OT, aber wichtig
Es geht in diesem Posting zwar um ein Off Topic, aber das Thema ist sicher für viele interessant:
Für das Online-Banking wird immer öfter das mTan-Verfahren genutzt, bei dem eine Nummer per SMS an das Handy geschickt wird. Diese Nummer gibt der Kontoinhaber dann als Einmal-Tan für eine Transaktion ein und löst damit die Überweisung aus.
Dieses Verfahren gilt als unsicher, selbst das BKA rät davon ab, wie man schnell per Google ermitteln kann.
Aus gegebenem Anlass möchte auch ich warnen: Wir haben in der Familie nun einen Fall, bei dem zwei SMS mit Einmal-Tans gesendet wurden. Es wurde kein Schaden angerichtet, da sofort ein Anruf bei der Bank erfolgte, aber die Bank hat bestätigt, daß die beiden SMS tatsächlich von der Bank kamen! Offenbar gibt es also neue Tricks und Angriffe oder es wird zumindest auf neue Art versucht, die Sicherheitssysteme auszuhebeln. Mit gängiger Antivirensoftware überprüft erwies sich übrigens der einzige für das Online-Banking genutzte PC als sauber. Das schließt nicht aus, daß es nicht einen Trojaner geben mag, der so gut programmiert ist, daß er trotz Antivirensoftware aktiv sein kann, aber das bedeutet, daß man sich als Endverbraucher und Bankkunde nicht schützen kann. Die Hardware gestützten Sicherheitssystem gelten (noch) als sicher und erscheinen deshalb vernünftiger.
Wie sagt Bülent Ceylan doch immer so schön? Uffbasse!
Gruß Michael
Beste Antwort im Thema
@Rennvan
Okay. Stell dir vor du befindest dich in einem Netzwerk, wo du mit einem Router verbunden bist.
Wenn du Online Banking machst, dürfte das im Regelfall wohl dein privates Netzwerk sein. Würdest du es bemerken, wenn sich jemand in dein WLAN hacken würde? Schwer ist das jedenfalls nicht, dafür gibt es verschiedene Varianten.
Aber nun ein Beispiel:
Dein Rechner ist jetzt mal "PC1" und der Router heißt "R1". Der Rechner vom Bösewicht heißt "PC2".
PC2 sagt R1, dass er in Wahrheit PC1 ist. Dann sagt PC2 zu PC1, dass er (also PC2) R1 ist.
Ergebnis: PC1 schickt alles zu PC2. PC2 leitet das an den Router weiter. Wenn der Router Pakete an PC1 zurückgeben will, schickt er es zunächst wieder über PC2.
PC2 kann also eingehenden und ausgehenden Traffic mitlesen. Mitlesen ist zwar schon ziemlich blöd, aber wirklich gefährlich wird es ja erst, wenn der Inhalt von den Paketen verändert wird.
Nun sitzt der Rennvan also an seinem PC1 und schreibt:
Kontoempfänger: CalleGSXF
Kontonummer: 123456
BLZ: 666666
Das schickt er auch so ab.
Das Paket mit diesen Informationen wird nun von PC2 abgefangen. Der Nutzer von PC2 verändert nun die Werte zu "seinen Gunsten" und schickt das veränderte Paket dann weiter an R1. R1 gibt die Informationen an die Bank weiter, welche daraufhin mit einer SMS (TAN) reagiert, die Rennvan zugestellt wird. Zusätzlich schickt die Bank eine neue "Seite" zu Rennvan, wo er nun die TAN eintippen muss. Außerdem steht auf der Seite nochmal zur Bestätigung, an wen die Überweisung gehen soll.
An dieser Stelle könnte der Hacker (welcher an PC2 sitzt) auffliegen. Da er aber auch die Pakete abfängt, welche der Router zum Rennvan weiterleitet, kann er nun die Werte wieder zu
Kontoempfänger: CalleGSXF
Kontonummer: 123456
BLZ: 666666
ändern. Im Endeffekt merkt Rennvan also nichts davon, dass ein Hacker gerade die komplette Überweisung manipuliert hat.
