OT, aber wichtig
Es geht in diesem Posting zwar um ein Off Topic, aber das Thema ist sicher für viele interessant:
Für das Online-Banking wird immer öfter das mTan-Verfahren genutzt, bei dem eine Nummer per SMS an das Handy geschickt wird. Diese Nummer gibt der Kontoinhaber dann als Einmal-Tan für eine Transaktion ein und löst damit die Überweisung aus.
Dieses Verfahren gilt als unsicher, selbst das BKA rät davon ab, wie man schnell per Google ermitteln kann.
Aus gegebenem Anlass möchte auch ich warnen: Wir haben in der Familie nun einen Fall, bei dem zwei SMS mit Einmal-Tans gesendet wurden. Es wurde kein Schaden angerichtet, da sofort ein Anruf bei der Bank erfolgte, aber die Bank hat bestätigt, daß die beiden SMS tatsächlich von der Bank kamen! Offenbar gibt es also neue Tricks und Angriffe oder es wird zumindest auf neue Art versucht, die Sicherheitssysteme auszuhebeln. Mit gängiger Antivirensoftware überprüft erwies sich übrigens der einzige für das Online-Banking genutzte PC als sauber. Das schließt nicht aus, daß es nicht einen Trojaner geben mag, der so gut programmiert ist, daß er trotz Antivirensoftware aktiv sein kann, aber das bedeutet, daß man sich als Endverbraucher und Bankkunde nicht schützen kann. Die Hardware gestützten Sicherheitssystem gelten (noch) als sicher und erscheinen deshalb vernünftiger.
Wie sagt Bülent Ceylan doch immer so schön? Uffbasse!
Gruß Michael
Beste Antwort im Thema
@Rennvan
Okay. Stell dir vor du befindest dich in einem Netzwerk, wo du mit einem Router verbunden bist.
Wenn du Online Banking machst, dürfte das im Regelfall wohl dein privates Netzwerk sein. Würdest du es bemerken, wenn sich jemand in dein WLAN hacken würde? Schwer ist das jedenfalls nicht, dafür gibt es verschiedene Varianten.
Aber nun ein Beispiel:
Dein Rechner ist jetzt mal "PC1" und der Router heißt "R1". Der Rechner vom Bösewicht heißt "PC2".
PC2 sagt R1, dass er in Wahrheit PC1 ist. Dann sagt PC2 zu PC1, dass er (also PC2) R1 ist.
Ergebnis: PC1 schickt alles zu PC2. PC2 leitet das an den Router weiter. Wenn der Router Pakete an PC1 zurückgeben will, schickt er es zunächst wieder über PC2.
PC2 kann also eingehenden und ausgehenden Traffic mitlesen. Mitlesen ist zwar schon ziemlich blöd, aber wirklich gefährlich wird es ja erst, wenn der Inhalt von den Paketen verändert wird.
Nun sitzt der Rennvan also an seinem PC1 und schreibt:
Kontoempfänger: CalleGSXF
Kontonummer: 123456
BLZ: 666666
Das schickt er auch so ab.
Das Paket mit diesen Informationen wird nun von PC2 abgefangen. Der Nutzer von PC2 verändert nun die Werte zu "seinen Gunsten" und schickt das veränderte Paket dann weiter an R1. R1 gibt die Informationen an die Bank weiter, welche daraufhin mit einer SMS (TAN) reagiert, die Rennvan zugestellt wird. Zusätzlich schickt die Bank eine neue "Seite" zu Rennvan, wo er nun die TAN eintippen muss. Außerdem steht auf der Seite nochmal zur Bestätigung, an wen die Überweisung gehen soll.
An dieser Stelle könnte der Hacker (welcher an PC2 sitzt) auffliegen. Da er aber auch die Pakete abfängt, welche der Router zum Rennvan weiterleitet, kann er nun die Werte wieder zu
Kontoempfänger: CalleGSXF
Kontonummer: 123456
BLZ: 666666
ändern. Im Endeffekt merkt Rennvan also nichts davon, dass ein Hacker gerade die komplette Überweisung manipuliert hat.
Das gleiche Prinzip funktioniert analog dazu mit Bestellungen im Internet, Chat-Kommunikationen u.v.m..
