www.mikrocontroller.net

Forum: Offtopic Wer wurde (kennt) Phishing Opfer durch Online Banking


Autor: N. S. (sharpay)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Bis vor kurzen kannte ich dieses Thema nur durch die Medien.
Vor zwei Wochen dann wurde ein Bekannter Phishing Opfer. Ihm wurde eine 
TAN abgefischt und einige Tausend Euro in ein Osteuropäisches Land 
überweisen.
Ich benutze Internet Banking schon seit mehr als 10 Jahren und mache mir 
so meine Gedanken zu dem Thema.
 Diese Trojaner scheinen inzwischen so perfekt zu funktionieren. Kein 
Virescanner erkennt sie und sie laden verschiedene falsche Bankseiten 
herunter die wirklich echt aussehen.

Autor: Jeffrey Lebowski (the_dude)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
wie konnte das passieren?
ich fühlte mich früher schon recht sicher mit iTAN, vor ca. 6 Monaten 
hat meine Bank dann auf sm@rtTAN optic umgestellt, was m.E.n. noch 
sicherer ist!?

Bzgl. Deiner Frage: ich keinen niemanden und das Phishingproblem ist bis 
jetzt nur aus den MEdien bekannt! toi toi toi

Autor: Weingut Pfalz (weinbauer)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Was mir in dem Zusammenhang suspekt ist ...

Es gibt schon Ewigkeiten das HBCI-Verfahren mit Chipkarte.
Derzeit meines Wissens nach das sicherste Verfahren überhaupt
und
1. Muss der Kunde die Karte meist selber blechen (Kartenleser sowieso),
2. gibts das, zumindest bei den von mir konsultierten Banken
(VR und Spaßkasse) nur auf Anfrage und ungern.
Stattdessen wird da noch immer auf dem Browser herumgefuhrwerkt
anstatt ne vernünftige Software zu verwenden.

Mails der Sorte hatte ich schon massig. Hat mir nur ein müdes Lächeln 
abgerungen.
Hab die anfangs auch immer brav an die jeweiligen Kreditinstitute 
weitergeleitet, evtl. hätten die ja dann Möglichkeiten per Anzeige, LKA, 
BKA oder was weiß ich, mittlerweile nachdem da nie irgendeine 
Rückmeldung kam nur noch ab in die Tonne damit.

Meine Frau ist mal mit so nem EC-Karten hack geschröpft worden.
Damals hatten dreiste Diebe einen insolvent geschlossenen Schuhladen 
mitten in der FuZo aufgebrochen und den Laden 3 Tage aus den noch 
lagernden Wahren betrieben. Hatten schon extrem gute Nerven die Leute.
Die Kunden, die mit EC zahlten hatten dann anschließend Abhebungen in 
Nizza.

Autor: N. S. (sharpay)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Ich benutze auch seit einigen Woche die optische TAN Lösung. Die Frage 
ist nur wie lange ist diese sicher ?
 Durch die Bank wird man nur immer darauf hingewiesen mann solle keine 
TAN (schon ganr nicht mehrere) nach Aufforderung in Emails weitergeben. 
Weiter sollte mann einen aktuellen Virenscanner benutzen. Alle diese 
Massnahmen schützen ja leider nicht wirklich. Es wird immer nur darauf 
hingewiesen das das Problem, besteht, nicht aber wie hoch das Risiko 
bzw. wieviele Personen täglich davon betroffen sind. Wahrscheinlich 
würden die Zahlen die Kunden abschrecken und alle geschlossenen 
Bankfilialen müssten wieder aufgebaut werden.

Autor: Jeffrey Lebowski (the_dude)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Fhutdhb Ufzjjuz schrieb:
> Es gibt schon Ewigkeiten das HBCI-Verfahren mit Chipkarte.
> Derzeit meines Wissens nach das sicherste Verfahren überhaupt
> und
> 1. Muss der Kunde die Karte meist selber blechen (Kartenleser sowieso),
> 2. gibts das, zumindest bei den von mir konsultierten Banken
> (VR und Spaßkasse) nur auf Anfrage und ungern.
> Stattdessen wird da noch immer auf dem Browser herumgefuhrwerkt
> anstatt ne vernünftige Software zu verwenden.

ja gut, eine EC-Karte hat man sowieso und den Kartenleser bekommt man 
(zumindest bei der Sparkasse) für 5 €.

Eine viel grössere Gefahrenquelle sehe ich am Bankautomat wenn mit 
Kartenleser und Handycam die Karte dupliziert wird!

Autor: N. S. (sharpay)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Fhutdhb Ufzjjuz schrieb:
> Was mir in dem Zusammenhang suspekt ist ...
>
> Es gibt schon Ewigkeiten das HBCI-Verfahren mit Chipkarte.
> Derzeit meines Wissens nach das sicherste Verfahren überhaupt
> und
> 1. Muss der Kunde die Karte meist selber blechen (Kartenleser sowieso),
> 2. gibts das, zumindest bei den von mir konsultierten Banken
> (VR und Spaßkasse) nur auf Anfrage und ungern.
> Stattdessen wird da noch immer auf dem Browser herumgefuhrwerkt
> anstatt ne vernünftige Software zu verwenden.

