Online Banking immer unsicherer?
lima-city → Forum → Die eigene Homepage → Sicherheit im Internet
bank
bube
geld
generator
internet
jemand
karte
kasse
konto
kreditkarte
kunde
nutz
nutzen
sicherheit
sparkasse
tastatur
turmfalke
url
webseite
zeichen
-
Bei so einem Thema kommt mir immer wieder "Social Engineering" in den Kopf.
Es ist im Grunde egal, wie sicher du dein Handy in deiner Hosentasche aufbewahrst.
Mit einem vorgetäuschten Anruf bei deinem Handy-Provider bekommt man den Zugang zu deinem Online-Konto. Dort ändert man die Adresse, lässt sich eine neue SIM-Karte zuschicken. Und zack, der Angreifer bekommt alle SMS-TANs direkt auf sein Handy. -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
Ja solche Fälle gab es schon. Allerdings sind sie vermeidbar. Ich habe z.B. ein Handy mit seperater Sim-Karte nur für Online Banking (mTAN). Nur die Bank hat die Rufnummer. Das Handy hat kein Apple, Microsoft oder Android Betriebssystem. Es wäre also nur möglich eine unautorisierte Transaktion auszulösen wenn man a) meinen PC hackt um das Passwort abzugreifen und b) in meine Wohnung einbricht und das Handy findet.
-
Also wenn ich bei meinem Provider anrufe um etwas zu ändern werde ich a nach dem Geburtsdatum und b nachdem Internetkennwort gefragt. Ohne diese Angaben werden keine Aufträge entgegengenommen.
-
Fakt ist dass das einige Mobilfunkanbieter in Deutschland etwas lascher gehandhabt haben. Aber abgesehen davion gibt es ja noch die Möglichkeit Dein Android-Handy mit einem Trojaner zu infizieren. Chip schreibt dazu
mTAN gilt auf einem Smartphone wie dem iPhone ohne Jailbreak (geschlossenes System) als äußerst sicher. Bei Android-Geräten können Trojaner jedoch die Codes abfangen und Ihr Konto leer räumen. Prüfen Sie daher regelmäßig Ihr Android-Smartphone auf Viren und installieren Sie keine dubiosen Apps. Komplett sicher banken Sie derzeit nur mit einem TAN-Generator, und weiter: Derzeit breitet sich der Android-Trojaner "FakeToken" auf zahlreichen Geräten aus, der die mTANs abfängt und an seine kriminellen Ersteller weiterleitet.
-
Soweit ich weiß wurde 2012 in Abu Dabi der erste Vortrag zu dem Thema gehalten.
möglicherweise findet hier jemand Argumentationshilfe:
https://media.blackhat.com/ad-12/Dmitrienko/bh-ad-12-over-the-air-dmitrienko-WP.pdf -
Wie auch immer: Ich nutze seit Einführung die TAN Generatoren. Andere Verfahren kommen für mich nicht in Frage.
-
@ waytogermany
Ich habe noch nie eine TAN genutzt, einfach die Sparkassenkarte in das Chipkarten-Terminal gesteckt, das Terminal an meinen PC und dann die normale Nummer der Sparkasse eingegeben.
Der PC sollte natürlich sauber sein und möglichst nicht für Spielereien oder andere Dinge genutzt werden. -
micropower schrieb:
Und der gewünschte Betrag ist wirklich jedesmal in deiner CD-Lade?
@ waytogermany
Ich habe noch nie eine TAN genutzt, einfach die Sparkassenkarte in das Chipkarten-Terminal gesteckt, das Terminal an meinen PC und dann die normale Nummer der Sparkasse eingegeben.
Der PC sollte natürlich sauber sein und möglichst nicht für Spielereien oder andere Dinge genutzt werden. -
@ autobert
"Und der gewünschte Betrag ist wirklich jedesmal in deiner CD-Lade? "
Ha ha, nein es geht doch um Onlinebanking.
Also online überweisen usw. und geht mit diesen Terminal + Karte sehr gut und äußerst sicher.
Dieses TAN-Verfahren würde ich nicht nutzen und schon gar nicht über irgend eine Webseite, das ist laut Definition unsicher.
Diese Onlinebankingsoftware die ich nutze nennt sich jameica & hibiscus.
Passende Karten-Terminals:
https://www.willuhn.de/wiki/doku.php?id=support:list:kartenleser -
micropower schrieb:
Dieses TAN-Verfahren würde ich nicht nutzen und schon gar nicht über irgend eine Webseite, das ist laut Definition unsicher.
Naja mittlerweile nutzen die Banken ( meine zumindestens ) https Verbindungen. Des Weiteren rufe ich die Website meiner Bank über eine spezielle Funktion meiner Internet Security Software ( sicherer Zahlungsverkehr ) auf. Wenn man dann noch regelmäßig das Passwort ändert sollte m.E. nicht mehr viel passieren können zumal die bösen Buben ja auch noch meine Bankkarte benötigen. -
"Naja mittlerweile nutzen die Banken ( meine zumindestens ) https Verbindungen."