Das gleiche Prinzip funktioniert analog dazu mit Bestellungen im Internet, Chat-Kommunikationen u.v.m..
Und da sicher einer mit dem Argument "Jaaaa, aber bei einer Überweisung ist ja alles verschlüsselt!" kommt, gleich die Bemerkung: Es gibt längst Möglichkeiten für Hacker aus einem "https" ein "http" zu machen. Dann ist nix mehr verschlüsselt. Und ja, manche Banken lassen Kommunikationen ohne Verschlüsselung gar nicht mehr zu, meine Bank allerdings schon. Die ist gnadenlos durchgerasselt. Und auch wenn unverschlüsselte Verbindungen geblockt werden, kann man dem Client immer noch ein eigenes Zertifikat bzw. anderen Schlüssel unterjubeln, mit dem man dann alles in Echtzeit entschlüsseln kann.
Das ganze klingt recht kompliziert, aber tatsächlich kann man das jedem Normalsterblichen in einer Stunde beibringen.
Die Wahrscheinlichkeit, dass sowas einen trifft ist natürlich relativ gering. Aber grundsätzlich ist es möglich und vor allem ist es einfach. Und das macht die Angelegenheit so gefährlich.
Für solche Angriffe sind natürlich Zugänge zu den jeweiligen Netzwerken notwendig. Aber es gibt auch öffentliche Hotspots. Und in diesem Zuge kann ich eigentlich nur vor diesen warnen. Hotspots sind mit äußerster Vorsicht und entsprechenden Schutzmaßnahmen zu genießen. Je größer der öffentliche Hotspot ist, desto gefährlicher ist er.
PS: Das Prinzip der veränderten Daten im o.g. genannten Beispiel funktioniert übrigens auch mit eurem Trojaner.
101 Antworten
Zitat:
@BMW K100RS16V schrieb am 15. November 2014 um 12:53:10 Uhr:
wie geht dass?Zitat:
@CalleGSXF schrieb am 15. November 2014 um 12:40:41 Uhr:
Ja ja, früher war alles besser. Wir wissens.
früher ging es uns GUT!
Heute geht es uns BESSER!
Ab und zu wäre es besser es ginge uns wieder gut!!!!oder:
nicht alles ist Scheisse was stinkt
und
Gold was glänzt!zumindest wusste man früher, wenn man beklaut wurde!
heute gibt es mannigfaltig (schönes altes Wort-gell) Möglichkeiten
wissentlich (Western Union) oder unwissend sein Geld dem Banditen zu übereignen!
Geil geschrieben😁
Ich nutze Online Banking aber nur mit dem Generator/EC Karte. Per Handy etc würde ich es nicht machen, genauso wenig habe ich eine Kreditkarte und ich würde Sie auch nicht Online benutzen.
Wenn ich Online einkaufen dann bei Amazon, Deutschen Händlern etc dann bekomme ich eine Rechnung oder bezahle per Vorkasse max 100EUR und das hat bis jetzt immer gepasst.
Ansonsten gilt wie bei allem, Vorsicht und mit gesundem Menschenverstand handeln dann passt das schon.
Und mit seinen persönlichen Daten sorgsam umgehen.
Hab ich behauptet das Onlinebanking sicher sei? Ist alles eine Anwenderfrage.
Zu dem Thema "ständig liest man"... warte mal ab und lies die Tageszeitungen, die Fälle hast du JEDES Jahr meist um die Weihnachtszeit. Die brauchen keine Rohrpost. Kasten hingestellt und irgendwann wieder mitm Transporter abgeholt. Schon hat man Kontodaten vom Auftagegeber und ne grobe Unterschrift. Rest siehe Post von Nr. 5 lebt.
Zitat:
@CalleGSXF schrieb am 15. November 2014 um 13:04:49 Uhr:
So ein Bullshit!Zitat:
@BMW K100RS16V schrieb am 15. November 2014 um 13:01:05 Uhr:
wir wussten auch, wie man sich benimmt!