Es gibt da keine offizielle Regelung.
Wenn man ein guter Kunde ist wird der Schaden auf Kulanz ersetzt, der 
Bekannte musste zumindest eine Anzeige bei der Polizei nachweisen.
 Wenn man ein kleiner (privater) Kunde ist wird die Sache schwieriger. 
Eventuell sollte mann den Rechner einfach nur ausschalten und als 
Beweismittel aufheben, kann der Trojaner nachgewiesen werden und die 
Virensoftware war auch aktuell, wird mann den Schaden ersetzt bekommen.
Wobei der Aufwand erheblich ist, die Polizei wird den Rechner vermutlich 
nicht checken und die Bank ?

Autor: Weingut Pfalz (weinbauer)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Norbert S. schrieb:
> Wenn man ein kleiner (privater) Kunde ist wird die Sache schwieriger.

von der Spaßkasse habe ich "insider"-Infos, das da, so der Papierkram 
erledigt ist (Anzeige bei Bolizei und ggf. Beweissicherung derselbigen) 
derlei Vorfälle noch (!) recht kulant geregelt werden.

Zu HBCI nochmal ... ja, auf der gängigen EC ist ja schon n Chip drauf, 
da hätt es noch Platz für nen Zweiten mit HBCI.
Dann noch passende Software dazu ...

Autor: Jeffrey Lebowski (the_dude)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
wie ist das ganze denn nun passiert? welches TAN-Verfahren hat Dein 
Bekannter genützt?

Autor: Weingut Pfalz (weinbauer)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
genützt hat's ihm nicht viel, da er es nicht richtig benützt hat. :o)

Autor: A. K. (prx)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
HBCI bringt vorzugsweise dann etwas, wenn der Code nicht am Rechner 
sondern am Kartenleser eingetippt wird. Leider gehen diese Leser 
ziemlich ins Geld.

Autor: Vlad Tepesch (vlad_tepesch)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Fhutdhb Ufzjjuz schrieb:
> Damals hatten dreiste Diebe einen insolvent geschlossenen Schuhladen
> mitten in der FuZo aufgebrochen und den Laden 3 Tage aus den noch
> lagernden Wahren betrieben.

krass, das ist ja mal dreist

Autor: Zwölf Mal Acht (hacky)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Die Banken sind extrem passiv in dieser Sache und waelzen das Risiko auf 
die Kunden ab. Da werden Chipkarten ausgegeben und nur der 
Magnetstreifen davon wird verwendet. Den Magnetstreifen kann nun aber 
jeder kopieren. Die Photos auf den Kreditkarten sind bewusst absichtlich 
nicht vorhanden.

Autor: Mike Hammer (-scotty-)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Ich plane/habe auf meinem Onlinekonto nur ein geringes Guthaben.
Sollte es mal geknackt werden hält sich der Schaden in Grenzen
auch wenn es ärgerlich ist. Wer sagt denn, das die Bank dann nicht
dafür haftet? Schon allein das die Überweisung ins Ausland(nonEU)
ginge wäre ausreichend Beweiskräftig, da ich gar keinen Pass habe.
Innerhalb der EU müsste die Bank sich das Geld wieder beschaffen
können, aber das ist nicht mein Problem.

Autor: Läubi .. (laeubi) Benutzerseite
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Fhutdhb Ufzjjuz schrieb:
> Es gibt schon Ewigkeiten das HBCI-Verfahren mit Chipkarte.
> 1. Muss der Kunde die Karte meist selber blechen (Kartenleser sowieso),
> 2. gibts das, zumindest bei den von mir konsultierten Banken
3. Meist muss man für die nötige Software noch zusätzlich Gebühren 
zahlen.

Das Verfahren mit Chipkarte+Codeingabe per externem Leser ist genauso 
sicher, da hierbei auch immer Zielkontonummer/BLZ abgefragt.

Norbert S. schrieb:
> Ich benutze auch seit einigen Woche die optische TAN Lösung
Wird dort eigentlich die eingelesenen Daten nochmal angezeigt bevor die 
TAN angezeigt wird?

Autor: Reinhard S. (rezz)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Ich benutz mit der Spaßkasse HBCI. Man bekommt eine zweite, komplett 
neue Karte, mit der man allerdings auch Geld abheben & Kontoauszüge 
holen kann.
StarMoney hat 20 € gekostet, Kartenleser (Cherry Tastatur inkl. 
PIN-Eingabe) 40€. Das ists mir bei meinem oft genutzten Privatkonto 
wert.

Bei der RaiffVolksbank kostet HBCI (die Karte) 25€, ob da schon Software 
dabei ist weiß ich nicht.

Solange man nicht auf E-Mails der "Bankinstitute" reagiert (die haben 
meine Mailadresse auch gar nicht) und als eingeschränkter Nutzer 
arbeitet seh ich das TAN-Problem auch nicht so eng. Aber wenn es jemand 
wirklich drauf anlegt dürfte das wohl auch kein Problem sein.