Dem trau ich aber auch nicht.
Es gab schon Fälle in denen man die Webseite normal aufgerufen hat und irgendwo wurde der DNS-Server manipuliert, so dass die Namensauflösung dich dann zu einer Fake-Webseite geleitet hat die genau so aussah wie die echte Webseite.
Du gibst dann in die Felder die du so kennst deine Logindaten oder dein Passwort ein und kannst gar nicht merken dass es eigentlich die falsche Webseite ist.
Diese ganzen Zertifikatsserver können auch mit der selben Methode übernommen werden.
Es gab ja auch die Fälle wo Zertifikate von anderen berechtigten ausgestellt und dann von Verbrechern genutzt worden sind.
Es kommt nur darauf an wie viel Energie die Leute darauf einsetzen um an das Geld zu kommen.
Es könnte leicht sicherer gemacht werden, aber die Banken wollen nicht gerne in moderne Systeme investieren.
Es gibt aber scheinbar ein System mit dem neuen Personalausweis, vielleicht ist das sicherer.
Vielleicht wechsle ich ja von dem Karten-Terminal zu einem RFID-System ... aber dazu müsste der RFID-Chip auch selbst einen verschlüsselten Datenverkehr nutzen.
(normale RFID-Chips kann man belauschen und einfach kopieren) -
naja wenns danach geht müsste ich meine Internetverbindung komplett kappen. Nur
das bietet die einzig wahre Sicherheit! Ich nutze Onlinebanking seit BTX Zeiten! Bisher ohne jegliche Probleme!
Und selbst wenn ich auf einer gefakten Seite landen sollte brauchen die bösen Buben aber auch noch meine Karte. Ohne die ist eine Erzeugung der TAN mittels TAN Generator nicht möglich.
Ich will definitiv nix beschönigen aber zu viel Schwarzmalerei liegt mir auch nicht! Wie gesagt: Absolute Sicherheit habe ich nur wenn ich gar nicht ins Internet gehe. Und selbst dann ist die Sicherheit nicht absolut weil böse Buben mir ja auch eine über den Schädel ziehen könnten wenn ich nach dem Abheben von Bargeld vom Automaten komme. -
turmfalken-nikolai schrieb: ....Absolute Sicherheit habe ich nur wenn ich gar nicht ins Internet gehe. Und selbst dann ist die Sicherheit nicht absolut weil böse Buben mir ja auch eine über den Schädel ziehen könnten wenn ich nach dem Abheben von Bargeld vom Automaten komme.
Du irrst Dich auch da gibt es keine absolute Sicherheit, böse Buben haben nämlich schon durch Vorsetzen eigener Verblendungen an Geldautomaten Kartendaten abgegriffen und die Pin Eingabe per Kamera verfolgt. Übrigens auch die tollen Seitenblenden und abdecken beim Eingeben der Pin ist kein absoluter Schutz. Die bösen Buben könnten ja auch auf z.B. chemischen Weg zumindest herausfinden welche Tasten Du benutzt hast.micropower schrieb: Dem trau ich aber auch nicht.. Es gab schon Fälle in denen man die Webseite normal aufgerufen hat und irgendwo wurde der DNS-Server manipuliert, so dass die Namensauflösung dich dann zu einer Fake-Webseite geleitet hat die genau so aussah wie die echte Webseite.....
Ja, aber in diesen Fällen sind eeigentlich immer mehrere Kunden betroffen, so dass der Nachweis dass kein Eigenverschulden vorliegt relativ leicht zu erbringen ist. Damit haftet dann die Bank. Natürlich bleibt der, mit einem derartigen Vorgang verbundene, Ärger. -
invalidenturm schrieb:
Du irrst Dich auch da gibt es keine absolute Sicherheit, böse Buben haben nämlich schon durch Vorsetzen eigener Verblendungen an Geldautomaten Kartendaten abgegriffen und die Pin Eingabe per Kamera verfolgt. Übrigens auch die tollen Seitenblenden und abdecken beim Eingeben der Pin ist kein absoluter Schutz. Die bösen Buben könnten ja auch auf z.B. chemischen Weg zumindest herausfinden welche Tasten Du benutzt hast..
Naja da ich in der Regel am hellichten Tag zum Automaten gehe wo einiges an Kundenverkehr herrscht ist das eher unwahrscheinlich das man auf chemischem Weg die benutzten Tasten rausfinden kann. Meist habe ich einen oder zwei Kunden vor mir und auch nach mir kommen welche. Macht dann im Schnitt 16 benutzte Tasten. Davon mal abgesehn geh ich selten zum Automaten. -
@ invalidenturm
Die hatten das mit dem Nummernblock mal gezeigt es ist allerdings nicht chemisch, sondern funktioniert über Infrarot.