Wenn einer am Boden liegt ist Schluss!
Heute wird dann zu Fünft gestiefelt!Auch hielt man sich an Termine und Treffen....
heute wo jeder ein Telefon dabei hat wird der Spieß umgedreht!
Der der wartet kann mich ja erinnern, wenn es ihm wichtig ist dass ich mich an Absprachen halte.....Der, der ein Telefon hat, kann - ganz im Gegensatz zu früher !!! - Polizei und Feuerwehr anrufen.
Früher hätte man erstmal die nächste Telefonzelle suchen müssen.Aber ich bin dafür, dass wir die Zeit um 30 Jahre zurückdrehen. Kaum Bananen in der DDR, dafür Totalüberwachung und eine kunterbunt-besprühte Mauer.
Der kalte Krieg muss schon prima gewesen sein, stimmt schon. 😁
Jepp. Das Leben war komfortabler. Klare Feindbilder. Leere Strassen.
Wie sagte der Theo Waigel gestern im Interview: "Einen ausgeglichenen Bundeshaushalt hätte ich spätestens 1991 auch hinbekommen. Ohne die Wiedervereinigung."
Mal so nebenbei: meine Bank hat keine Außenbriefkästen. Da geht man rein
und wirft die Überweisungen in einen Briefkasten neben dem Schalter. Und
da wir in der Firma jeden Tag Post und Bankbriefe abgeholt haben (immer
die selbe Person) waren Überweisungen für Terminzahlungen auch kein
Problem. In unserer Stadt war der einzige Bankbriefkasten den ich kenne
in der Co-Bank; und der war ein Einwurfschlitz in der Mauer. Man hätte
also ein ganzes Haus fälschen müssen.
Und mal im Ernst: von irgendwelchen falschen Briefkästen für Überweisungen
habe ich noch nie gehört oder gelesen. Und wenn jemand durch Überweisungen
richtig geschädigt werden soll, ist der Betrag garantiert so hoch, dass die
Unterschrift geprüft wird.
Ähnliche Themen
Du denkst zu kompliziert. Da wird kein Haus gefälscht sondern der falsche Briefkasten einfach davor gestellt. 60 von 100 Kunden werden vielleicht skeptisch. Haste immer noch die Daten von 40. Und eben KEINE großen Summen auf einmal zu buchen ist ja der eigentliche Trick daran. Hier mal 29€, da mal 35,71€, vielen wird das gar nicht groß auffallen, in Summe ist das aber viel Geld bei wenig Einsatz.
Wenn plötzlich 2000€ vom Konto fehlen werden die meisten wohl stutzig, denke mal zu 95% geht so Kleinkram durch.
Zitat:
@CalleGSXF schrieb am 15. November 2014 um 13:04:49 Uhr:
So ein Bullshit!Zitat:
@BMW K100RS16V schrieb am 15. November 2014 um 13:01:05 Uhr:
wir wussten auch, wie man sich benimmt!
Wenn einer am Boden liegt ist Schluss!
Heute wird dann zu Fünft gestiefelt!Auch hielt man sich an Termine und Treffen....
heute wo jeder ein Telefon dabei hat wird der Spieß umgedreht!
Der der wartet kann mich ja erinnern, wenn es ihm wichtig ist dass ich mich an Absprachen halte.....Der, der ein Telefon hat, kann - ganz im Gegensatz zu früher !!! - Polizei und Feuerwehr anrufen.
Früher hätte man erstmal die nächste Telefonzelle suchen müssen.Aber ich bin dafür, dass wir die Zeit um 30 Jahre zurückdrehen. Kaum Bananen in der DDR, dafür Totalüberwachung und eine kunterbunt-besprühte Mauer.