Autor: Michael H. (michael_h45)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Mike Hammer schrieb:
> Wer sagt denn, das die Bank dann nicht
> dafür haftet?
Warum sollte die Bank bitte haften?

> Innerhalb der EU müsste die Bank sich das Geld wieder beschaffen
> können,
Warum sollte sie? Ihr ist kein Geld gestohlen worden.

Autor: Mike Hammer (-scotty-)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
>Warum sollte die Bank bitte haften?
Weil es Software der Bank ist und die dafür auch die
Verantwortung trägt wenn dem Kunden Geld vom Konto
abhanden kommt.

Autor: N. S. (sharpay)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Jeffrey Lebowski schrieb:
> wie ist das ganze denn nun passiert

Er hatte das iTAN Verfahren. Das erschreckende fand ich das ihm der PC 
sowohl bei seiner lokalen Hausbank und auch bei der großen Deutsche Bank 
eine falsche Seite untergejubelt hat.
 Beim ersten mal wurde ihm eine TAN geklaut, beim zweiten mal wurde er 
gebeten aus sicherheitgründen 8 TAN Nummern einzugeben.

Autor: Reinhard S. (rezz)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Mike Hammer schrieb:
>>Warum sollte die Bank bitte haften?
> Weil es Software der Bank ist und die dafür auch die
> Verantwortung trägt wenn dem Kunden Geld vom Konto
> abhanden kommt.

Heißt das, der Kunde hat einen Freibrief, zu machen was er will?

Autor: N. S. (sharpay)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Läubi .. schrieb:
> Norbert S. schrieb:
>
>> Ich benutze auch seit einigen Woche die optische TAN Lösung
>
> Wird dort eigentlich die eingelesenen Daten nochmal angezeigt bevor die
>
> TAN angezeigt wird?

Es wird die Empfänger Kontonummer under der Betrag angezeigt und nach 
bestägigen dann die TAN.

Autor: Mano Wee (Firma: ---) (manow)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Jeffrey Lebowski schrieb:
> wie ist das ganze denn nun passiert? welches TAN-Verfahren hat Dein
> Bekannter genützt?

Mich würde es auch interessieren, was da konkret passiert ist.

Autor: N. S. (sharpay)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Michael H. schrieb:
> Mike Hammer schrieb:
>
>> Wer sagt denn, das die Bank dann nicht
>
>> dafür haftet?
>
> Warum sollte die Bank bitte haften?

Das Problem sehe ich darin wenn die Banken nicht mehr haften, werden 
sehr viele Bankgeschäfte wieder klassich am Schalter abgewickelt. Neuere 
Online Banken sind dann nicht mehr überelebensfähig, andere Banken 
müssten wieder Personal für Schalter aufrüsten was sehr teuer ist. 
Solange das Phishing im Rahmen bleibt und durch die Gebühren quasi 
locker abgedeckt ist werden die nichts ändern.

Autor: Michael H. (michael_h45)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Mike Hammer schrieb:
>>Warum sollte die Bank bitte haften?
> Weil es Software der Bank ist und die dafür auch die
> Verantwortung trägt wenn dem Kunden Geld vom Konto
> abhanden kommt.
[ ] Du hast verstanden, was phishing ist.

Autor: Jeffrey Lebowski (the_dude)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Norbert S. schrieb:
> Läubi .. schrieb:
>>
>> Wird dort eigentlich die eingelesenen Daten nochmal angezeigt bevor die
>>
>> TAN angezeigt wird?
>
> Es wird die Empfänger Kontonummer under der Betrag angezeigt und nach
> bestägigen dann die TAN.

Wobei dieses Verfahren genau so lange sicher ist, bis jemand den 
Algorithmus, der dahinter steckt, knackt.
Dann ist das optische Verfahren noch unsicherer als das "normal" 
TAN-Verfahren - man benötigt lediglich das Passwort für ein Konto und 
überweist wie und wohin man will, denn die TAN errechnet man sich dann 
ja selbst!

Autor: Mike Hammer (-scotty-)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
>[ ] Du hast verstanden, was phishing ist.
Im groben schon.
Eine Webseite, die aussieht wie von deiner Bank, wo du dann
deine Überweisung tätigst, aber von Hackern stammt die dann
deine Daten missbrauchen um sich Geld aus dem Ausland vom meinem
Konto zu ziehen, stimmts?
Wenn, dann mach ich mir immer eine Kopie von dem Vorgang und wenn
der Betrag nicht ordentlich verbucht wurde würde ich bei der Hotline
Rabats machen. Hab ich aber bisher noch nie gehabt. Toi,toi,toi.

>Heißt das, der Kunde hat einen Freibrief, zu machen was er will?
Heißt ja nicht, das die Bank einen Freibrief hat, um zu machen,
was die wollen.

