Bis vor kurzen kannte ich dieses Thema nur durch die Medien. Vor zwei Wochen dann wurde ein Bekannter Phishing Opfer. Ihm wurde eine TAN abgefischt und einige Tausend Euro in ein Osteuropäisches Land überweisen. Ich benutze Internet Banking schon seit mehr als 10 Jahren und mache mir so meine Gedanken zu dem Thema. Diese Trojaner scheinen inzwischen so perfekt zu funktionieren. Kein Virescanner erkennt sie und sie laden verschiedene falsche Bankseiten herunter die wirklich echt aussehen.
wie konnte das passieren? ich fühlte mich früher schon recht sicher mit iTAN, vor ca. 6 Monaten hat meine Bank dann auf sm@rtTAN optic umgestellt, was m.E.n. noch sicherer ist!? Bzgl. Deiner Frage: ich keinen niemanden und das Phishingproblem ist bis jetzt nur aus den MEdien bekannt! toi toi toi
Was mir in dem Zusammenhang suspekt ist ... Es gibt schon Ewigkeiten das HBCI-Verfahren mit Chipkarte. Derzeit meines Wissens nach das sicherste Verfahren überhaupt und 1. Muss der Kunde die Karte meist selber blechen (Kartenleser sowieso), 2. gibts das, zumindest bei den von mir konsultierten Banken (VR und Spaßkasse) nur auf Anfrage und ungern. Stattdessen wird da noch immer auf dem Browser herumgefuhrwerkt anstatt ne vernünftige Software zu verwenden. Mails der Sorte hatte ich schon massig. Hat mir nur ein müdes Lächeln abgerungen. Hab die anfangs auch immer brav an die jeweiligen Kreditinstitute weitergeleitet, evtl. hätten die ja dann Möglichkeiten per Anzeige, LKA, BKA oder was weiß ich, mittlerweile nachdem da nie irgendeine Rückmeldung kam nur noch ab in die Tonne damit. Meine Frau ist mal mit so nem EC-Karten hack geschröpft worden. Damals hatten dreiste Diebe einen insolvent geschlossenen Schuhladen mitten in der FuZo aufgebrochen und den Laden 3 Tage aus den noch lagernden Wahren betrieben. Hatten schon extrem gute Nerven die Leute. Die Kunden, die mit EC zahlten hatten dann anschließend Abhebungen in Nizza.
Ich benutze auch seit einigen Woche die optische TAN Lösung. Die Frage ist nur wie lange ist diese sicher ? Durch die Bank wird man nur immer darauf hingewiesen mann solle keine TAN (schon ganr nicht mehrere) nach Aufforderung in Emails weitergeben. Weiter sollte mann einen aktuellen Virenscanner benutzen. Alle diese Massnahmen schützen ja leider nicht wirklich. Es wird immer nur darauf hingewiesen das das Problem, besteht, nicht aber wie hoch das Risiko bzw. wieviele Personen täglich davon betroffen sind. Wahrscheinlich würden die Zahlen die Kunden abschrecken und alle geschlossenen Bankfilialen müssten wieder aufgebaut werden.
Fhutdhb Ufzjjuz schrieb: > Es gibt schon Ewigkeiten das HBCI-Verfahren mit Chipkarte. > Derzeit meines Wissens nach das sicherste Verfahren überhaupt > und > 1. Muss der Kunde die Karte meist selber blechen (Kartenleser sowieso), > 2. gibts das, zumindest bei den von mir konsultierten Banken > (VR und Spaßkasse) nur auf Anfrage und ungern. > Stattdessen wird da noch immer auf dem Browser herumgefuhrwerkt > anstatt ne vernünftige Software zu verwenden. ja gut, eine EC-Karte hat man sowieso und den Kartenleser bekommt man (zumindest bei der Sparkasse) für 5 €. Eine viel grössere Gefahrenquelle sehe ich am Bankautomat wenn mit Kartenleser und Handycam die Karte dupliziert wird!
