- Startseite
- Forum
- Motorrad
- Biker-Treff
- OT, aber wichtig
OT, aber wichtig
Es geht in diesem Posting zwar um ein Off Topic, aber das Thema ist sicher für viele interessant:
Für das Online-Banking wird immer öfter das mTan-Verfahren genutzt, bei dem eine Nummer per SMS an das Handy geschickt wird. Diese Nummer gibt der Kontoinhaber dann als Einmal-Tan für eine Transaktion ein und löst damit die Überweisung aus.
Dieses Verfahren gilt als unsicher, selbst das BKA rät davon ab, wie man schnell per Google ermitteln kann.
Aus gegebenem Anlass möchte auch ich warnen: Wir haben in der Familie nun einen Fall, bei dem zwei SMS mit Einmal-Tans gesendet wurden. Es wurde kein Schaden angerichtet, da sofort ein Anruf bei der Bank erfolgte, aber die Bank hat bestätigt, daß die beiden SMS tatsächlich von der Bank kamen! Offenbar gibt es also neue Tricks und Angriffe oder es wird zumindest auf neue Art versucht, die Sicherheitssysteme auszuhebeln. Mit gängiger Antivirensoftware überprüft erwies sich übrigens der einzige für das Online-Banking genutzte PC als sauber. Das schließt nicht aus, daß es nicht einen Trojaner geben mag, der so gut programmiert ist, daß er trotz Antivirensoftware aktiv sein kann, aber das bedeutet, daß man sich als Endverbraucher und Bankkunde nicht schützen kann. Die Hardware gestützten Sicherheitssystem gelten (noch) als sicher und erscheinen deshalb vernünftiger.
Wie sagt Bülent Ceylan doch immer so schön? Uffbasse!
Gruß Michael
Beste Antwort im Thema
@Rennvan
Okay. Stell dir vor du befindest dich in einem Netzwerk, wo du mit einem Router verbunden bist.
Wenn du Online Banking machst, dürfte das im Regelfall wohl dein privates Netzwerk sein. Würdest du es bemerken, wenn sich jemand in dein WLAN hacken würde? Schwer ist das jedenfalls nicht, dafür gibt es verschiedene Varianten.
Aber nun ein Beispiel:
Dein Rechner ist jetzt mal "PC1" und der Router heißt "R1". Der Rechner vom Bösewicht heißt "PC2".
PC2 sagt R1, dass er in Wahrheit PC1 ist. Dann sagt PC2 zu PC1, dass er (also PC2) R1 ist.
Ergebnis: PC1 schickt alles zu PC2. PC2 leitet das an den Router weiter. Wenn der Router Pakete an PC1 zurückgeben will, schickt er es zunächst wieder über PC2.
PC2 kann also eingehenden und ausgehenden Traffic mitlesen. Mitlesen ist zwar schon ziemlich blöd, aber wirklich gefährlich wird es ja erst, wenn der Inhalt von den Paketen verändert wird.
Nun sitzt der Rennvan also an seinem PC1 und schreibt:
Kontoempfänger: CalleGSXF
Kontonummer: 123456
BLZ: 666666
Das schickt er auch so ab.
Das Paket mit diesen Informationen wird nun von PC2 abgefangen. Der Nutzer von PC2 verändert nun die Werte zu "seinen Gunsten" und schickt das veränderte Paket dann weiter an R1. R1 gibt die Informationen an die Bank weiter, welche daraufhin mit einer SMS (TAN) reagiert, die Rennvan zugestellt wird. Zusätzlich schickt die Bank eine neue "Seite" zu Rennvan, wo er nun die TAN eintippen muss. Außerdem steht auf der Seite nochmal zur Bestätigung, an wen die Überweisung gehen soll.