Autor: Läubi .. (laeubi) Benutzerseite
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Jeffrey Lebowski schrieb:
> Wobei dieses Verfahren genau so lange sicher ist, bis jemand den
> Algorithmus, der dahinter steckt, knackt.
autsch ja genau... Wenn das der Fall wäre hätten wir sicher andere 
Probleme als möglicherweise gehackte Online Konten.

Das Verfahren ist nämlich mitnichten geheim, sonder basiert auf dem 
Callenge-Response Verfahren, d.h. ein Angreifer muss dein 
Kontonummer+Zugehörige Pin+Zugehörige (freigeschaltete) EC/Bankkarte 
haben.

Jeffrey Lebowski schrieb:
> Dann ist das optische Verfahren noch unsicherer
Nein, das "optische" Verfahren nimmt einem nur die Arbeit ab, diese 
Daten vom Bildschirm abzutippen.

Ergänzend kann man eigentlich sagen: Jedes TAN Verfahren, welches nicht 
Ziel KTNr/BLZ/Betrag für die Erzeugung der TAN heranzieht ist inherent 
anfällig für Pishing.

Autor: Frank M. (ukw) (Moderator) Benutzerseite
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Norbert S. schrieb:
> Vor zwei Wochen dann wurde ein Bekannter Phishing Opfer. Ihm wurde eine
> TAN abgefischt und einige Tausend Euro in ein Osteuropäisches Land
> überweisen.

Ganz schön dämlich von Deinem Bekannten. Man kann zwar Webseiten bis ins 
Detail fälschen - aber eines nicht: das ist die Adresse (URL), die der 
Browser oben in der Adresszeile anzeigt, wenn man die Seite (aus der 
E-Mail) anklickt. Man muss einfach nur mal lesen, was da oben steht.

Warum können die Leute nicht schauen, wo sie eigentlich gelandet sind?

Einige E-Mail-Programme (wie Thunderbird) warnen sogar extra vor 
möglichem Phishing, wenn in der E-Mail die angezeigte Adresse zu der 
hinterlegten URL nicht übereinstimmt.

Unglaublich, wie leichtfertig die Leute mit dem Medium Internet umgehen.

Gruß,

Frank

Autor: Matthias S. (da_user)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Und wenn ein eingeschleuster Virus die DNS-Anfrage umleitet?

Autor: Uhu Uhuhu (uhu)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Für mich gibts schon lange nur noch eins: Alle Konten, auf denen was zu 
holen wäre, werden über Chipkarten-HBCI bedient. Das ist den Ganoven 
wohl noch einige Zeit zu komliziert. Die ziehen die massenhaft 
verbreiteten unsichereren Verfahren als Angriffsziel vor.

Die Chipkarten habe ich bisher kostenlos bekommen, nur Ersatzkarten 
kosten was. Den Chipkartenleser mußte ich bezahlen. Das ist aber auch 
einer mit Display und eigener Tastatur. Wobei man allerdings sagen muß, 
das bei dem Typ das Display keine Sicherheitsfunktion hat.

Bisher hatten die Banken wenig Lust, Chipkarten-HBCI aus eigenen Stücken 
anzubieten. Wenn man nach HBCI fragt, dann kommen sie mit den 
Conterganmodellen davon, die nichts anderes als Pin/Tan-Verfahren mit 
HBCI-Etikett sind.

Die HBCI-Chipkarten sind keine EC-Karten und nur für HBCI verwendbar.

Autor: Zwölf Mal Acht (hacky)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Meine Bank ruft mich an wenn eine ungewoehnliche Transaktion ansteht. 
Ferner sollte man immer kontrollieren, ob die Transaktion unter https 
mit passender URL laeuft.

Autor: Christian B. (luckyfu)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
ich sehe kein großes Problem in der Nutzung meiner Tan Liste.
Ich verwende das iTAN Verfahren mit BEN- Bestätigung (Commerzbank). Laut 
Bankmittarbeiter sieht man sofort, wenn irgend etwas nicht stimmt, da 
dann die BEN nicht mit meinem Ausdruck übereinstimmt.

Autor: N. S. (sharpay)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Frank M. schrieb:
> Ganz schön dämlich von Deinem Bekannten. Man kann zwar Webseiten bis ins
> Detail fälschen - aber eines nicht: das ist die Adresse (URL), die der
> Browser oben in der Adresszeile anzeigt, wenn man die Seite (aus der
> E-Mail) anklickt. Man muss einfach nur mal lesen, was da oben steht.

Wünsche dir das du das immer beherzigst. Mein Bekannter und auch ich 
sind nicht dämlich. Manchmal muss es schnell gehen und schon ists 
passiert !

> Die Chipkarten habe ich bisher kostenlos bekommen,
Meine Bank will dafür jährliche Gebühren ( ~ 10,- Euro), das Lesegerät 
ca. 50,- Euro ist noch ok würde (werde) ich machen wenn das Optischen 
TAN Verfahren gehackt ist (hoffentlich bin ich nicht der erste !).