Fhutdhb Ufzjjuz schrieb: > Was mir in dem Zusammenhang suspekt ist ... > > Es gibt schon Ewigkeiten das HBCI-Verfahren mit Chipkarte. > Derzeit meines Wissens nach das sicherste Verfahren überhaupt > und > 1. Muss der Kunde die Karte meist selber blechen (Kartenleser sowieso), > 2. gibts das, zumindest bei den von mir konsultierten Banken > (VR und Spaßkasse) nur auf Anfrage und ungern. > Stattdessen wird da noch immer auf dem Browser herumgefuhrwerkt > anstatt ne vernünftige Software zu verwenden. Es gibt da keine offizielle Regelung. Wenn man ein guter Kunde ist wird der Schaden auf Kulanz ersetzt, der Bekannte musste zumindest eine Anzeige bei der Polizei nachweisen. Wenn man ein kleiner (privater) Kunde ist wird die Sache schwieriger. Eventuell sollte mann den Rechner einfach nur ausschalten und als Beweismittel aufheben, kann der Trojaner nachgewiesen werden und die Virensoftware war auch aktuell, wird mann den Schaden ersetzt bekommen. Wobei der Aufwand erheblich ist, die Polizei wird den Rechner vermutlich nicht checken und die Bank ?
Norbert S. schrieb: > Wenn man ein kleiner (privater) Kunde ist wird die Sache schwieriger. von der Spaßkasse habe ich "insider"-Infos, das da, so der Papierkram erledigt ist (Anzeige bei Bolizei und ggf. Beweissicherung derselbigen) derlei Vorfälle noch (!) recht kulant geregelt werden. Zu HBCI nochmal ... ja, auf der gängigen EC ist ja schon n Chip drauf, da hätt es noch Platz für nen Zweiten mit HBCI. Dann noch passende Software dazu ...
wie ist das ganze denn nun passiert? welches TAN-Verfahren hat Dein Bekannter genützt?
genützt hat's ihm nicht viel, da er es nicht richtig benützt hat. :o)
HBCI bringt vorzugsweise dann etwas, wenn der Code nicht am Rechner sondern am Kartenleser eingetippt wird. Leider gehen diese Leser ziemlich ins Geld.
Fhutdhb Ufzjjuz schrieb: > Damals hatten dreiste Diebe einen insolvent geschlossenen Schuhladen > mitten in der FuZo aufgebrochen und den Laden 3 Tage aus den noch > lagernden Wahren betrieben. krass, das ist ja mal dreist
Die Banken sind extrem passiv in dieser Sache und waelzen das Risiko auf die Kunden ab. Da werden Chipkarten ausgegeben und nur der Magnetstreifen davon wird verwendet. Den Magnetstreifen kann nun aber jeder kopieren. Die Photos auf den Kreditkarten sind bewusst absichtlich nicht vorhanden.
Ich plane/habe auf meinem Onlinekonto nur ein geringes Guthaben. Sollte es mal geknackt werden hält sich der Schaden in Grenzen auch wenn es ärgerlich ist. Wer sagt denn, das die Bank dann nicht dafür haftet? Schon allein das die Überweisung ins Ausland(nonEU) ginge wäre ausreichend Beweiskräftig, da ich gar keinen Pass habe. Innerhalb der EU müsste die Bank sich das Geld wieder beschaffen können, aber das ist nicht mein Problem.
Fhutdhb Ufzjjuz schrieb: > Es gibt schon Ewigkeiten das HBCI-Verfahren mit Chipkarte. > 1. Muss der Kunde die Karte meist selber blechen (Kartenleser sowieso), > 2. gibts das, zumindest bei den von mir konsultierten Banken 3. Meist muss man für die nötige Software noch zusätzlich Gebühren zahlen. Das Verfahren mit Chipkarte+Codeingabe per externem Leser ist genauso sicher, da hierbei auch immer Zielkontonummer/BLZ abgefragt. Norbert S. schrieb: > Ich benutze auch seit einigen Woche die optische TAN Lösung Wird dort eigentlich die eingelesenen Daten nochmal angezeigt bevor die TAN angezeigt wird?
Ich benutz mit der Spaßkasse HBCI. Man bekommt eine zweite, komplett neue Karte, mit der man allerdings auch Geld abheben & Kontoauszüge holen kann. StarMoney hat 20 € gekostet, Kartenleser (Cherry Tastatur inkl. PIN-Eingabe) 40€. Das ists mir bei meinem oft genutzten Privatkonto wert. Bei der RaiffVolksbank kostet HBCI (die Karte) 25€, ob da schon Software dabei ist weiß ich nicht. Solange man nicht auf E-Mails der "Bankinstitute" reagiert (die haben meine Mailadresse auch gar nicht) und als eingeschränkter Nutzer arbeitet seh ich das TAN-Problem auch nicht so eng. Aber wenn es jemand wirklich drauf anlegt dürfte das wohl auch kein Problem sein.