An dieser Stelle könnte der Hacker (welcher an PC2 sitzt) auffliegen. Da er aber auch die Pakete abfängt, welche der Router zum Rennvan weiterleitet, kann er nun die Werte wieder zu
Kontoempfänger: CalleGSXF
Kontonummer: 123456
BLZ: 666666
ändern. Im Endeffekt merkt Rennvan also nichts davon, dass ein Hacker gerade die komplette Überweisung manipuliert hat.
Das gleiche Prinzip funktioniert analog dazu mit Bestellungen im Internet, Chat-Kommunikationen u.v.m..
Und da sicher einer mit dem Argument "Jaaaa, aber bei einer Überweisung ist ja alles verschlüsselt!" kommt, gleich die Bemerkung: Es gibt längst Möglichkeiten für Hacker aus einem "https" ein "http" zu machen. Dann ist nix mehr verschlüsselt. Und ja, manche Banken lassen Kommunikationen ohne Verschlüsselung gar nicht mehr zu, meine Bank allerdings schon. Die ist gnadenlos durchgerasselt. Und auch wenn unverschlüsselte Verbindungen geblockt werden, kann man dem Client immer noch ein eigenes Zertifikat bzw. anderen Schlüssel unterjubeln, mit dem man dann alles in Echtzeit entschlüsseln kann.
Das ganze klingt recht kompliziert, aber tatsächlich kann man das jedem Normalsterblichen in einer Stunde beibringen.
Die Wahrscheinlichkeit, dass sowas einen trifft ist natürlich relativ gering. Aber grundsätzlich ist es möglich und vor allem ist es einfach. Und das macht die Angelegenheit so gefährlich.
Für solche Angriffe sind natürlich Zugänge zu den jeweiligen Netzwerken notwendig. Aber es gibt auch öffentliche Hotspots. Und in diesem Zuge kann ich eigentlich nur vor diesen warnen. Hotspots sind mit äußerster Vorsicht und entsprechenden Schutzmaßnahmen zu genießen. Je größer der öffentliche Hotspot ist, desto gefährlicher ist er.
PS: Das Prinzip der veränderten Daten im o.g. genannten Beispiel funktioniert übrigens auch mit eurem Trojaner.
Ähnliche Themen
101 Antworten
tja- der Teufel ist ein Eichhörnchen!- hau rein!
Sehr ärgerlich finde ich, daß die Bank die Geschichte als Lappalie abtut. Fakt ist, daß es zwei Übertragungen von Transaktionsnummern per SMS gab. Irgendwer oder irgendetwas muß ja den Bankrechner veranlasst haben, diese abzuschicken.
Daß keine Überweisung oder Belastung des Kontos erfolgt ist, heißt ja nicht, daß es nicht evtl. versucht worden wäre. Wer weiß schon, was die Bank weiß und nicht mitteilt...
Gruß Michael
Deswegen tätige ich meine Bank-, Einkauf-und Paypalgeschäfte nicht übers Handy.
Die Leut sind einfach zu bequem und schnelllebig geworden.
Zitat:
@Nette Hexe schrieb am 11. November 2014 um 11:13:37 Uhr:
Deswegen tätige ich meine Bank-, Einkauf-und Paypalgeschäfte nicht übers Handy.
Die Leut sind einfach zu bequem und schnelllebig geworden.
+1!
http://www.heise.de/.../Sicheres-Online-Banking-mit-Bankix-284099.html
Die Idee mit der SMS war an sich gut.
Es ist nur erschreckend, wie dermassen gut organisiert und ausgebildet heutzutage die Online-Kriminellen geworden sind.
Um solch ein System auszuhebeln braucht es sehr gut ausgebildete Leute mit einem hohen Insiderwissen. Hier wäre es interessant, woher sie das bekommen.
Passen dazu ist es interessant, dass die Bundesbehörde BKA einerseits warnt, andererseits die andere Bundesbehörde BND massiv dagegen ist, bestehende und Insidern bekannte Sicherheitslöcher in Computersystemen zu veröffentlichen, da sie sonst viel schneller behoben werden könnten und so das Ausspionieren von Computern massiv erschwert wird.