Autor: Reinhard S. (rezz)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Uhu Uhuhu schrieb:
> Die HBCI-Chipkarten sind keine EC-Karten und nur für HBCI verwendbar.

Bei mir ist das anders.

Autor: Иван S. (ivan)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Mike Hammer schrieb:
> Schon allein das die Überweisung ins Ausland(nonEU)
> ginge wäre ausreichend Beweiskräftig, da ich gar keinen Pass habe.

Was hat denn das Eine mit dem Anderen zu tun? versteh' ich nicht.

Iwan

Autor: Mike Hammer (-scotty-)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Weil die Bank unterstellen könnte ich hätte das alles arrangiert.
Die Bänker sind dafür bekannt.

Autor: Chris D. (myfairtux) (Moderator) Benutzerseite
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Das A und O ist die Trennung von PC- und verschlüsselnder Hardware und 
eine unabhängige Anzeige der verschlüsselten Daten (wie z.B. beim Reiner 
cyberJack).

Oder man lässt sich die TAN zumindest mit der Kontonummer und Betrag 
auf's Handy schicken.

Das ist dann schon sehr sicher.

Chris D.

Autor: Mike Hammer (-scotty-)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
>Oder man lässt sich die TAN zumindest mit der Kontonummer und Betrag
>auf's Handy schicken.

>Das ist dann schon sehr sicher.

Ja, weil eine Pishingseite dir keine TAN auf dein Handy schicken könnte.

Autor: Jeffrey Lebowski (the_dude)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
zumindest würde das weitergehende Recherchen benötigen da ein Angreifer 
vermutlich nicht Deine Handy-Nr kennt! - die ist ja bei der Bank 
gespeichert und wird nicht über das internet übertragen.

Autor: V. Baumann (dr-robotnik)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Ich verstehe trotzdem nicht, wie das mit dem Phishing funktionieren 
soll.
Angenommen eine gefälschte Seite auf die man per Trojaner unbemerkt 
umgeleitet wird, luchst einem eine TAN ab, was soll der Betreiber der 
gefälschten Seite damit anfangen? Schließlich wird bei einer echten 
Transaktion eine zufällig ermittelte TAN von der Liste verlangt. Und bei 
mehrfach falsch eingegebener TAN wird der Zugriff gesperrt. Das Heißt 
die gefälschte Seite muss einem schon die gesamte TAN-Liste nach und 
nach abluchsen um damit was anfangen zu können und da müsste man es doch 
merken, wenn man eine Überweisung nach der nächsten tätigt und sich aber 
nichts auf dem Konto tut.

Autor: Jeffrey Lebowski (the_dude)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Nein, das machen die anderst!

Ist dir "Man-in-the-middle" ein Begriff?
http://de.wikipedia.org/wiki/Man-in-the-middle-Angriff

Der Angreifer setzt sich zwischen Dich und Deiner Bank. Bei einer 
Überweisung fängt er die Kommunikation ab und verändert Betrag und 
Empfänger, den Rest leitet er unverändert weiter.
Anschließend kommt von der Bank die TAN-Abfrage die er einfach weiter 
gibt.

Beim Konventionellen TAN-Verfahren hat die TAN keinen Bezug zur 
Überweisung, deswegen bemerkt die Bank auch die Manipulation nicht und 
überweist anstelle von 5€ an Oma Trude 5000€ nach Russland.

Bei eTAN bzw. bei der TAN-Berechnung mit einem Generator wird aber der 
Betrag sowie das Empfängerkonto direkt in die TAN miteingerechnet, somit 
erkennt die Bank wenn die TAN nicht mit Betrag und Empfänger zusammen 
passt!

Autor: V. Baumann (dr-robotnik)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Ok. Verstehe.

Autor: Läubi .. (laeubi) Benutzerseite
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Mike Hammer schrieb:
>>Oder man lässt sich die TAN zumindest mit der Kontonummer und Betrag
>>auf's Handy schicken.
>>Das ist dann schon sehr sicher.
> Ja, weil eine Pishingseite dir keine TAN auf dein Handy schicken könnte.
Mal angenommen der Angreifer würde deine Tandynummer kennen was sollte 
das bringen?

Du hinterlegst doch deine Nummer bei der Bank.
D.h. tätigst du eine Überweisung an Herrn XYZ mit KNTO 123, generiert 
die Bank eine TAN und sendet Sie an dein Handy.

Der "Pisher" (P) fängt jetzt diese Tan ab un kann damit genau diese 
Überweisung tätige, weil die TAN nur dafür gültig ist. Also Gewinn = 0

Um also Erfolgreich zu sein müßte folgendes Szenario eintreten:
- P jubelt dir eine falsche Seite unter
- Du tätigst eine Überweisung, P leitet diese aber nicht weiter an die 
Bank sondern gibt "seine" ein.
- Nun muß P schnell beim Mobilfunkprovider einhacken, sodass die SMS der 
Bank bei Ihm landet und dir eine "falsche" SMS unterschieben.

Ob das so realistisch ist?