Für Android oder IPhone-Handys gibt es von "Flir" Wärmebildkameras die man an das Handy stöpseln kann.
Eigentlich nutzt man sie ja um Schwachstellen in der Hausisolierung finden zu können oder um in einer Schaltung erkennen zu können wie warm die Bauteile werden.
Die Gauner haben sich hinter einer Person an der Supermarktkasse gestellt und brav gewartet bis die Person ihre Nummer eingetippt und bezahlt hat.
Als sie dann dran waren haben sie die IR-Kamera des Handys auf den Nummernblock gehalten und ein Foto gemacht.
Die neuesten Abdrücke auf den Tasten waren immer noch etwas wärmer als die älteren Tasten und daraus konnte man dann die Reihenfolge der gedrückten (warmen) Tasten ableiten.
Man könnte diese Methode einfach unbrauchbar machen indem man die Tastatur etwas erwärmt (Heizwiderstände auf der Platine), denn so wäre dann der Temperaturunterschied nicht mehr so groß.
Bei einer automatischen Reinigung der Tasten (mit einer Reinigungsflüssigkeit) würde man die Temperatur auch schnell wieder angleichen und die Sache wäre auch etwas hygienischer. -
Dass es schon fertige, industriell gefertigte, Lösungen für Handys gibt war mir neu, dann heißt es also aufpassen und vielleicht eine Lötlampe zum Banking und in den Supermarkt mitnehmen. :) Selbstdesinfizierende Tastaturen oder eine Tastaturheizung werden wir wohl niemals erleben, dieses Maß an Sicherheit kostet vermutlich den Betreibern zuviel Geld. Aber Hand aufs Herz ihr Onlinebanker: Wer von euch benutzt eine Funktastatur? Reichweite bei derartigen Tastaturen sind ungefähr 10 Meter, Wände sind kein Hindernis und wer sich in diesem Radius platziert, kann relativ einfach alle Eure Tastatureingaben mitlesen. Ich gebe ehrlich zu, obwohl ich mir dieses Risikos bewusst bin, nutze ich aus Bequemlichkeit eine Funktastatur.
Beitrag zuletzt geändert: 20.9.2016 16:28:45 von invalidenturm -
naja da ich nen Laptop nutze fällt dieser Risikofaktor aus. Funktastatur am Laptop wäre ja albern.
-
invalidenturm schrieb:
Je nach Art der Funktastur können diese bis 100 m abgehört werden:
Aber Hand aufs Herz ihr Onlinebanker: Wer von euch benutzt eine Funktastatur? Reichweite bei derartigen Tastaturen sind ungefähr 10 Meter, Wände sind kein Hindernis und wer sich in diesem Radius platziert, kann relativ einfach alle Eure Tastatureingaben mitlesen. Ich gebe ehrlich zu, obwohl ich mir dieses Risikos bewusst bin, nutze ich aus Bequemlichkeit eine Funktastatur.Viele kabellose Eingabegeräte, die statt auf Bluetooth zu setzen mit USB-Dongles arbeiten, lassen sich kapern. So kann ein Hacker aus bis zu hundert Metern Entfernung den Rechner des Opfers fernsteuern. Oft hilft nur, die Geräte zu entsorgen.
Quelle: http://www.heise.de/security/meldung/MouseJack-Hacker-koennen-kabellose-Maeuse-und-Tastaturen-fernsteuern-3117303.html -
autobert schriebJe nach Art der Funktastur können diese bis 100 m abgehört werden:
Einen entsprechenden Hochleistungsempfänger vorausgesetzt hast Du natürlich recht. Ich bin bei 10m von der einfachsten Variante ausgegangen, der böse Nachbar kauft sich eine baugleiche Funktastatur, schaltet die Textverarbeitung ein und wartet einfach ab was da alles von Deiner Tastatur so kommt....
Wie sicher ist eigentlich Bluetooth? Das Signal wäre ja ebenfalls empfangbar, läuft die Übertragung verschlüsselt ab?
Beitrag zuletzt geändert: 21.9.2016 12:04:58 von invalidenturm -
Bei Bluetooth schätze ich die Gefahr deutlich geringer ein, da hier nur während des "Pairings" angegriffen werden kann. Schlauerweise macht man dies möglichst nur einmal und speichert diesen Wert dauerhaft mit einem möglichst langen Pin (16 Stellen). Wenn dann die Maus/Tastatur noch ein Klasse 3 Gerät ist theoretisch unter besten Bedingungen 10 m möglich, Klasse 1 Geräte allerdings auch 100 m.
Lies dazu:https://de.wikipedia.org/wiki/Bluetooth#Abh.C3.B6r-_und_Eindringsicherheit -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage