Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

Prosseco gelöscht_35042 „Angriff auf Onlinebanking plus Geldwäsche...“
Optionen

Wer noch sicherer sein will. Macht kein Online Banking, so wie ich.

:-)
Sascha

Das ist keine Signatur. Sondern ich putz hier nur
bei Antwort benachrichtigen
dirk42799 gelöscht_35042 „Angriff auf Onlinebanking plus Geldwäsche...“
Optionen

Sorry, aber so dramatisch finde ich den Text gar nicht.
Er gibt nicht wirklich viele Details bekannt.

Man könnte jetzt sagen: am sichersten lebt, wer gar kein Konto hat - denn dann kann auch nix abgebucht werden.
Aber mit einer gewissen Grundsicherung und brain.exe passiert dem vorsichtigen User faktisch nichts.

Und smsTAN oder iTAN oder etwaige TAN-Generatoren sind dann auch vollkommen ausreichend.

Gruß,
Dirk

ja, ich schreibe absichtlich nach den alten Rechtschreibregeln!
bei Antwort benachrichtigen
Olaf19 gelöscht_35042 „Angriff auf Onlinebanking plus Geldwäsche...“
Optionen

Was ist denn nun konkret so viel gefährlicher geworden? Ich lese aus diesem Artikel einfach nichts heraus.

"Ein Angriff unvorstellbaren Ausmaßes" - worin besteht der nun? Wir erfahren, dass es die Gangster auf unsere Geheimzahlen abgesehen haben: falls damit die iTANs gemeint sein sollten, das sind Wegwerfnummern, die sofort nach ihrer Nutzung unbrauchbar werden. Was genau wird da abgegriffen und wie geht das vor?

Im übrigen besteht der Artikel zu 2/3 aus dem Thema Geldwäsche. Die altbackensten und abgedrochschensten Methoden - arglose Mitbürger als Komplizen einspannen, deren Konten für illegale Geldtransfers nutzen - werden als raffinierte und neuartige Tricks verkauft. Wen soll das heute noch hinter dem Ofen hervorlocken?

CU
Olaf

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
Prosseco gelöscht_35042 „Angriff auf Onlinebanking plus Geldwäsche...“
Optionen

Die groesste Angst was man haben muss.

Ist wenn man seine Kreditkarten nicht verliert, als beispiel.

Wo kamen welt weit Nachrichten das einen Kunden seine Konto gepluendert wurde duch Online Banking. Der groesste Raub ist und bleibt die leichtsinnige handlungsweise der User.

Phisching, Telefon, Raub an der Strassen.

Gruss
Sascha

P.S. Der raub faengt doch schon an wen Menschen leichtsinnig sind.

Das ist keine Signatur. Sondern ich putz hier nur
bei Antwort benachrichtigen
hac004 gelöscht_35042 „Angriff auf Onlinebanking plus Geldwäsche...“
Optionen

Leider haben nur relativ wenige Banken HBCI mit Kartenleser.
Hier werden fadenscheinige Gründe (Kosten der Karten mit Kartenleser/Tastatur...) vorgeschoben.
Gruss hac004

...man lernt nie aus...
bei Antwort benachrichtigen
gelöscht_84526 gelöscht_35042 „Angriff auf Onlinebanking plus Geldwäsche...“
Optionen

Aus dem Bericht: Die Drahtzieher hätten dabei die Geheimzahlen, mit denen die Kunden ihre Überweisungen durchführen, im Visier.

Wenn man eine Mail bekommt, in welcher man aufgefordert wird, seine TAN-Liste zu kopieren und diese mitsamt seiner Kontodaten plus Kennwort/PIN an die in der Mail angegebene Adresse zu schicken, dann muss man schon ganz schön bekloppt sein, wenn man dem Folge leistet.

Ein vollkommen nichtssagender Artikel, solche "Thesen" über das ach so gefährliche Onlinebanking werden seit 10 und mehr Jahren ins Netz gestellt. Das entlockt mir nur noch ein müdes "Arschrunzeln"....

Das Abheben von Geld an irgendwelchen Geldautomaten mitten in der Nacht ist da wesentlich gefährlicher. Da ist man vor "dunklen Gestalten" nie so richtig sicher.

Gruß
K.-H.

bei Antwort benachrichtigen
peterson gelöscht_84526 „Aus dem Bericht: Wenn man eine Mail bekommt, in welcher man aufgefordert wird,...“
Optionen

Panikmache ohne Ende.

Um bei meiner Sparkasse online Banking mit meinen Konto zu machen muss er folgendes haben:

1. Kontonummer
2. meine Pin.
3. meine EC-Karte
4. meinen TAN-Generator.

Also er müsste mich haben. ;O))

Und bei allen andern Banken, wo ich noch bin, bekomme ich eine TAN per SMS.
Er muss also dort folgendes haben:

1. Kontonummer
2. meine Pin
3. Mein Handy
4. Pin vom Handy

Also er müsste mich auch haben. ;O))

HBCI ist nicht unbedingt erforderlich. Aber wenn man dann besser schlafen kann, bitte ...............................

Ich rate jedem, lieber erstmal nachzudenken.

bei Antwort benachrichtigen
Olaf19 peterson „Panikmache ohne Ende. Um bei meiner Sparkasse online Banking mit meinen Konto zu...“
Optionen
HBCI ist nicht unbedingt erforderlich. Aber wenn man dann besser schlafen kann, bitte

Ist ehrlich gesagt auch mein Eindruck. Mir wäre es zu umständlich, jedenfalls stünde der Nutzen für meine Begriffe in keiner guten Relation zu der Hantiererei mit einem Cardreader.

Meine Sparda-Bank bietet HBCI übrigens nur in Koppelung mit dem PIN-/iTAN-Verfahren an: http://www.sparda-bank-hamburg.de/konto_und_depot/hbci - was IMHO nichts Halbes und nichts Ganzes ist. Wenn schon, dann mit Chipkarte: http://www.optimal-banking.de/info/hbci-banken.php

CU
Olaf
Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
gelöscht_35042 Olaf19 „ Ist ehrlich gesagt auch mein Eindruck. Mir wäre es zu umständlich, jedenfalls...“
Optionen

Was für eine Handtiererei?

Die Pin eingeben und ferddich. Der Kartenleser steckt dauernd im PC und die Karte darin auch!

Gruß
luttyy

bei Antwort benachrichtigen
gelöscht_35042 Olaf19 „ Ist ehrlich gesagt auch mein Eindruck. Mir wäre es zu umständlich, jedenfalls...“
Optionen

Jetzt habe ich es raus, was überhaupt gemeint ist! Die neue COM! hat einen ganzseitigen Artikel darüber.

Es handelt sich um einen Banking-Trojaner mit Namen Gozi, der weiter einwickelt wurde. Es reicht aus eine manipulierte Website zu besuchen und es installiert sich automatisch ein kleiner Downloader, der erst später diesen Gozi runterlädt.

Dieser Trojaner wartet dann ab, bis der User die Webseite seiner Bank aufruft und sich anmeldet. Und genau in diesem Moment tauscht der Trojaner die Originalseite der Bank aus. Die Manipulation erfolgt nicht im Internet zwischen PC und Bankserver, sondern im Browser des lokalen Rechners.

Gozi läuft als DLL (dynamische Bibliothek), die sich in den Browser-Prozess einschaltet und die angezeigten Daten verändert.

Die Verbindung zwischen PC und Bank wird gar nicht angetastet, somit stimmt die URL und auch eine Verschlüsselung mit SSL nützt nichts.

Banken raten als Schutzmaßnahme z.B. mTAN (TAN aufs Handy) oder die bereits erwähnten HBCI-Möglichkeiten.

Wohl gemerkt, es geht hier nur um User, die Onlinebanking direkt über das Netz betreiben.

User die Vorort mit einer Software wie Starmoney oder der Software T-Onlinebanking arbeiten, sind nicht betroffen...

Gruß
luttyy

bei Antwort benachrichtigen
Benni11 gelöscht_35042 „Jetzt habe ich es raus, was überhaupt gemeint ist! Die neue COM! hat einen...“
Optionen

Hallo Lutty,

vielen Dank für die Klarstellung. Jetzt kennen wir konkret die mögliche Bedrohung.