Autor: Christian B. (luckyfu)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
hm, das verstehe ich nicht, wenn die Tan die Kontonummer und 
meinethalben den Betrag zur Berechnung heranzieht wird beim Man in the 
Middle doch das ganze System ad Absurdum geführt oder nicht?

Ich stelle mir das so vor: ich gebe Daten für eine Überweisung ein und 
sende diese (unbemerkt) an die falsche Website. Dort werden die Daten 
"bearbeitet" und an meine Bank weitergeleitet. Wenn die Bank jetzt eine 
Tan generiert dann doch bereits mit den falschen Daten. Gibt es denn in 
dem Verfahren für mich als Kunden die Möglichkeit solch eine Tan auf die 
passende Transaktion zu prüfen? Wenn nicht macht das imho so keinen Sinn 
sondern würde derartige Attaken ja sogar unterstützen

Autor: Läubi .. (laeubi) Benutzerseite
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Christian B. schrieb:
> hm, das verstehe ich nicht, wenn die Tan die Kontonummer und
> meinethalben den Betrag zur Berechnung heranzieht wird beim Man in the
> Middle doch das ganze System ad Absurdum geführt oder nicht?
Exact deswegen funktioniert das auch nur mit den "Bitte geben Sie 
(irgendeine/Nummer 1337) TAN ein" Systemen, und solches wurde hier wohl 
verwendet als es zum "Zwischenfall" kam.

> Gibt es denn in dem Verfahren für mich als Kunden die Möglichkeit
> solch eine Tan auf die passende Transaktion zu prüfen?
Wie oben schon geschrieben, beim Optischen Verfahren werden dir die 
zugehörigen Daten auf dem Leser angezeigt, beim SMS Verfahren wohl in 
der SMS, und beim manuellem Verfahren mußt du die Daten per Hand in den 
Kartenleser eintippen.

Autor: Jeffrey Lebowski (the_dude)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Das "Zielkontos" fließt ja nur beim eTAN-Verfahren mit ein, und dort 
siehst du dann auf dem Display Deines TAN-Generators ja die Kontonr und 
den Betrag.

eTAN funktioniert so:
1. Ich tippe Kontonr und Betrag ins onlineformular der Bankwebseite ein.
2. Ich tippe diese Informationen nochmal in den TAN-Generator (nicht mit 
dem PC verbunden)
Zur Berechnung wird ausserdem noch eine individuelle ID-Nr meiner (fürs 
onlinebanking freigeschalteten) EC-Karte benötigt.

3. Der TAN-Generator berechnet mir die TAN anhand von EC-Karte, 
Zielkonto, Betrag, Zeitstempel.

4. Ich tippe die TAN vom Display des TAN-Generators in den PC ein.

(5) Würde nun jemand die Empfängerdaten ändern, würden die TAN nicht 
mehr passen!


Edit:
Bei den neuen System muss man die Daten übrigens nicht mehr in den 
TAN-Generator eintippen, das macht ein Barcode am PC-Bildschirm. Hier 
muss man dann aber nochmals im Display des TAN-Generatos überprüfen, ob 
die via Barcode übertragenen Daten auch wirklich noch stimmen.

Autor: Chris D. (myfairtux) (Moderator) Benutzerseite
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Mike Hammer schrieb:
>>Oder man lässt sich die TAN zumindest mit der Kontonummer und Betrag
>>auf's Handy schicken.
>
>>Das ist dann schon sehr sicher.
>
> Ja, weil eine Pishingseite dir keine TAN auf dein Handy schicken könnte.

So isses.

1. weil die die Nummer nicht kennt

2. weil ihr selbst das nichts nützt - denn sie benötigt ja die korrekte 
TAN
   der Bank, die aber dummerweise nur an meine Handynummer verschickt.

3. Änderungen am MobileTAN zumindest bei meiner Bank immer der 
Schriftform
   bedürfen und einige Tage benötigen. Zusätzlich gibt es vorher
   entsprechende E-Mails an mich

Insofern: ja, sehr sicher :-)

Chris D.

Autor: Εrnst B✶ (ernst)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Deswegen:

Trojaner-Verseuchtes EiPhone öffnet Bank-Webseite, Betrag und Empfänger 
der Überweisung werden umgebogen, SMS mit mTan kommt an, und wird 
automatisch zum Bestätigen verwendet.

Autor: Toni M. (mindsmith)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Also ich kenne niemanden dem das schon mal passiert ist, ich nutze 
Onlinebanking schon seit den 90ern, damals noch mit BTX (falls das einer 
noch kennt).
Zudem muss ich echt sagen, dass die deutschen Banken wirklich nicht 
aktuell sind. Bei meinem schweizer Postfinance Konto gibt es schon seit 
Jahren den supi Taschenrechner, über den man mit der EC-Karte und dem 
Pin einen Zugangscode generiert. Das kostet nichts extra!