Und da sicher einer mit dem Argument "Jaaaa, aber bei einer Überweisung ist ja alles verschlüsselt!" kommt, gleich die Bemerkung: Es gibt längst Möglichkeiten für Hacker aus einem "https" ein "http" zu machen. Dann ist nix mehr verschlüsselt. Und ja, manche Banken lassen Kommunikationen ohne Verschlüsselung gar nicht mehr zu, meine Bank allerdings schon. Die ist gnadenlos durchgerasselt. Und auch wenn unverschlüsselte Verbindungen geblockt werden, kann man dem Client immer noch ein eigenes Zertifikat bzw. anderen Schlüssel unterjubeln, mit dem man dann alles in Echtzeit entschlüsseln kann.
Das ganze klingt recht kompliziert, aber tatsächlich kann man das jedem Normalsterblichen in einer Stunde beibringen.
Die Wahrscheinlichkeit, dass sowas einen trifft ist natürlich relativ gering. Aber grundsätzlich ist es möglich und vor allem ist es einfach. Und das macht die Angelegenheit so gefährlich.
Für solche Angriffe sind natürlich Zugänge zu den jeweiligen Netzwerken notwendig. Aber es gibt auch öffentliche Hotspots. Und in diesem Zuge kann ich eigentlich nur vor diesen warnen. Hotspots sind mit äußerster Vorsicht und entsprechenden Schutzmaßnahmen zu genießen. Je größer der öffentliche Hotspot ist, desto gefährlicher ist er.
PS: Das Prinzip der veränderten Daten im o.g. genannten Beispiel funktioniert übrigens auch mit eurem Trojaner.
101 Antworten
Nur ne gesunde Portion Vorsicht.
Zitat:
@muhmann schrieb am 12. November 2014 um 21:25:26 Uhr:
Ob TAN-Generator, SMS-TAN oder TAN-Liste ist doch im Endeffekt egal. Wie Pascal richtig beschrieben hat, sieht man nicht ohne weiteres, wenn sich jemand in die Verbindung zwischen PC und Bank einhackt. Ob man da nun ne Tan vom Handy, TAN-Generator oder ner Liste eintippt, ist doch egal. Das Ergebnis ist das gleiche.
Da bin ich aber ganz anderer Meinung: Um am Ende erfolgreich Geld abzuzweigen muß ein böser Bube beide Kommunikationswege manipulieren, d. h. den benutzten PC bzw. den Weg zwischen PC und Bankrechner und den Weg der TAN. Handys sind extrem leicht angreifbar, eine vom Kunden benutzte Hardware wie der TAN-Generator dagegen gar nicht. Selbst wenn ein dazwischen geschalteter Böser manipulierte optische Daten übertragen würde, kann noch nichts passieren, denn der TAN-Generator zeigt dem Bankkunden das Überweisungsziel und die Summe an. Hier hat man nur bei Faulpelzen Erfolg, die die Kontrollmöglichkeiten nicht nutzen.
Gruß Michael
Der TAN-Kram ist Müll. Bei der Dresdner Bank gabs früher HBCI als Java-Applet mit preshared key, das war gut.
Muss mich mal wieder drum kümmern, man kann auch jetzt noch HBCI auf Anfrage kriegen.
Ansonsten würde ich niemals von einem Windows-PC aus Bankkram erledigen oder auch nur regelmäßig im Web surfen.
p.s. mein erstes Homebanking war bei der Dresdner vor über 20 Jahren direkte Einwahl per Terminalemulator. Das funktionierte auch prima.
man kann auch mit nen Überweisung szettel zur Bank!
oh wie ich die alten Sachen liebe!
Ähnliche Themen
in Bayern braucht man einen Überweisungszettel für die Bank?
Ja ja, früher war alles besser. Wir wissens.
Mitm gefälschten Bankbriefkasten für den Überweisungsscheineinwurf ist die händische Überweisung aber so ziemlich das einfachste System um Betrug zum Opfer zu fallen. Da hilft dann nur, wirklich für jeden Scheiss direkt zum Schalter zu rennen. Für normalarbeitende Bevölkerung quasi unmöglich.
Zitat:
@CalleGSXF schrieb am 15. November 2014 um 12:40:41 Uhr:
Ja ja, früher war alles besser. Wir wissens.
wie geht dass?
früher ging es uns GUT!
Heute geht es uns BESSER!
