OT, aber wichtig
Es geht in diesem Posting zwar um ein Off Topic, aber das Thema ist sicher für viele interessant:
Für das Online-Banking wird immer öfter das mTan-Verfahren genutzt, bei dem eine Nummer per SMS an das Handy geschickt wird. Diese Nummer gibt der Kontoinhaber dann als Einmal-Tan für eine Transaktion ein und löst damit die Überweisung aus.
Dieses Verfahren gilt als unsicher, selbst das BKA rät davon ab, wie man schnell per Google ermitteln kann.
Aus gegebenem Anlass möchte auch ich warnen: Wir haben in der Familie nun einen Fall, bei dem zwei SMS mit Einmal-Tans gesendet wurden. Es wurde kein Schaden angerichtet, da sofort ein Anruf bei der Bank erfolgte, aber die Bank hat bestätigt, daß die beiden SMS tatsächlich von der Bank kamen! Offenbar gibt es also neue Tricks und Angriffe oder es wird zumindest auf neue Art versucht, die Sicherheitssysteme auszuhebeln. Mit gängiger Antivirensoftware überprüft erwies sich übrigens der einzige für das Online-Banking genutzte PC als sauber. Das schließt nicht aus, daß es nicht einen Trojaner geben mag, der so gut programmiert ist, daß er trotz Antivirensoftware aktiv sein kann, aber das bedeutet, daß man sich als Endverbraucher und Bankkunde nicht schützen kann. Die Hardware gestützten Sicherheitssystem gelten (noch) als sicher und erscheinen deshalb vernünftiger.
Wie sagt Bülent Ceylan doch immer so schön? Uffbasse!
Gruß Michael
Beste Antwort im Thema
@Rennvan
Okay. Stell dir vor du befindest dich in einem Netzwerk, wo du mit einem Router verbunden bist.
Wenn du Online Banking machst, dürfte das im Regelfall wohl dein privates Netzwerk sein. Würdest du es bemerken, wenn sich jemand in dein WLAN hacken würde? Schwer ist das jedenfalls nicht, dafür gibt es verschiedene Varianten.
Aber nun ein Beispiel:
Dein Rechner ist jetzt mal "PC1" und der Router heißt "R1". Der Rechner vom Bösewicht heißt "PC2".
PC2 sagt R1, dass er in Wahrheit PC1 ist. Dann sagt PC2 zu PC1, dass er (also PC2) R1 ist.
Ergebnis: PC1 schickt alles zu PC2. PC2 leitet das an den Router weiter. Wenn der Router Pakete an PC1 zurückgeben will, schickt er es zunächst wieder über PC2.
PC2 kann also eingehenden und ausgehenden Traffic mitlesen. Mitlesen ist zwar schon ziemlich blöd, aber wirklich gefährlich wird es ja erst, wenn der Inhalt von den Paketen verändert wird.
Nun sitzt der Rennvan also an seinem PC1 und schreibt:
Kontoempfänger: CalleGSXF
Kontonummer: 123456
BLZ: 666666
Das schickt er auch so ab.
Das Paket mit diesen Informationen wird nun von PC2 abgefangen. Der Nutzer von PC2 verändert nun die Werte zu "seinen Gunsten" und schickt das veränderte Paket dann weiter an R1. R1 gibt die Informationen an die Bank weiter, welche daraufhin mit einer SMS (TAN) reagiert, die Rennvan zugestellt wird. Zusätzlich schickt die Bank eine neue "Seite" zu Rennvan, wo er nun die TAN eintippen muss. Außerdem steht auf der Seite nochmal zur Bestätigung, an wen die Überweisung gehen soll.
An dieser Stelle könnte der Hacker (welcher an PC2 sitzt) auffliegen. Da er aber auch die Pakete abfängt, welche der Router zum Rennvan weiterleitet, kann er nun die Werte wieder zu
Kontoempfänger: CalleGSXF
Kontonummer: 123456
BLZ: 666666
ändern. Im Endeffekt merkt Rennvan also nichts davon, dass ein Hacker gerade die komplette Überweisung manipuliert hat.
Das gleiche Prinzip funktioniert analog dazu mit Bestellungen im Internet, Chat-Kommunikationen u.v.m..
Und da sicher einer mit dem Argument "Jaaaa, aber bei einer Überweisung ist ja alles verschlüsselt!" kommt, gleich die Bemerkung: Es gibt längst Möglichkeiten für Hacker aus einem "https" ein "http" zu machen. Dann ist nix mehr verschlüsselt. Und ja, manche Banken lassen Kommunikationen ohne Verschlüsselung gar nicht mehr zu, meine Bank allerdings schon. Die ist gnadenlos durchgerasselt. Und auch wenn unverschlüsselte Verbindungen geblockt werden, kann man dem Client immer noch ein eigenes Zertifikat bzw. anderen Schlüssel unterjubeln, mit dem man dann alles in Echtzeit entschlüsseln kann.
Das ganze klingt recht kompliziert, aber tatsächlich kann man das jedem Normalsterblichen in einer Stunde beibringen.
Die Wahrscheinlichkeit, dass sowas einen trifft ist natürlich relativ gering. Aber grundsätzlich ist es möglich und vor allem ist es einfach. Und das macht die Angelegenheit so gefährlich.
Für solche Angriffe sind natürlich Zugänge zu den jeweiligen Netzwerken notwendig. Aber es gibt auch öffentliche Hotspots. Und in diesem Zuge kann ich eigentlich nur vor diesen warnen. Hotspots sind mit äußerster Vorsicht und entsprechenden Schutzmaßnahmen zu genießen. Je größer der öffentliche Hotspot ist, desto gefährlicher ist er.
PS: Das Prinzip der veränderten Daten im o.g. genannten Beispiel funktioniert übrigens auch mit eurem Trojaner.
101 Antworten
Zitat:
@cng-lpg schrieb am 12. November 2014 um 12:06:30 Uhr:
Ich habe MEHRFACH geschrieben, daß ich das mTan-System kritisch sehe und stattdessen einen Tan-Generator empfehle(*). Angesichts dessen ist Dein Posting völlig daneben. Wenn man schon austeilen möchte, sollte man erst einmal die Postings lesen, oder nicht? Und dieses "sogar von Studenten leicht zu bedienen" ist schon nicht mehr unterste Schublade, das ist schon unterm Schrank oder fast unterm Teppich.Zitat:
@Vulkanistor schrieb am 12. November 2014 um 11:41:20 Uhr:
Raiffeisenbank Köln bietet einen sicheren kostenlosen TAN-Generator an.
Den nutze ich auch, da ich noch ein Konto dort habe, obwohl ich mittlerweile 500km von dort entfernt wohne.
Ist sogar von Studenten leicht zu bedienen.
Bei aller angebrachter Vorsicht, man muss nicht alles verteufeln.Ich habe über einen Fall berichtet, damit sich jeder seine eigenen Gedanken machen kann. Ich verteufel nichts und niemanden und ich emfpinde es mindestens als frech, wenn nicht beleidigend, daß hier die Tendenz da ist, mich als Volltrottel hinzustellen. Oder meine Tochter, die klug reagiert hat. Immerhin ist es nicht unwahrscheinlich, daß die beiden SMS nicht nur meiner Tochter, sondern auch dem möglichen Dieb bekannt wurden und nur der schnelle Anruf einen Schaden verhinderte. Die Bank rückt ja nicht mit den Fakten raus.
Gruß Michael
...
@cng-lpg :
Wieso tickst Du eigentlich fast in jedem Thread kurz über lang total aus?
Wenn Deine Tochter in Köln studiert, dann wäre die Raiffeisen mit TAN-Generator eine gute und sichere Alternative zum von Dir vorgeschlagenen "Papierbelegbanking".
Aber gut, Du kannst das gerne als unterste Schublade abtun und mich am besten beim Mod melden. Ich bitte sogar sehr darum, damit ich hier nicht weiter das Niveau untergrabe und die Leute übelst angreife 🙄
PS.:
Bevor ich gesperrt werde, @CalleGSXF :
Danke für die gute Erklärung. Doch noch heute was gelernt 🙂
Zitat:
@cng-lpg schrieb am 12. November 2014 um 12:06:30 Uhr:
...Immerhin ist es nicht unwahrscheinlich, daß die beiden SMS nicht nur meiner Tochter, sondern auch dem möglichen Dieb bekannt wurden und nur der schnelle Anruf einen Schaden verhinderte. Die Bank rückt ja nicht mit den Fakten raus.
...
Ist das denn technisch möglich bei einer SMS? Also kann die 2 Empfänger haben?
Zitat:
@fate_md schrieb am 12. November 2014 um 13:09:36 Uhr:
Ist das denn technisch möglich bei einer SMS? Also kann die 2 Empfänger haben?Zitat:
@cng-lpg schrieb am 12. November 2014 um 12:06:30 Uhr:
...Immerhin ist es nicht unwahrscheinlich, daß die beiden SMS nicht nur meiner Tochter, sondern auch dem möglichen Dieb bekannt wurden und nur der schnelle Anruf einen Schaden verhinderte. Die Bank rückt ja nicht mit den Fakten raus.
...
Ja, ist es, wenn man eine Multi-Sim (T-Mobile, den Namen bei den anderen kenne ich nicht) hat und dann entsprechend den SMS-Empfang konfiguriert.
@Calle
müsste der böse PC 2 nicht aber auch die sms abfangen? Darin würden ja die tatsächlichen bösen Kontodaten stehen.
Ähnliche Themen
@shnoopix
Nicht bei allen Banken steht in der SMS, an welches Konto überwiesen wird. Wenn doch, könnte der Hacker an dieser Stelle natürlich auffliegen, sofern das Opfer die Daten an dieser Stelle nochmals prüft.
Wenn man sich Hämmorrhoidensalbe ins Gesicht schmiert, hilft das gegen Falten.
http://www.focus.de/.../...soll-auch-im-gesicht-wirken_id_3596110.html
Für die vernünftige Mehrheit hier der weitere Verlauf und die Klärung der Angelegenheit:
Meine Tochter war bei der Bank und hat zunächst auf Verlangen das zuvor von der Bank abgelöste Tan-Generator-Verfahren wieder bekommen können. Die Banken drängen die Kunden vermutlich aus Kostengründen zum Wechsel auf das in meinen Augen weniger sichere mTan-Verfahren. Meiner Tochter war vor einiger Zeit einfach mitgeteilt worden, daß die Bank umgestellt habe; daß sie optional auch weiter den Tan-Generator hätte nutzen können, erfuhr meine Tochter gar nicht erst. Meine Vermutung dazu: Wahrscheinlich kostet jede Buchung über den Tan-Generator die Bank wegen irgendwelcher Lizenzgebühren einen halben Cent mehr o. ä. - es wird jedenfalls ziemlich sicher ums Geld gehen.
Nun zu den beiden SMS: Die Bank konnte zwar nicht erklären wie das passieren konnte, aber offenbar sind die Zuordnungen der Handynummern und der Kontonummern nicht korrekt gewesen. Die Bank hat nach eigener Angabe zu zwei Überweisungsaufträgen jeweils zwei SMS an unterschiedliche Handynummern verschickt. Meine Tochter bekam also zu zwei echten Überweisungen eines anderen Kunden parallel jeweils eine SMS.
Über die Ursache des Fehlers kann man natürlich nur spekulieren, aber für mich ist damit endgültig erwiesen, daß das mTan-Verfahren nicht besonders sicher ist. Dabei ist es völlig egal, ob der Bankrechner gehackt wurde, ein Softwarefehler vorlag oder ein Eingabefehler zu einer fehlerhaften Zuordnung von Handynummern und Bankkonten führte.