Autor: Chris D. (myfairtux) (Moderator) Benutzerseite
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Εrnst B✶ schrieb:
> Deswegen:
>
> Trojaner-Verseuchtes EiPhone öffnet Bank-Webseite, Betrag und Empfänger
> der Überweisung werden umgebogen, SMS mit mTan kommt an, und wird
> automatisch zum Bestätigen verwendet.

So geht das natürlich, aber wer alles mit einem Gerät macht, gehört eh 
geschlagen :-)

Mein Mobiltelefon ist aber eine alte Gurke - mit dem kann man sogar noch 
telefonieren und simsen.

Insofern: ja, ist immer noch sicher ;-)

Chris D.

Autor: Chris D. (myfairtux) (Moderator) Benutzerseite
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Toni M. schrieb:

> Zudem muss ich echt sagen, dass die deutschen Banken wirklich nicht
> aktuell sind. Bei meinem schweizer Postfinance Konto gibt es schon seit
> Jahren den supi Taschenrechner, über den man mit der EC-Karte und dem
> Pin einen Zugangscode generiert. Das kostet nichts extra!

Ja, das mit der PIN ist schön, aber leider ist das auch nicht sicher, da 
man nach einmaligem Einloggen alle Freiheiten hat.
Der Trojaner wartet also einfach, bis man sich eingeloggt hat und kann 
dann in Ruhe manipulieren.

Vielleicht hast Du ein anderes System aber ich muss es leider sagen: so 
ist das für die Tonne.

Allerdings: die Mitarbeiter der SwissPost sind am Telefon sehr 
freundlich und hilfsbereit. Kein Vergleich zur hiesigen 
Bankenlandschaft.

Chris D.

Autor: A. B. (funky)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Ich bin mal Opfer geworden, weiß aber nicht ob es Phising war.

Irgendwie wurden meine Kreditkartendaten abgefangen(ich benutze die nur 
Online) und es wurde versucht damit einzukaufen.
Das Kreditkartenunternehmen ist dann stutzig geworden und hat bei mir 
nachgefragt(mehrere 1000eur bei Dell und Apple meinten die zu 
mir)...dann war das ganze Thema für mich erledigt. Aber keine Ahnung was 
passiert wäre wenn die nicht geschaltet hätten. Ich hab bis heute keine 
Ahnung was da genau schiefgelaufen ist und wo meine Daten abgegriffen 
worden sind.

Im Zweifelsfalle denke ich, das es gut ist, wenn die Gauner so gierig 
wie irgendmöglich sind...dann besteht die Chance das bei der Bank noch 
irgendjemand stutzig wird.

Beim Onlinebanking bin ich jetzt auch auf den Tangenerator mit diesem 
zusätzlichen Optikkram und einmal vor den Bildschirm halten umgestiegen. 
Bei meiner Bank kostete das einmalig 10€ und das wars. Beim 
Onlinebanking hab ich bisher aber auch noch nie Probleme gehabt. Bin bei 
ner Kreissparkasse...evtl. ist die zu klein um ein Lohnenswertes Ziel zu 
sein?

Autor: Martin Meier (elektrointeressiert)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Was ich nicht verstehe:

Angenommen ein Betrüger schafft es tatsächlich Geld auf (sein) Konto im 
Ausland zu überweisen.

Mir ist kein Land bekannt, in dem es soetwas wie anonyme Konten gibt. 
Mit einigem Aufwand sollte es der Polizei/ dem Bundeskriminalamt mit 
Zusammenarbeit des jeweiligen Ziellandes doch möglich sein den Inhaber 
zu ermitteln!??

Und die Mühe lohnt sich doch auch, falls festegestellt werden würde, 
dass auf ein bestimmtes Konto merkwürdige Überweisungen getätigt werden.

Autor: Mike Hammer (-scotty-)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Kann eigentlich die PIN gepisht werden? Das kam mir gerade in den
Sinn. Einige Banken verlangen außer der Konto/Kundennr., die PIN
und zusätzlich noch einen Code der von der Bank noch mal angezeigt
wird und der einen zusätzlichen Zugangsschlüssel darstellt.
Andere Banken nutzen nur Kontonr. und PIN, mehr nicht. Ich finde das
ein wenig schwach.

>Mit einigem Aufwand sollte es der Polizei/ dem Bundeskriminalamt mit
>Zusammenarbeit des jeweiligen Ziellandes doch möglich sein den Inhaber
>zu ermitteln!??

Einige Länder verweigern die Zusammenarbeit mit der Justiz.
Anderen ist der Aufwand einfach wieder zu groß und lassen es.

>Aber keine Ahnung was passiert wäre wenn die nicht geschaltet hätten.
>Ich hab bis heute keine Ahnung was da genau schiefgelaufen ist und
>wo meine Daten abgegriffen worden sind.

Ich glaube mich zu erinnern das vor einiger Zeit mal was in den
Medien veröffentlicht wurde das tausende von Kreditkartendaten
gehackt worden waren. Ob es daran lag kann ich nicht sagen.
Ist noch gar nicht so lange her aber anscheinend ist schon Gras
über die Sache gewachsen.