Mike Hammer schrieb: > Wer sagt denn, das die Bank dann nicht > dafür haftet? Warum sollte die Bank bitte haften? > Innerhalb der EU müsste die Bank sich das Geld wieder beschaffen > können, Warum sollte sie? Ihr ist kein Geld gestohlen worden.
>Warum sollte die Bank bitte haften?
Weil es Software der Bank ist und die dafür auch die
Verantwortung trägt wenn dem Kunden Geld vom Konto
abhanden kommt.
Jeffrey Lebowski schrieb: > wie ist das ganze denn nun passiert Er hatte das iTAN Verfahren. Das erschreckende fand ich das ihm der PC sowohl bei seiner lokalen Hausbank und auch bei der großen Deutsche Bank eine falsche Seite untergejubelt hat. Beim ersten mal wurde ihm eine TAN geklaut, beim zweiten mal wurde er gebeten aus sicherheitgründen 8 TAN Nummern einzugeben.
Mike Hammer schrieb: >>Warum sollte die Bank bitte haften? > Weil es Software der Bank ist und die dafür auch die > Verantwortung trägt wenn dem Kunden Geld vom Konto > abhanden kommt. Heißt das, der Kunde hat einen Freibrief, zu machen was er will?
Läubi .. schrieb: > Norbert S. schrieb: > >> Ich benutze auch seit einigen Woche die optische TAN Lösung > > Wird dort eigentlich die eingelesenen Daten nochmal angezeigt bevor die > > TAN angezeigt wird? Es wird die Empfänger Kontonummer under der Betrag angezeigt und nach bestägigen dann die TAN.
Jeffrey Lebowski schrieb: > wie ist das ganze denn nun passiert? welches TAN-Verfahren hat Dein > Bekannter genützt? Mich würde es auch interessieren, was da konkret passiert ist.
Michael H. schrieb: > Mike Hammer schrieb: > >> Wer sagt denn, das die Bank dann nicht > >> dafür haftet? > > Warum sollte die Bank bitte haften? Das Problem sehe ich darin wenn die Banken nicht mehr haften, werden sehr viele Bankgeschäfte wieder klassich am Schalter abgewickelt. Neuere Online Banken sind dann nicht mehr überelebensfähig, andere Banken müssten wieder Personal für Schalter aufrüsten was sehr teuer ist. Solange das Phishing im Rahmen bleibt und durch die Gebühren quasi locker abgedeckt ist werden die nichts ändern.
Mike Hammer schrieb: >>Warum sollte die Bank bitte haften? > Weil es Software der Bank ist und die dafür auch die > Verantwortung trägt wenn dem Kunden Geld vom Konto > abhanden kommt. [ ] Du hast verstanden, was phishing ist.
Norbert S. schrieb: > Läubi .. schrieb: >> >> Wird dort eigentlich die eingelesenen Daten nochmal angezeigt bevor die >> >> TAN angezeigt wird? > > Es wird die Empfänger Kontonummer under der Betrag angezeigt und nach > bestägigen dann die TAN. Wobei dieses Verfahren genau so lange sicher ist, bis jemand den Algorithmus, der dahinter steckt, knackt. Dann ist das optische Verfahren noch unsicherer als das "normal" TAN-Verfahren - man benötigt lediglich das Passwort für ein Konto und überweist wie und wohin man will, denn die TAN errechnet man sich dann ja selbst!
>[ ] Du hast verstanden, was phishing ist. Im groben schon. Eine Webseite, die aussieht wie von deiner Bank, wo du dann deine Überweisung tätigst, aber von Hackern stammt die dann deine Daten missbrauchen um sich Geld aus dem Ausland vom meinem Konto zu ziehen, stimmts? Wenn, dann mach ich mir immer eine Kopie von dem Vorgang und wenn der Betrag nicht ordentlich verbucht wurde würde ich bei der Hotline Rabats machen. Hab ich aber bisher noch nie gehabt. Toi,toi,toi. >Heißt das, der Kunde hat einen Freibrief, zu machen was er will? Heißt ja nicht, das die Bank einen Freibrief hat, um zu machen, was die wollen.
Jeffrey Lebowski schrieb: > Wobei dieses Verfahren genau so lange sicher ist, bis jemand den > Algorithmus, der dahinter steckt, knackt. autsch ja genau... Wenn das der Fall wäre hätten wir sicher andere Probleme als möglicherweise gehackte Online Konten. Das Verfahren ist nämlich mitnichten geheim, sonder basiert auf dem Callenge-Response Verfahren, d.h. ein Angreifer muss dein Kontonummer+Zugehörige Pin+Zugehörige (freigeschaltete) EC/Bankkarte haben. Jeffrey Lebowski schrieb: > Dann ist das optische Verfahren noch unsicherer Nein, das "optische" Verfahren nimmt einem nur die Arbeit ab, diese Daten vom Bildschirm abzutippen. Ergänzend kann man eigentlich sagen: Jedes TAN Verfahren, welches nicht Ziel KTNr/BLZ/Betrag für die Erzeugung der TAN heranzieht ist inherent anfällig für Pishing.
Norbert S. schrieb: > Vor zwei Wochen dann wurde ein Bekannter Phishing Opfer. Ihm wurde eine > TAN abgefischt und einige Tausend Euro in ein Osteuropäisches Land > überweisen. Ganz schön dämlich von Deinem Bekannten. Man kann zwar Webseiten bis ins Detail fälschen - aber eines nicht: das ist die Adresse (URL), die der Browser oben in der Adresszeile anzeigt, wenn man die Seite (aus der E-Mail) anklickt. Man muss einfach nur mal lesen, was da oben steht. Warum können die Leute nicht schauen, wo sie eigentlich gelandet sind? Einige E-Mail-Programme (wie Thunderbird) warnen sogar extra vor möglichem Phishing, wenn in der E-Mail die angezeigte Adresse zu der hinterlegten URL nicht übereinstimmt. Unglaublich, wie leichtfertig die Leute mit dem Medium Internet umgehen. Gruß, Frank
Und wenn ein eingeschleuster Virus die DNS-Anfrage umleitet?
Für mich gibts schon lange nur noch eins: Alle Konten, auf denen was zu holen wäre, werden über Chipkarten-HBCI bedient. Das ist den Ganoven wohl noch einige Zeit zu komliziert. Die ziehen die massenhaft verbreiteten unsichereren Verfahren als Angriffsziel vor. Die Chipkarten habe ich bisher kostenlos bekommen, nur Ersatzkarten kosten was. Den Chipkartenleser mußte ich bezahlen. Das ist aber auch einer mit Display und eigener Tastatur. Wobei man allerdings sagen muß, das bei dem Typ das Display keine Sicherheitsfunktion hat. Bisher hatten die Banken wenig Lust, Chipkarten-HBCI aus eigenen Stücken anzubieten. Wenn man nach HBCI fragt, dann kommen sie mit den Conterganmodellen davon, die nichts anderes als Pin/Tan-Verfahren mit HBCI-Etikett sind. Die HBCI-Chipkarten sind keine EC-Karten und nur für HBCI verwendbar.
Meine Bank ruft mich an wenn eine ungewoehnliche Transaktion ansteht. Ferner sollte man immer kontrollieren, ob die Transaktion unter https mit passender URL laeuft.
ich sehe kein großes Problem in der Nutzung meiner Tan Liste. Ich verwende das iTAN Verfahren mit BEN- Bestätigung (Commerzbank). Laut Bankmittarbeiter sieht man sofort, wenn irgend etwas nicht stimmt, da dann die BEN nicht mit meinem Ausdruck übereinstimmt.
Frank M. schrieb: > Ganz schön dämlich von Deinem Bekannten. Man kann zwar Webseiten bis ins > Detail fälschen - aber eines nicht: das ist die Adresse (URL), die der > Browser oben in der Adresszeile anzeigt, wenn man die Seite (aus der > E-Mail) anklickt. Man muss einfach nur mal lesen, was da oben steht. Wünsche dir das du das immer beherzigst. Mein Bekannter und auch ich sind nicht dämlich. Manchmal muss es schnell gehen und schon ists passiert ! > Die Chipkarten habe ich bisher kostenlos bekommen, Meine Bank will dafür jährliche Gebühren ( ~ 10,- Euro), das Lesegerät ca. 50,- Euro ist noch ok würde (werde) ich machen wenn das Optischen TAN Verfahren gehackt ist (hoffentlich bin ich nicht der erste !).