Natürlich können sicherlich auch Hardware gestützte Sicherheitsverfahren wie HBCI und der Tan-Generator irgendwie ausgehebelt werden, aber das dürfte schwieriger als beim mTan-Verfahren sein. Ich wiederhole daher als Abschluß dieses Threads meinen Hinweis aus dem ersten Posting:
Zitat:
Aus gegebenem Anlass möchte auch ich warnen: ... Die Hardware gestützten Sicherheitssysteme gelten (noch) als sicher und erscheinen deshalb vernünftiger.
Wie sagt Bülent Ceylan doch immer so schön? Uffbasse!
Gruß Michael
P.S.: Meinen Dank an Calle für die ausführliche Erklärung.
Zitat:
@CalleGSXF schrieb am 12. November 2014 um 12:56:33 Uhr:
@Rennvan
Würdest du es bemerken, wenn sich jemand in dein WLAN hacken würde?
Bei mir ist der Router keinen Meter vom Rechner entfernt, also nutze ich das alte unmoderne Kabel zum Verbinden 😉 also nix wlan und so. Das ist mir ohnehin zu unsicher.
Ich nutze das jetzt seit ca. 10 Jahren so mit dem OB und hatte bisher toi toi toi noch nie irgendwelche Probleme auch keine Trojaner etc.
Ob das bisher nur Glück war, keine Ahnung. Der Rechner ist nur selten Online und dann auch nur kurz, aber Firewall und Antivir sind drauf und immer aktuell. Ich lese nicht mal Mails mit diesem Rechner.
Auf meinem Alltagsrechner hatt mein Antivir schon ab und zu einige Schadsoftware entfernt aber damit mache ich nichts wichtiges.
Ansonsten wie ich schon sagte, es gibt keine 100%ige Sicherheit. Man nur regelmäßig Kontoasuzüge checken und hoffen das alles gut geht.
@Rennvan
Du nutzt kein WLAN? Das ist sehr löblich.
Sicher bist du deswegen aber noch lange nicht. 😁 Zwar komme ich nicht mit meinem Rechner in dein Netzwerk, trotzdem kann ich dich aber - mit ein bisschen Glück - per Social Engineering dran kriegen.
Beispielsweise indem ich dich dazu verleite, eine Datei herunterzuladen.
Dazu kann ich eine normale Phishing-Mail verwenden. Wenn diese gut ist, geht sie an jedem Antiviren- und E-Mail-Programm vorbei.
Gut getarnt mit einem Fake, sieht der Absender erstmal so aus, wie deine Bank.
Heißt also, dass ich optisch aus xyz123@gmx.de auch abc345@web.de machen kann. Auffliegen tut das ziemlich schnell. Sobald das Opfer auf "Antworten" bei der Mail klickt, wird ihm wieder xyz123@gmx.de angezeigt. Damit das nicht passiert, schreibe ich einfach runter:
"Automatisierte Nachricht: Bitte nicht antworten!" oder so ähnlich.
Wenn das Opfer in den Quelltext der Nachricht guckt, dann ist er/sie einfach zu clever und der Täter hat Pech. 😁
Nun aber zum Inhalt der Mail:
Entweder versuche ich, dass du direkt eine .exe-Datei herunterlädst oder ich packe diese in eine .zip-Datei. Für den Download der Datei habe ich kurzfristig eine Webseite erstellt, die exakt so ausschaut, wie die von deiner Bank. Eine sogenannte Phishing-Seite.
Sagen wir mal beispielhaft, du bist Kunde bei dem fiktiven Berliner Gelinstitut.
Die wahre Internetadresse ist in dem Fall www.berliner-geldins*****.de (habs mal zensiert). Ich lege mir nun die Internetadresse www.beriiner-geldins*****.de an.
Ich leite dich nun per Download-Link in der Mail auf http://www.beriiner-geldins*****.de/securityfeature.zip/ , damit du dort die Datei herunterlädst.
Vielleicht hast du es schon bemerkt, aber die Internetadressen sind sich verdammt ähnlich, oder?
Nun bin ich aber richtig fies und füge den Link verändert ein. Jeder kennt ja sicher dieses unterstrichene "Klick!", wo sich dahinter dann ein Link verbirgt.
Anstatt von "Klick!" schreibe ich aber nun in die Link-Bezeichnung: "http://www.berliner-geldins*****.de/securityfeature.zip/"
Das sieht jetzt so aus, als hätte ich den Link einfach unformatiert und ohne Bezeichnung eingefügt. Tatsächlich habe ich aber genau das getan und hinter der Bezeichnung verbirgt sich in Wahrheit "http://www.beriiner-geldins*****.de/securityfeature.zip/".
Mit dieser Methode versuche ich zu vermeiden, dass der User seine Maus nur über den Link hält (nicht klickt) und zeitgleich unten links/rechts in der Ecke schaut, wo die Verlinkung eigentlich hinführt.
Das Opfer klickt den Link aber an. Es öffnet sich Firefox/Chrome/Internet Explorer whatever. An dieser Stelle kann der Täter auffliegen, denn oben in der Adressleiste steht ja nun "http://www.beriiner-geldins*****/securityfeature.zip" drin. Jedoch wird das Opfer ja sofort abgelenkt durch das Download-Fenster für die schädliche Datei.
Unser Opfer fühlt sich ja zusätzlich auch sicher, weil die "echte" Mail-Adresse im Mail-Programm drin stand und die Verlinkung ja auf die Internetseite der Bank gezeigt hat.
Die Wahrscheinlichkeit ist also hoch, dass das Opfer die Datei runterlädt und die .exe-Datei ausführt, welche ein Trojaner ist. Der Trojaner macht dann Ähnliches, was ich bereits im vorherigen Posting beschrieben habe.
Es gibt also verschiedene Varianten sich Zugänge zu etwas zu verschaffen. Dies kann man rein technisch machen oder mit dem o.g. Social Engineering. Die hier beschriebenen Szenarien sind mittlerweile uralt, werden in Hunderte von Vorträgen vorgestellt und leider auch praktiziert. Ist also kein Geheimnis - die Allgemeinheit wird nur völlig unzureichend aufgeklärt.
Dass das äußerst strafbar ist, muss ich an dieser Stelle nicht explizit erwähnen, oder? Wenn jemand damit erwischt wird, landet er schneller im Knast, als es ihm lieb ist. Ohne Computer.
Jetzt wissen wir mit wem wir es uns nicht verscherzen dürfen. 😉 Du lieber Rotzbengel, duuuuuu 😁.
Viele lesen ihre Emails auch nicht gscheit. Vor nicht allzu langer Zeit war ne Mail im Umlauf: Sie haben eingekauft und Betrag X nicht bezahlt. Gehen Sie auf den Link, sonst Anwalt .... blablablub.
Geschrieben war das ganze in fehlerhaften deutsch.
Sehr viele haben sich mit dem Link ihren PC ruiniert. 🙁
Zitat:
@CalleGSXF schrieb am 12. November 2014 um 18:50:56 Uhr:
Vielleicht hast du es schon bemerkt, aber die Internetadressen sind sich verdammt ähnlich, oder?
Es gibt übrigens Fälle, wo verschiedene Zeichen optisch nicht zu unterscheiden sind, egal wie gut man hinschaut, man bräuchte einen ASII Analysator.
Es gibt z.B. ein russisches 'a', welches genauso ausschaut, aber einen anderen Code darstellt.
Welches ist das Richtige?
?aEs handelt sich um zwei optisch nicht zu unterscheidende Zeichen, die aber für den Rechner eine vollständig andere Bedeutung haben!
Dieser Trick ist aber auch schon ururalt.
Da war der Calle noch in der Grundschule, als die Leute damit abgezockt wurden.
Wenn einem der PC manipuliert wurde, dann hilft es nicht einmal, aktiv auf Seiten zu gehen, die einem Security Software anbieten, weil man längst nicht mehr sieht, was man tut.
Letztendlich kann man nie zu 100% sicher sein, daß sein Rechner nicht infiltriert wurde.
Die OS sind längst so kompliziert geworden, daß man den Durchblick verliert.
Ausgerechnet die Sicherheitsoptionen, z.B. von Microsoft, verhindern, daß man da noch durchschaut.
Es gab mal in Windows 2000 eine Sicherheitslücke. Wenn man sich von Betriebssystem direkt und ohne Router ins Internet eingeloggt hat, dann bekam man, ohne selber aktiv zu werden, Schadsoftware untergejubelt.
Irgendwann zwischen dem dritten und vierten Servicepack wurde diese Lücke dann gechlossen.
Mit SP4 ist diese spezielle Gefahr also nicht mehr vorhanden.
Aber wenn man aufmerksam war, dann entdeckte man verdächtige Dateien in Windowsverzeichnis.
Heute kann man alles Schädliche viel besser verstecken.
P.S.:
Ich merke, MT hat das Securitypatch bereits eingespielt! 😁
Bis zur Vorschau funktioniert das Zeichen, aber abgeschickt, wird es in ein Fragezeichen verwandelt.
@CalleGSXF
Mit diesen kannst du aber bestenfalls Grundschüler überlisten. 😉
Aber man sollte nicht glauben, wie viel Leute mit 18 < Alter > 95 die Grundschule noch nicht beendet haben. 😁
Zitat:
@TDIBIKER schrieb am 11. November 2014 um 18:38:30 Uhr:
Edith: Warum hat der Muhman im anderen Fred eigentlich 5 mal dasselbe gepostet...😁
Mit der entsprechenden Technik hätte der dann auch seinen neuen Reifen 5 mal bezahlt?
Hätte er sicher nicht.
Zwischen einem mehr oder minder belanglosem Forum und Onlinebanking liegen doch noch ein paar kleine Unterschiede.
Ob TAN-Generator, SMS-TAN oder TAN-Liste ist doch im Endeffekt egal. Wie Pascal richtig beschrieben hat, sieht man nicht ohne weiteres, wenn sich jemand in die Verbindung zwischen PC und Bank einhackt. Ob man da nun ne Tan vom Handy, TAN-Generator oder ner Liste eintippt, ist doch egal. Das Ergebnis ist das gleiche.
Die SMS-TAN halte ich ehrlich gesagt für sicherer als Liste oder Generator. Zum Einen, weil ich mitbekomme, wenn jemand ohne mein Wissen versucht, ne Überweisung zu tätigen, zum Anderen, weil bei meiner Bank in der SMS steht, welcher Betrag an welches Handy geht. Bei dem von Pascal beschriebenen Verfahren hätte ich bei nem anderen Verfahren keine Chance.
Wie sich das bei HBCI verhält, weiß ich nicht.
Schwachstelle an der SMS-TAN ist in meinen Augen nur, wenn auch das Handy in irgendeiner Art und Weise manipuliert wäre.
Dass aber zwei Systeme manipuliert sind, halte ich für unwahrscheinlich. Allerdings wird das durch Smartphones, die über Clouds und ähnliches mit dem PC verknüpft sind, vermutlich auch immer wahrscheinlicher.
@cng-lpg: Wenn die Bank sich querstellt, hätte ich das ganze als Betrugsversuch oder sowas bei der Polizei angezeigt.
Ähm Calle. Deine Phishing Mail wird da aber nichts bringen, wenn Du richtig lesen würdest: Ich lese mit diesem Rechner KEINE Mails, ich mache ausschließlich OB damit. Und auf dem anderem Rechner wird diese Mail wohl nix bringen.
Im übrigen schickt mir meine Banke keine Mails mit irgendwelchen links etc. Links in Mails werden ignoriert, jedenfalls wenns was mit Banking zu tun hatt.
Richtig, die Bank würde keine Mails schicken.
Scheint bei dir aber wirklich schwierig zu sein. 😁