Autor: A. B. (funky)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
@Chris D.

ja, das stimmt. Einmal einloggen(mit dem Taschenrechner) und man kann 
erstmal alles machen. Überweisungen usw. erfordern keine neue 
Authentifizierung
(bin auch bei postFinance)

Und ehrlich gesagt wirkt bei postFinance die WebOberfläche ziemlich 
"billig".

Autor: A. B. (funky)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Martin Meier schrieb:
> Angenommen ein Betrüger schafft es tatsächlich Geld auf (sein) Konto im
> Ausland zu überweisen.
>
> Mir ist kein Land bekannt, in dem es soetwas wie anonyme Konten gibt.
> Mit einigem Aufwand sollte es der Polizei/ dem Bundeskriminalamt mit
> Zusammenarbeit des jeweiligen Ziellandes doch möglich sein den Inhaber
> zu ermitteln!??

Naja, aber bis das erstmal auffällt und die Justiz der beiden Länder 
sich da untereinander verständigt hat uswusw sind die doch schon über 
alle Berge. Und wer sagt nicht, das das Konto schon mit falschen Daten 
eröffnet wurde?

Autor: P. S. (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Martin Meier schrieb:

> Mir ist kein Land bekannt, in dem es soetwas wie anonyme Konten gibt.
> Mit einigem Aufwand sollte es der Polizei/ dem Bundeskriminalamt mit
> Zusammenarbeit des jeweiligen Ziellandes doch möglich sein den Inhaber
> zu ermitteln!??

Auch wenn es ein Inlandskonto ist - du hast wenig davon. Bis der 
verurteilt ist, ist von deinem Geld fuer gewoehnlich nichts mehr uebrig.

Autor: Alexander Schmidt (esko) Benutzerseite
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Was ich mich beim Sparkassen Verfahren mit eTAN stört ist die Tatsache,
dass die BLZ nicht im TAN-Generator angezeigt wird.
Somit wäre es theoretisch möglich, dass jemand die gleiche Kto-Nr bei 
einer anderen Bank hat und das Geld somit auf dem falschen Konto landet.

Autor: Walther Z. (chilipower)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Das iTan-Verfahren ist sicher, solange man sich an die Regeln hält, also 
dafür sorgt, dass kein Fremdsoftware den Comp infiltriert. Kann man das 
gewährleisten, so gibt es auch keine Probleme. Ausserdem kann man bei 
jeder vernüftigen Bank ein beliebiges Limit für Onlineüberweisungen 
gesetzt werden.

Autor: N. S. (sharpay)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Walther Z. schrieb:
> Ausserdem kann man bei
>
> jeder vernüftigen Bank ein beliebiges Limit für Onlineüberweisungen
>
> gesetzt werden.

Genau und das Limit kann man bequemerweise online ändern !

Autor: Jeffrey Lebowski (the_dude)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Walther Z. schrieb:
> Das iTan-Verfahren ist sicher, solange man sich an die Regeln hält, also
> dafür sorgt, dass kein Fremdsoftware den Comp infiltriert. Kann man das
> gewährleisten, so gibt es auch keine Probleme.

Gewährleisten kann man das nicht!, ausser man trennt den PC vom Netz - 
wodurch aber auch Onlinebanking etwas umständlich wird!

Man kann alle möglichen Vorkehrungen treffen um das Risiko gering zu 
halten und im Falle einer Infiltrierung ohne Verzögerung eine Meldung zu 
erhalten, aber ausschließen kann man es nicht!
just my 2 cents

Autor: Uhu Uhuhu (uhu)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Martin Meier schrieb:
> Mir ist kein Land bekannt, in dem es soetwas wie anonyme Konten gibt.
> Mit einigem Aufwand sollte es der Polizei/ dem Bundeskriminalamt mit
> Zusammenarbeit des jeweiligen Ziellandes doch möglich sein den Inhaber
> zu ermitteln!??

Deswegen werben die Kerle doch irgendwelche Deppen als Finanz-Agenten 
an. Auf deren Konto wird das gephischte Geld überwiesen und die sollen 
es - nach Abzug von 10-20% "Provision" - per Western Union an die 
Drahtzieher schicken.

Diese Jungs bekommen dann hier ziemlich schnell Probleme mit der Justiz 
wegen Geldwäsche. Aber bis es so weit ist, ist die Kohle längst weg und 
Western Union zahlt an jeden, der den Geheimcode der Transaktion vorlegt 
- völlig anonym und nicht nachvollziehbar.

Autor: Jeffrey Lebowski (the_dude)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
uhu, das hast du falsch verstanden!
das sind arme nigerianische Prinzen die im Exil leben müssen und ihre 
einzige Chanche auf Glück und innerer Frieden sind die europäischen 
e-mail user!

Du solltest ein wenig Mitleid und Verständniss zeigen!
_scnr*

Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail, Yahoo oder Facebook? Keine Anmeldung erforderlich!
Mit Google-Account einloggen | Mit Yahoo-Account einloggen | Mit Facebook-Account einloggen
Noch kein Account? Hier anmelden.