Uhu Uhuhu schrieb: > Die HBCI-Chipkarten sind keine EC-Karten und nur für HBCI verwendbar. Bei mir ist das anders.
Mike Hammer schrieb: > Schon allein das die Überweisung ins Ausland(nonEU) > ginge wäre ausreichend Beweiskräftig, da ich gar keinen Pass habe. Was hat denn das Eine mit dem Anderen zu tun? versteh' ich nicht. Iwan
Weil die Bank unterstellen könnte ich hätte das alles arrangiert. Die Bänker sind dafür bekannt.
Das A und O ist die Trennung von PC- und verschlüsselnder Hardware und eine unabhängige Anzeige der verschlüsselten Daten (wie z.B. beim Reiner cyberJack). Oder man lässt sich die TAN zumindest mit der Kontonummer und Betrag auf's Handy schicken. Das ist dann schon sehr sicher. Chris D.
>Oder man lässt sich die TAN zumindest mit der Kontonummer und Betrag >auf's Handy schicken. >Das ist dann schon sehr sicher. Ja, weil eine Pishingseite dir keine TAN auf dein Handy schicken könnte.
zumindest würde das weitergehende Recherchen benötigen da ein Angreifer vermutlich nicht Deine Handy-Nr kennt! - die ist ja bei der Bank gespeichert und wird nicht über das internet übertragen.
Ich verstehe trotzdem nicht, wie das mit dem Phishing funktionieren soll. Angenommen eine gefälschte Seite auf die man per Trojaner unbemerkt umgeleitet wird, luchst einem eine TAN ab, was soll der Betreiber der gefälschten Seite damit anfangen? Schließlich wird bei einer echten Transaktion eine zufällig ermittelte TAN von der Liste verlangt. Und bei mehrfach falsch eingegebener TAN wird der Zugriff gesperrt. Das Heißt die gefälschte Seite muss einem schon die gesamte TAN-Liste nach und nach abluchsen um damit was anfangen zu können und da müsste man es doch merken, wenn man eine Überweisung nach der nächsten tätigt und sich aber nichts auf dem Konto tut.
Nein, das machen die anderst! Ist dir "Man-in-the-middle" ein Begriff? http://de.wikipedia.org/wiki/Man-in-the-middle-Angriff Der Angreifer setzt sich zwischen Dich und Deiner Bank. Bei einer Überweisung fängt er die Kommunikation ab und verändert Betrag und Empfänger, den Rest leitet er unverändert weiter. Anschließend kommt von der Bank die TAN-Abfrage die er einfach weiter gibt. Beim Konventionellen TAN-Verfahren hat die TAN keinen Bezug zur Überweisung, deswegen bemerkt die Bank auch die Manipulation nicht und überweist anstelle von 5€ an Oma Trude 5000€ nach Russland. Bei eTAN bzw. bei der TAN-Berechnung mit einem Generator wird aber der Betrag sowie das Empfängerkonto direkt in die TAN miteingerechnet, somit erkennt die Bank wenn die TAN nicht mit Betrag und Empfänger zusammen passt!
Mike Hammer schrieb: >>Oder man lässt sich die TAN zumindest mit der Kontonummer und Betrag >>auf's Handy schicken. >>Das ist dann schon sehr sicher. > Ja, weil eine Pishingseite dir keine TAN auf dein Handy schicken könnte. Mal angenommen der Angreifer würde deine Tandynummer kennen was sollte das bringen? Du hinterlegst doch deine Nummer bei der Bank. D.h. tätigst du eine Überweisung an Herrn XYZ mit KNTO 123, generiert die Bank eine TAN und sendet Sie an dein Handy. Der "Pisher" (P) fängt jetzt diese Tan ab un kann damit genau diese Überweisung tätige, weil die TAN nur dafür gültig ist. Also Gewinn = 0 Um also Erfolgreich zu sein müßte folgendes Szenario eintreten: - P jubelt dir eine falsche Seite unter - Du tätigst eine Überweisung, P leitet diese aber nicht weiter an die Bank sondern gibt "seine" ein. - Nun muß P schnell beim Mobilfunkprovider einhacken, sodass die SMS der Bank bei Ihm landet und dir eine "falsche" SMS unterschieben. Ob das so realistisch ist?