Ab und zu wäre es besser es ginge uns wieder gut!!!!
oder:
nicht alles ist Scheisse was stinkt
und
Gold was glänzt!
zumindest wusste man früher, wenn man beklaut wurde!
heute gibt es mannigfaltig (schönes altes Wort-gell) Möglichkeiten
wissentlich (Western Union) oder unwissend sein Geld dem Banditen zu übereignen!
Pack es dir unters Kopfkissen, wenn da einer rangriffelt, kannst ihm auf die Finger hauen.
Früher hatten Banken bis 16.00 Uhr auf. Und Geschäfte bis 18.30 Uhr. Und Samstags bis 14.00 Uhr.
Das ist nicht mal 20 Jahre her. Heute frage ich mich schon, warum wir damals nicht vor geschlossenen Türen verhungert sind...
wir wussten auch, wie man sich benimmt!
Wenn einer am Boden liegt ist Schluss!
Heute wird dann zu Fünft gestiefelt!
Auch hielt man sich an Termine und Treffen....
heute wo jeder ein Telefon dabei hat wird der Spieß umgedreht!
Der der wartet kann mich ja erinnern, wenn es ihm wichtig ist dass ich mich an Absprachen halte.....
Zitat:
@BMW K100RS16V schrieb am 15. November 2014 um 12:23:19 Uhr:
man kann auch mit nen Überweisung szettel zur Bank!
oh wie ich die alten Sachen liebe!
Da ist das Betrügen einfacher als beim Onlinebanking. Die Unterschrift wird nämlich erst ab einer bestimmten Höhe geprüft, ja nach Bank unterschiedlich.
Bei mir ging sogar mal eine Überweisung vom Konto ab, die nicht mal meinen Namen als Unterschrift auswies.
Genau so ist es auch beim den Kreditkarten. Nummer und Sicherheitscode stehen auf der Karte, sobald man die einmal im Restaurant aus der Hand gegeben hat, hat ein potentieller Täter alle notwendigen Informationen. Ich um das zigtausendfache leichter las online irgendwelche Datenströme auszuspionieren.
Du hast den falschen FreundeskreisZitat:
@BMW K100RS16V [url=http://www.motor-talk.de/.../ot-aber-wichtig-t5113155.html?...]schrieb am 15. November
Der der wartet kann mich ja erinnern, wenn es ihm wichtig ist dass ich mich an Absprachen halte.....
Zitat:
@fate_md schrieb am 15. November 2014 um 12:48:13 Uhr:
Mitm gefälschten Bankbriefkasten für den Überweisungsscheineinwurf ist die händische Überweisung aber so ziemlich das einfachste System um Betrug zum Opfer zu fallen. Da hilft dann nur, wirklich für jeden Scheiss direkt zum Schalter zu rennen. Für normalarbeitende Bevölkerung quasi unmöglich.
Au ja. Stimmt. Ständig liest man von gefälschten Bankbriefkästen, die per Rohrpost
direkt mit dem nächsten Mafia-Büro verbunden sind. Auch sind die Polizeiberichte
voll von Raubüberfällen, bei denen Überweisungen geraubt werden. Diese Überweisungen
werden dann von professionellen Fälschern mit Kugelschreiber gefälscht. Einfach die
Zahlen ausradieren und neue Zahlen hinschreiben. Fällt niemand was auf. So sind
schon Existenzen vernichtet worden. Wohingegen durch das absolut sichere Online-
Banking noch nie Betrügereien vorgekommen sind.
Zitat:
@BMW K100RS16V schrieb am 15. November 2014 um 13:01:05 Uhr:
wir wussten auch, wie man sich benimmt!
Wenn einer am Boden liegt ist Schluss!
Heute wird dann zu Fünft gestiefelt!Auch hielt man sich an Termine und Treffen....
heute wo jeder ein Telefon dabei hat wird der Spieß umgedreht!
Der der wartet kann mich ja erinnern, wenn es ihm wichtig ist dass ich mich an Absprachen halte.....
So ein Bullshit!
Der, der ein Telefon hat, kann - ganz im Gegensatz zu früher !!! - Polizei und Feuerwehr anrufen.
Früher hätte man erstmal die nächste Telefonzelle suchen müssen.
Aber ich bin dafür, dass wir die Zeit um 30 Jahre zurückdrehen. Kaum Bananen in der DDR, dafür Totalüberwachung und eine kunterbunt-besprühte Mauer.
Der kalte Krieg muss schon prima gewesen sein, stimmt schon. 😁