Ein schönes Wochenende wünscht
Benni11

Windows 7, MS-Office, OpenOffice (Apache + Libre)
bei Antwort benachrichtigen
xaver4 gelöscht_35042 „Jetzt habe ich es raus, was überhaupt gemeint ist! Die neue COM! hat einen...“
Optionen
Banken raten als Schutzmaßnahme z.B. mTAN (TAN aufs Handy) oder die bereits erwähnten HBCI-Möglichkeiten.

na toll, dass sie dazu raten - seit über einem Jahr befinde ich mich
mit meiner 'Hausbank' im Schriftverkehr, um sie endlich dazu zu bewegen
die Pin aufs Handy fürs online-banking einzuführen - sagenhafte Ausreden kommen da 'rüber :-(
Jetzt bin ich dazu übergegangen nur von einem Extra-Konto, bei dem die 'Handy-Pin' Standard ist, mit begrenzter Deckung und Haben online-banking zu betreiben.
bei Antwort benachrichtigen
-frank- gelöscht_35042 „Angriff auf Onlinebanking plus Geldwäsche...“
Optionen

Wenn man eine Wegwerf-TAN-Liste hat, die vom Bank-Computer SEQUENTIELL abgearbeitet wird, verstehe ich obiges Problem mit dem Trojaner.
Der Dieb phisht sich die NÄCHSTE TAN so, dass diese noch gar nicht verwendet wurde und kann mit genau DIESER danach EINE Überweisung tätigen.

Den Vorteil der Handy-TAN gegenüber einer Postbank-TAN-Liste (100 Zahlen-PAARE 0001-0815 0002-4711, 0003-1234) bei obigem Trojaner verstehe ich aber noch nicht.Nach Eingabe des Überweisungswunsches, teilt einem der Bank-Computer mit, dass er die TAN zu 0003 haben möchte, wobei (wichtig!) die 0003 vom Bank-Computer willkürlich aus den unbenutzten 100 gewählt wird - also nicht etwa SEQUETIELL, weil zuvor 0001 und 0002 dran waren..

In beiden Fällen (Handy, Postbank-Pärchen-Liste) muss also
ERST auf der ORIGINAL-Webseite der Bank Betrag+Zielkonto angegeben werden,
DANN erst generiert der Bank-Computer die TAN, die benötigt wird (bei der TAN-Liste sucht er eine von 100 aus)

Es wäre also nicht möglich, eine TAN abzufangen um danach einen anderen Buchungsauftrag durchzuführen.
Würde man nämlich danach einen Buchungsauftrag erstellen, würde der Bank-Computer dann ja ERST die dafür zu nutzende TAN entwerfen.

Habe ich das so erklärt, dass man es verstehen kann?
Sehe ich es richtig, dass o.g. Trojaner demnach für Postbank-TAN-Listen genauso ungefährlich ist wie eine Handy-TAN?

Auch die Handy-TAN scheint eine Schwachstelle zu haben, wenn sich der Trojaner in den Browser einklinkt und SIMULTAN zur gewünschten Überweisung die gephishte Überweisung tätigt. Er müßte halt parallel zur Eingabe der gewünschten Transaktion auf der manipulierten Seite eine gefälschte Überweisung auf der Bankseite tätigen:
1) Eingabe der gewünschten Transaktion auf gefälschter Seite bis zum Punkt, wo die TAN eingegeben werden muss
2) Eingabe der falschen Transaktion auf echten Bankseite, die eine Generierung der von der Bank gewünschten TAN (Liste oder Handy ist egal) und zugehöriger Handy-SMS bzw. zugehörigem Listenplatz führt
3) Abfrage der nötigen TAN durch gefälschte Seite (ggf. vorher Mitteilung des zugehörigem Listenplatzes, der ja in Schritt 3 erfahren wurde)
4) Eingabe der nötigen TAN auf der gefälschten Seite und Einlesen der dazugehörigen TAN vom ahnungslosen User
5) Eingabe der gephishten TAN auf der schon laufenden falschen Transaktion auf der echten Bankseite
....Mist, da hilft auch das Handy nichts mehr :-(((

Ändert HBCI eigentlich irgendwas an dieser Problematik??

bei Antwort benachrichtigen
xaver4 -frank- „Wenn man eine Wegwerf-TAN-Liste hat, die vom Bank-Computer SEQUENTIELL...“
Optionen

Bei der Handy-TAN gibt es schon eine zusätzliche Sicherheit,

in der Regel handelt es sich ja nicht um eine "simultane" phishing
-aktion, sondern um eine Umleitung auf eine 'perfekt ge-fake-te'
Überweisungsseite (mit einem keylogger käme der indruder auch
nicht viel weiter - er hätte zwar Dein login+PW aber immer
noch keine TAN) ... also wie sollte er die (übermittelte) TAN nutzen
können? Denn - die Handy-TAN wird verknüpft mit den bereits
eingegeben Überweisungsdaten und ist nicht nutzbar für einen
anderen Überweisungsauftrag; das Konto könnte er Dir damit also
nicht leerräumen :-]

