlen ist, lass ich abbuchen.
Ja ja, blödes Beispiel, das gebe ich zu!
Ich lasse das selber abbuchen...
Aber ohne Online-Banking auszukommen ist schwer, besonders wenn man nicht in der Großstadt wohnt.
Gruß Michael
Bei uns auf dem Land gibts in den Banken bzw. Automatenvorräumen Briefkästen für Überweisungen.
Dort schmeißt man einfach die Überweisungsträger ein und die dann meist am nächsten Tag überwiesen.
Ich nutze gar kein Online-Banking (PayPal mal ausgenommen) und werds wohl auch so schnell nicht nutzen
Zitat:
@cng-lpg schrieb am 11. November 2014 um 19:57:34 Uhr:
Für einen Neuling nimmst Du den Mund aber ganz schön voll! Oder bist Du nur ein Zweit- oder Drittaccount von einem der vielen Trolle hier?Zitat:
@T0E schrieb am 11. November 2014 um 18:49:58 Uhr:
Was für ein Schwachsinn...Offensichtlich war nicht das Handy das Problem sondern vermutlich irgendeine Schadsoftware auf dem PC mit der die PIN geknackt wurde (oder eine Phishing Mail) und jemand versucht hat eine Überweisung auszulösen, wie dir ja auch die Bank mitgeteilt hat. Und das TAN System hat genau das getan, was es soll oder wieviel Geld wurde von dem Konto abgebucht?
btw: In der Regel haftet die Bank, wenn eine Überweisung ausgeführt wird, die du nicht durch grob fahrlässiges Handeln verschuldet hast...
Ich finde es einen ganz schönen Schwachsinn, daß es laut der Bank keinen Überweisungsversuch gegeben habe, aber die SMS-Tans tatsächlich von der Bank verschickt wurden. Das ist bereits ein Widerspruch und Beleg dafür, daß das System nicht sicher ist. Der Vorwurf, man habe einen Trojaner ist genau so ein Blödsinn, da es ja keinen Überweisungsversuch gegeben haben soll.
In Sachen Trojaner ist Deine Hetze ohnehin nur ein hirnloses Nachgeplapper des Unsinns, den die Banken aus reinem Eigeninteresse von sich geben: Wie soll sich ein Laie denn schützen, wenn nicht einmal die gängige Software hilft? Wie kann man nur so dumm argumentieren! Ach nein, argumentieren kann man solch substanzlose Ergüsse ja nicht nennen...
Bliebe die Haftung der Bank: Jeder aufmerksame Leser weiß seit der zweiten Antwort, daß die Bank sogar in einem Falle ohne Schaden nicht mit der vollen Wahrheit rausrückt. Aber wenn ein Schaden entstanden ist, wird die Bank natüüüüüüüürlich alle Belege liefern, damit der Kunde der Bank beweisen kann, daß er eben nicht grob fahrlässig gehandelt hat?!? Da fällt mir der Atze Schröder ein: "Ja, neee, is' klaaa!"
Also, lieber TOE, geh woanders
pöbeln, äh, spielen.
Man kann sich eben nicht 100% vor Trojanern u.ä. schützen und genau deshalb gibt es zusätzlich zu der PIN das TAN-System (dass getrennt von deinem PC ist). Und es hat offensichtlich funktioniert.
Aber ok, ich werde das hier nicht weiter mit dir diskutieren, da du geistig offensichtlich nicht in der Lage dazu bist. Alle anderen außer dir (die Bank, ich, alles was du nicht verstehst) sind alle nur dumm/böse und reden Müll und du hast voll den Plan wovon du redest...
Ich bin dann mal raus. Du kannst dich nun in Ruhe ohne meine Kommentare hier zum Affen machen, ich schaue hier nicht mehr rein...
Ich habe für das Online Banking nen älteren Lappi und der wird ausschließlich für´s Online Banking genutzt. So kann man die Chancen sicherlich auch beschränken sich was einzufangen. Und ich nutze den Tan Generator.
Für alles andere nutze ich den PC.
Wer nicht mit der Zeit geht, der geht mit der Zeit.
Wird solch ein SMS-TAN-Verfahren verwendet, wird der Nutzer wohl auch über eine entsprechende App verfügen, mit der zu jeder Zeit das Konto überprüft werden kann. Wer hier aufpasst und nicht pennt, dem geschieht nichts.
Auch die Fernbedienung für das Auto kann "abgezapft" werden. Soll ich nun nur noch die Türen mechanisch öffnen und schließen?
Lassen sich aus den Infos aus der SMS keine Rückschlüsse ziehen? Bei mir wird immer Konto-Nr., Zeitpunkt, Betrag mit übermittelt. Anhand dessen sollte eine Bank doch Nachforschungen anstellen können, wer da was versucht hat bzw. wie. Ich meine, sonst wird doch alles mitgeloggt und ausgerechnet eine Bank kann nicht feststellen, dass jemand auf ein Konto zugegriffen hat? O_o
Vielleicht gabs ja auchn Übertragungsfehler ala Doppelklick = 2 Posts.