hm, das verstehe ich nicht, wenn die Tan die Kontonummer und meinethalben den Betrag zur Berechnung heranzieht wird beim Man in the Middle doch das ganze System ad Absurdum geführt oder nicht? Ich stelle mir das so vor: ich gebe Daten für eine Überweisung ein und sende diese (unbemerkt) an die falsche Website. Dort werden die Daten "bearbeitet" und an meine Bank weitergeleitet. Wenn die Bank jetzt eine Tan generiert dann doch bereits mit den falschen Daten. Gibt es denn in dem Verfahren für mich als Kunden die Möglichkeit solch eine Tan auf die passende Transaktion zu prüfen? Wenn nicht macht das imho so keinen Sinn sondern würde derartige Attaken ja sogar unterstützen
Christian B. schrieb: > hm, das verstehe ich nicht, wenn die Tan die Kontonummer und > meinethalben den Betrag zur Berechnung heranzieht wird beim Man in the > Middle doch das ganze System ad Absurdum geführt oder nicht? Exact deswegen funktioniert das auch nur mit den "Bitte geben Sie (irgendeine/Nummer 1337) TAN ein" Systemen, und solches wurde hier wohl verwendet als es zum "Zwischenfall" kam. > Gibt es denn in dem Verfahren für mich als Kunden die Möglichkeit > solch eine Tan auf die passende Transaktion zu prüfen? Wie oben schon geschrieben, beim Optischen Verfahren werden dir die zugehörigen Daten auf dem Leser angezeigt, beim SMS Verfahren wohl in der SMS, und beim manuellem Verfahren mußt du die Daten per Hand in den Kartenleser eintippen.
Das "Zielkontos" fließt ja nur beim eTAN-Verfahren mit ein, und dort siehst du dann auf dem Display Deines TAN-Generators ja die Kontonr und den Betrag. eTAN funktioniert so: 1. Ich tippe Kontonr und Betrag ins onlineformular der Bankwebseite ein. 2. Ich tippe diese Informationen nochmal in den TAN-Generator (nicht mit dem PC verbunden) Zur Berechnung wird ausserdem noch eine individuelle ID-Nr meiner (fürs onlinebanking freigeschalteten) EC-Karte benötigt. 3. Der TAN-Generator berechnet mir die TAN anhand von EC-Karte, Zielkonto, Betrag, Zeitstempel. 4. Ich tippe die TAN vom Display des TAN-Generators in den PC ein. (5) Würde nun jemand die Empfängerdaten ändern, würden die TAN nicht mehr passen! Edit: Bei den neuen System muss man die Daten übrigens nicht mehr in den TAN-Generator eintippen, das macht ein Barcode am PC-Bildschirm. Hier muss man dann aber nochmals im Display des TAN-Generatos überprüfen, ob die via Barcode übertragenen Daten auch wirklich noch stimmen.
Mike Hammer schrieb: >>Oder man lässt sich die TAN zumindest mit der Kontonummer und Betrag >>auf's Handy schicken. > >>Das ist dann schon sehr sicher. > > Ja, weil eine Pishingseite dir keine TAN auf dein Handy schicken könnte. So isses. 1. weil die die Nummer nicht kennt 2. weil ihr selbst das nichts nützt - denn sie benötigt ja die korrekte TAN der Bank, die aber dummerweise nur an meine Handynummer verschickt. 3. Änderungen am MobileTAN zumindest bei meiner Bank immer der Schriftform bedürfen und einige Tage benötigen. Zusätzlich gibt es vorher entsprechende E-Mails an mich Insofern: ja, sehr sicher :-) Chris D.
Deswegen: Trojaner-Verseuchtes EiPhone öffnet Bank-Webseite, Betrag und Empfänger der Überweisung werden umgebogen, SMS mit mTan kommt an, und wird automatisch zum Bestätigen verwendet.
Also ich kenne niemanden dem das schon mal passiert ist, ich nutze Onlinebanking schon seit den 90ern, damals noch mit BTX (falls das einer noch kennt). Zudem muss ich echt sagen, dass die deutschen Banken wirklich nicht aktuell sind. Bei meinem schweizer Postfinance Konto gibt es schon seit Jahren den supi Taschenrechner, über den man mit der EC-Karte und dem Pin einen Zugangscode generiert. Das kostet nichts extra!