Für mich stellt sich ein ganz anderes Problem - nämlich, dass man
sich beim 'web-shopping' (um sicherzugehen) mittlerweile
genauer via Impressum + UsSt-ID informieren muss, ob man an
einen seriösen Händler gerät, bevor man einem Bankeinzug
als Bezahlmöglichkeit wählt :o(
Fazit: eine 100%tige Sicherheit gibt es bei Online- Geldgeschäften
nicht; wer sich damit unsicher fühlt, sollte diese Option nicht nutzen
:-)

bei Antwort benachrichtigen
-frank- xaver4 „Bei der Handy-TAN gibt es schon eine zusätzliche Sicherheit, in der Regel...“
Optionen

>>In der Regel handelt es sich ja nicht um eine "simultane" phishing-aktion, sondern um eine Umleitung auf eine 'perfekt ge-fake-te' Überweisungsseite.
Schon jkar, mein Beitrag bezieht sich auf "simultan" und da bietet die Handy-TAN keinen weiteren Schutz

>>Denn - die Handy-TAN wird verknüpft mit den bereits eingegeben Überweisungsdaten und ist nicht nutzbar für einen anderen Überweisungsauftrag; das Konto könnte er Dir damit also nicht leerräumen :-]
Simultan schon: der Bank-Computer bekommt nie die "gewünschte" Anfrage des Kunden übermittelt sondern zeitgleich eine falsche über 50.000 Euro. Für letztere wird dann von der Bank eine Handy-TAN verschickt, die auf der fake-Seite vom ahnungslosen User eingegeben wird und vom Trojaner dann an die Seite mit den 50.000 Euro auf dem Bank-Computer geschickt wird.

bei Antwort benachrichtigen
xaver4 -frank- „ In der Regel handelt es sich ja nicht um eine simultane phishing-aktion,...“
Optionen

nein, nein ganz so ahnungslos wäre der 'Online-banker' nicht,
s. z.B. hier ...
https://www.frankfurter-sparkasse.de/privatkunden/konten_karten/smsTAN/Details/index.php
==> Details
... In der SMS werden noch einmal die wesentlichen Inhalte des
Auftrages (Art des Auftrages, Betrag und Kontonummer)
angezeigt. ...

... vorausgesetzt der Nutzer ist des Lesens von SMS mächtig,
sollte ihn der abweichenden Betrag, von z.B. 50000€ schon ins
Grübeln bringen ;->

bei Antwort benachrichtigen
Olaf19 -frank- „Wenn man eine Wegwerf-TAN-Liste hat, die vom Bank-Computer SEQUENTIELL...“
Optionen
Wenn man eine Wegwerf-TAN-Liste hat, die vom Bank-Computer SEQUENTIELL abgearbeitet wird,
verstehe ich obiges Problem mit dem Trojaner. Der Dieb phisht sich die NÄCHSTE TAN so, dass diese
noch gar nicht verwendet wurde und kann mit genau DIESER danach EINE Überweisung tätigen.

Gibt es denn solchen "sequentiellen" TAN-Listen? Heutzutage sind allgemein die iTANs üblich: Die Bank-Website gibt dir nach einem Zufallsprinzip eine Nummer vor, z.B. die 57, und du musst dann die Nummer 57 aus der TAN-Liste heraussuchen und eingeben.

Bis vor ca. fünf, sechs Jahren hatte meine Sparda-Bank dieses Prinzip noch nicht. Ich konnte mir aus der TAN-Liste eine x-beliebige Aussuchen und für die nächste Transaktion verwenden. Da hätte ich die TANs sequentiell abarbeiten können, wenn ich gewollt hätte; ein Muss wäre das aber nicht gewesen.

CU
Olaf
Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
-frank- Olaf19 „ Gibt es denn solchen sequentiellen TAN-Listen? Heutzutage sind allgemein die...“
Optionen

Früher bei der Postbank gab es (soweit ich mich korrekt erinnere) solche Listen.
Ich bin davon ausgegangen, dass die sequentiell abzuarbeiten sind (vermutlich stand es auch irgendwo).
Wobei es bei den Listen ja egal ist, ob "beliebige Reihenfolge" oder "sequentiell": Sobald eine unbenutzte TAN gephisht wurde, kann der Betrüger damit genau eine Transaktion durchführen, da diese TAN ja (nach Auffassung des rechtmäßigen Nutzers) für "die nächste" (oder sogar irgendeine zukünftige) Transaktion gültig ist.

bei Antwort benachrichtigen