Der kalte Krieg muss schon prima gewesen sein, stimmt schon. 😁
Zitat:
@BMW K100RS16V schrieb am 15. November 2014 um 12:53:10 Uhr:
nicht alles ist Scheisse was stinktZitat:
@CalleGSXF schrieb am 15. November 2014 um 12:40:41 Uhr:
Ja ja, früher war alles besser. Wir wissens.
und
Gold was glänzt!
hab mich vorsichtshalber zitiert!
nicht alles war besser!
hab ich niemals behauptet!
ABER!!!
es war auch nicht ALLES schlechter!
Alex
PS ÜBERWEISUNGEN die gefälscht sind oder Bankeinzüge können zurück geholt werden!
Zitat:
@CalleGSXF schrieb am 15. November 2014 um 12:40:41 Uhr:
Ja ja, früher war alles besser. Wir wissens.
Nein, früher war beileibe nicht alles besser. Aber das tägliche Leben war
sicherer. Beispiel: es gab früher noch den Geldbriefträger. Der war auch zu
erkennen und ging zu Fuß mit vielen hundert DM durch die Stadt. Auch
wurde die GEZ früher beim normalen Postboten direkt bar bezahlt. Der
war dann auch ziemlich "reich", wenn er wieder zur Post zurück ging.
Und die Rentner holten die Rente in bar von der Post ab. Das war früher
alles sicher, heute wäre es ein Fest für alle Straßenräuber. Im Ruhrgebiet
dürfte man eigentlich nur noch bewaffnet durch bestimmte Stadtteile gehen.
Zitat:
@fate_md schrieb am 15. November 2014 um 13:18:32 Uhr:
Du denkst zu kompliziert. Da wird kein Haus gefälscht sondern der falsche Briefkasten einfach davor gestellt. 60 von 100 Kunden werden vielleicht skeptisch. Haste immer noch die Daten von 40. Und eben KEINE großen Summen auf einmal zu buchen ist ja der eigentliche Trick daran. Hier mal 29€, da mal 35,71€, vielen wird das gar nicht groß auffallen, in Summe ist das aber viel Geld bei wenig Einsatz.
Wenn plötzlich 2000€ vom Konto fehlen werden die meisten wohl stutzig, denke mal zu 95% geht so Kleinkram durch.
Naja, das mit den gefälschten Briefkästen bedeutet aber schon einen großen Logistischen Aufwand mit relativ großem Erwischt werden Potential und relativ geringer Beute...
Eher werden in der Vorweihnachtszeit die Postkästen geplündert und nach Bargeld durchsucht welches die liebe Oma dem Enkel schickt.😉
Klar gibt es immer wieder Kleinkriminelle die sich ein paar Groschen erbeuten wollen, aber die wirklichen Gauner sitzen am PC und machen bequem schnell viel Geld anstatt durch viel Arbeit und Aufwand die Groschen klauerei vor Ort...
30 Jahre zurück? Oh Gott, da wär ich ja wieder voll in der Pubertät, wäh. 😁
Früher wars bestimmt nicht besser, nur anderst.
Das einfachste ist, mit der Zeit zu gehen. Wer heute alles Scheiße findet, ist doch auf seinem Weg in eine Sackgasse gelaufen und findet nicht mehr raus.
Ich finde heute einiges einfacher, unkomplizierter und schneller ausführbar wie früher. Gerade Bankgeschäfte, Einkäufe jeglicher Art, Email statt Briefe etc..
Vor 30 Jahre hätte ich keine MTler kennengelernt...
Zitat:
@CalleGSXF schrieb am 15. November 2014 um 14:48:40 Uhr:
Vor 30 Jahre hätte ich keine MTler kennengelernt...
Nee da haste noch als Quark im Schaufenster gelegen. 😁
Zitat:
@Rennvan schrieb am 15. November 2014 um 15:06:16 Uhr:
Nee da haste noch als Quark im Schaufenster gelegen. 😁Zitat:
@CalleGSXF schrieb am 15. November 2014 um 14:48:40 Uhr:
Vor 30 Jahre hätte ich keine MTler kennengelernt...
Da war noch nichtmal die Kuh für die Milch geboren. 🙂😁