Εrnst B✶ schrieb: > Deswegen: > > Trojaner-Verseuchtes EiPhone öffnet Bank-Webseite, Betrag und Empfänger > der Überweisung werden umgebogen, SMS mit mTan kommt an, und wird > automatisch zum Bestätigen verwendet. So geht das natürlich, aber wer alles mit einem Gerät macht, gehört eh geschlagen :-) Mein Mobiltelefon ist aber eine alte Gurke - mit dem kann man sogar noch telefonieren und simsen. Insofern: ja, ist immer noch sicher ;-) Chris D.
Toni M. schrieb: > Zudem muss ich echt sagen, dass die deutschen Banken wirklich nicht > aktuell sind. Bei meinem schweizer Postfinance Konto gibt es schon seit > Jahren den supi Taschenrechner, über den man mit der EC-Karte und dem > Pin einen Zugangscode generiert. Das kostet nichts extra! Ja, das mit der PIN ist schön, aber leider ist das auch nicht sicher, da man nach einmaligem Einloggen alle Freiheiten hat. Der Trojaner wartet also einfach, bis man sich eingeloggt hat und kann dann in Ruhe manipulieren. Vielleicht hast Du ein anderes System aber ich muss es leider sagen: so ist das für die Tonne. Allerdings: die Mitarbeiter der SwissPost sind am Telefon sehr freundlich und hilfsbereit. Kein Vergleich zur hiesigen Bankenlandschaft. Chris D.
Ich bin mal Opfer geworden, weiß aber nicht ob es Phising war. Irgendwie wurden meine Kreditkartendaten abgefangen(ich benutze die nur Online) und es wurde versucht damit einzukaufen. Das Kreditkartenunternehmen ist dann stutzig geworden und hat bei mir nachgefragt(mehrere 1000eur bei Dell und Apple meinten die zu mir)...dann war das ganze Thema für mich erledigt. Aber keine Ahnung was passiert wäre wenn die nicht geschaltet hätten. Ich hab bis heute keine Ahnung was da genau schiefgelaufen ist und wo meine Daten abgegriffen worden sind. Im Zweifelsfalle denke ich, das es gut ist, wenn die Gauner so gierig wie irgendmöglich sind...dann besteht die Chance das bei der Bank noch irgendjemand stutzig wird. Beim Onlinebanking bin ich jetzt auch auf den Tangenerator mit diesem zusätzlichen Optikkram und einmal vor den Bildschirm halten umgestiegen. Bei meiner Bank kostete das einmalig 10€ und das wars. Beim Onlinebanking hab ich bisher aber auch noch nie Probleme gehabt. Bin bei ner Kreissparkasse...evtl. ist die zu klein um ein Lohnenswertes Ziel zu sein?
Was ich nicht verstehe: Angenommen ein Betrüger schafft es tatsächlich Geld auf (sein) Konto im Ausland zu überweisen. Mir ist kein Land bekannt, in dem es soetwas wie anonyme Konten gibt. Mit einigem Aufwand sollte es der Polizei/ dem Bundeskriminalamt mit Zusammenarbeit des jeweiligen Ziellandes doch möglich sein den Inhaber zu ermitteln!?? Und die Mühe lohnt sich doch auch, falls festegestellt werden würde, dass auf ein bestimmtes Konto merkwürdige Überweisungen getätigt werden.
Kann eigentlich die PIN gepisht werden? Das kam mir gerade in den Sinn. Einige Banken verlangen außer der Konto/Kundennr., die PIN und zusätzlich noch einen Code der von der Bank noch mal angezeigt wird und der einen zusätzlichen Zugangsschlüssel darstellt. Andere Banken nutzen nur Kontonr. und PIN, mehr nicht. Ich finde das ein wenig schwach. >Mit einigem Aufwand sollte es der Polizei/ dem Bundeskriminalamt mit >Zusammenarbeit des jeweiligen Ziellandes doch möglich sein den Inhaber >zu ermitteln!?? Einige Länder verweigern die Zusammenarbeit mit der Justiz. Anderen ist der Aufwand einfach wieder zu groß und lassen es. >Aber keine Ahnung was passiert wäre wenn die nicht geschaltet hätten. >Ich hab bis heute keine Ahnung was da genau schiefgelaufen ist und >wo meine Daten abgegriffen worden sind. Ich glaube mich zu erinnern das vor einiger Zeit mal was in den Medien veröffentlicht wurde das tausende von Kreditkartendaten gehackt worden waren. Ob es daran lag kann ich nicht sagen. Ist noch gar nicht so lange her aber anscheinend ist schon Gras über die Sache gewachsen.