Wo ist das Problem? Der Sicherheitsmechanismus hat doch funktioniert.
Logisch gibt es nur drei Möglichkeiten:
1) Wer auch immer hat sich Zugang zum Konto verschafft, in dem er sich die Pin verschafft hat, und hat versucht eine Überweisung auszuführen. Die TAN ist an die richtige Rufnummer gegangen, somit hat alles so funktioniert wie es sein soll.
2) Person A hat zulässig auf ihr Konto zugegriffen und versucht eine Überweisung auszuführen, der Bankrechner hat - warum auch immer - die TAN´s an Person B verschickt. Was ist nun passiert? Nichts. Person A muss zusehen an eine gültige Tan zu kommen und Person B löscht die SMS mit der TAN, da sie sie nicht verwenden kann.
3) Es hat sich niemand Zugang verschafft und auch niemand berechtigt aus sein Konto zugegriffen, dann hat lediglich der Bankrechner aus welchem Grund auch immer 2 unangeforderte TAN´s verschickt, und nun?
TOE liegt IMHO gar nicht so falsch.
Zitat:
@T0E schrieb am 11. November 2014 um 23:08:01 Uhr:
Man kann sich eben nicht 100% vor Trojanern u.ä. schützen und genau deshalb gibt es zusätzlich zu der PIN das TAN-System (dass getrennt von deinem PC ist). Und es hat offensichtlich funktioniert.
Ich weiß nicht, ob Du zu dumm bist, nur provozieren willst oder Antworten gibst, ohne die Postings überhaupt gelesen zu haben. Es hat ganz sicher NICHT funktioniert. Die Bank bzw. der mehrfach kontaktierte Sachbearbeiter gibt Dinge an, die nicht möglich sind oder besser nicht möglich sein sollen, d. h. salopp gesagt hat die Bank damit selbst bestätigt, daß das System nicht zuverlässig funktioniert. Angeblich soll es keinen fremden Zugriff gegeben haben. Dennoch wurde bestätigt, daß die beiden SMS vom Bankrechner verschickt worden seien. Da stellt sich doch die Frage, warum diese beiden SMS versendet wurden?
Zitat:
@T0E schrieb am 11. November 2014 um 23:08:01 Uhr:
Aber ok, ich werde das hier nicht weiter mit dir diskutieren, da du geistig offensichtlich nicht in der Lage dazu bist. Alle anderen außer dir (die Bank, ich, alles was du nicht verstehst) sind alle nur dumm/böse und reden Müll und du hast voll den Plan wovon du redest...
Dumm/böse, reden Müll? Das sehe ich hier nur bei einem: Bei Dir. Fakt ist, seitens der Bank wurde ein eigentlich unmöglicher Fall beschrieben und als "ist doch nicht schlimm, ist ja nichts passsiert" abgetan. Das finde ich unverschämt, genau wie die nachgeschobene Rücknahme voriger Angaben zugunsten des Vorwurfs, man habe sich als Kunde falsch verhalten. Es ist sehr wahrscheinlich, daß seitens der Bank Dinge verschwiegen werden, denn das, was die Bank behauptet ist mindestens widersprüchlich bis vollkommen unglaubwürdig. Im Grunde hat sich der Bankmensch auch nur verplappert, denn anfänglich wurde ja alles geleugnet, d. h. anfänglich sollte es nicht nur keinen Zugriff auf das Konto gegeben haben, sondern auch keine SMS verschickt worden sein. Daß die beiden SMS echt waren, also vom Bankrechner verschickt wurden, hat der Mann offensichtlich versehentlich bestätigt. Die Bank versucht also etwas zu vertuschen. Weil alles völlig richtig gelaufen ist? Mann, Kerl, wo lässt Du denn denken? Geh mal woanders hin, bei Deinem jetzigen Service klappt das nicht so gut!
Zitat:
@T0E schrieb am 11. November 2014 um 23:08:01 Uhr:
Ich bin dann mal raus. Du kannst dich nun in Ruhe ohne meine Kommentare hier zum Affen machen, ich schaue hier nicht mehr rein...
Ich sehe das so: Diese Geschichte ist ein Beleg dafür, daß seitens der Banken bereits bei Fällen ohne Schaden nicht mit offenen Karten gespielt wird. Daß es in Fällen mit Schaden sicher nicht besser gehen wird, sollte klar sein. Das birgt das große Risiko für den Kunden, im Falle eines Falles auf dem Schaden sitzen zu bleiben. Das mTan-System ist offensichtlich angreifbar und den Hardware gestützten Sicherheitssystemen in der Sicherheit unterlegen, wenn man den Informationen glauben darf, die man zu diesem Thema finden kann. Welche Konsequenzen man daraus zieht, muß jeder selber entscheiden. Dieser Thread soll nur als Denkanstoß dienen. Was die meisten wohl verstanden haben. Bis auf TOE.
Gruß Michael