@Chris D. ja, das stimmt. Einmal einloggen(mit dem Taschenrechner) und man kann erstmal alles machen. Überweisungen usw. erfordern keine neue Authentifizierung (bin auch bei postFinance) Und ehrlich gesagt wirkt bei postFinance die WebOberfläche ziemlich "billig".
Martin Meier schrieb: > Angenommen ein Betrüger schafft es tatsächlich Geld auf (sein) Konto im > Ausland zu überweisen. > > Mir ist kein Land bekannt, in dem es soetwas wie anonyme Konten gibt. > Mit einigem Aufwand sollte es der Polizei/ dem Bundeskriminalamt mit > Zusammenarbeit des jeweiligen Ziellandes doch möglich sein den Inhaber > zu ermitteln!?? Naja, aber bis das erstmal auffällt und die Justiz der beiden Länder sich da untereinander verständigt hat uswusw sind die doch schon über alle Berge. Und wer sagt nicht, das das Konto schon mit falschen Daten eröffnet wurde?
Martin Meier schrieb: > Mir ist kein Land bekannt, in dem es soetwas wie anonyme Konten gibt. > Mit einigem Aufwand sollte es der Polizei/ dem Bundeskriminalamt mit > Zusammenarbeit des jeweiligen Ziellandes doch möglich sein den Inhaber > zu ermitteln!?? Auch wenn es ein Inlandskonto ist - du hast wenig davon. Bis der verurteilt ist, ist von deinem Geld fuer gewoehnlich nichts mehr uebrig.
Was ich mich beim Sparkassen Verfahren mit eTAN stört ist die Tatsache, dass die BLZ nicht im TAN-Generator angezeigt wird. Somit wäre es theoretisch möglich, dass jemand die gleiche Kto-Nr bei einer anderen Bank hat und das Geld somit auf dem falschen Konto landet.
Das iTan-Verfahren ist sicher, solange man sich an die Regeln hält, also dafür sorgt, dass kein Fremdsoftware den Comp infiltriert. Kann man das gewährleisten, so gibt es auch keine Probleme. Ausserdem kann man bei jeder vernüftigen Bank ein beliebiges Limit für Onlineüberweisungen gesetzt werden.
Walther Z. schrieb: > Ausserdem kann man bei > > jeder vernüftigen Bank ein beliebiges Limit für Onlineüberweisungen > > gesetzt werden. Genau und das Limit kann man bequemerweise online ändern !
Walther Z. schrieb: > Das iTan-Verfahren ist sicher, solange man sich an die Regeln hält, also > dafür sorgt, dass kein Fremdsoftware den Comp infiltriert. Kann man das > gewährleisten, so gibt es auch keine Probleme. Gewährleisten kann man das nicht!, ausser man trennt den PC vom Netz - wodurch aber auch Onlinebanking etwas umständlich wird! Man kann alle möglichen Vorkehrungen treffen um das Risiko gering zu halten und im Falle einer Infiltrierung ohne Verzögerung eine Meldung zu erhalten, aber ausschließen kann man es nicht! just my 2 cents
Martin Meier schrieb: > Mir ist kein Land bekannt, in dem es soetwas wie anonyme Konten gibt. > Mit einigem Aufwand sollte es der Polizei/ dem Bundeskriminalamt mit > Zusammenarbeit des jeweiligen Ziellandes doch möglich sein den Inhaber > zu ermitteln!?? Deswegen werben die Kerle doch irgendwelche Deppen als Finanz-Agenten an. Auf deren Konto wird das gephischte Geld überwiesen und die sollen es - nach Abzug von 10-20% "Provision" - per Western Union an die Drahtzieher schicken. Diese Jungs bekommen dann hier ziemlich schnell Probleme mit der Justiz wegen Geldwäsche. Aber bis es so weit ist, ist die Kohle längst weg und Western Union zahlt an jeden, der den Geheimcode der Transaktion vorlegt - völlig anonym und nicht nachvollziehbar.
uhu, das hast du falsch verstanden! das sind arme nigerianische Prinzen die im Exil leben müssen und ihre einzige Chanche auf Glück und innerer Frieden sind die europäischen e-mail user! Du solltest ein wenig Mitleid und Verständniss zeigen! _scnr*
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.