Das ist übrigens keine Internetverschwörungstheorie, sondern kam sogar schon heute morgen auf SWR3 in den Nachrichten.
Etwas Hintergrund dazu:
Ich tätige meine Bankgeschäfte alle online bzw. mit Handy oder Ipad und hatte bis dato auch nie Probleme damit.
Einfach aufmerksam sein, Auszüge kontrollieren und auf dem Konto nur das Geld lassen was man im Monat brauch... alles weitere wird grundsätzlich auf Anlagekonten gepackt.
Gut das ich noch mit Papier arbeite.
Zwar schon Online aber eben ohne den SMS Mist.
Mal sehen wie lange es das noch gibt.
Es wird weiter aufgerüstet.
Wir sind nicht die Täter, wir sind - immer mehr - die Opfer.
Banken/Versichereungen/IT-Provider (man kann sie nicht mehr auseinanderhalten) bringen das auf den Markt.
Einige Informatiker und Techik-freaks beissen an, weil's cool ist.
Die breite Masse muss es irgendwann mitmachen, wenn konventionelle Dienstleistungen
immer mehr ausgedünnt werden oder unbezahlbar werden.
Vor ein paar Jahren kostete ein Brief in Europa noch 20 Cents...
Zitat:
@TDIBIKER schrieb am 11. November 2014 um 12:23:24 Uhr:
Es wird weiter aufgerüstet.
Wir sind nicht die Täter, wir sind - immer mehr - die Opfer.
Banken/Versichereungen/IT-Provider (man kann sie nicht mehr auseinanderhalten) bringen das auf den Markt.
Einige Informatiker und Techik-freaks beissen an, weil's cool ist.
Die breite Masse muss es irgendwann mitmachen, wenn konventionelle Dienstleistungen
immer mehr ausgedünnt werden oder unbezahlbar werden.
Vor ein paar Jahren kostete ein Brief in Europa noch 20 Cents...
Nun ja, immer objektiv bleiben. 1997 kostete ein Brief 1,10 DM, das sind gut 54 Cent. Jetzt kostet ein Brief "unverschämte" 60 Cent. Welch eine Teuerungsrate 
http://www.welt.de/.../Porto-steigt-auf-1-10-DM.html
Ich kann mich nicht daran erinnern, dass ein Brief 40 Pfennig kostete. Meine Erinnerung reicht allerdings auch nur bis in die 70er Jahre.
ein ständiges Wettrüsten halt:
Jetzt gibt es schone eine Photo-Tan
https://www.deutsche-bank.de/pfb/content/onlinebankingkampagne.html
Vermutlich waren die 20 Cent in F. Ab Januar hier 62 Cent.
Ich mach Onlinebanking nur mit HBCI. Diesem TAN-System hab ich noch nie vertraut.
Und ich schreibe tatsächlich noch Überweisungen. So auf Papier.
Zitat:
@downshift81 schrieb am 11. November 2014 um 12:36:23 Uhr:
ein ständiges Wettrüsten halt:
Jetzt gibt es schone eine Photo-Tan
https://www.deutsche-bank.de/pfb/content/onlinebankingkampagne.html
Schön und gut, aber der Fingerabdruck-Scanner suggeriert auch wieder eine trügerische Sicherheit. Der Fingerabdruck-Scanner ist bereits vor über einem Jahr vom CCC geknackt worden:
http://www.n-tv.de/.../...erlisten-iPhone-Scanner-article11421201.html
Und auf einem (geklauten) Smartphone sind reichlich Fingerabdrücke des Besitzers, die als Muster dienen können.
Mitte der 60er kostete ein Brief 20 Pfennig und eine Postkarte 10 Pfennig. 
Da die Menschen aber mittlerweile das 6 bis 8-fache verdienen, ist das
Verhältnis eigentlich gleich geblieben. Auch Benzin 1965 65 Pfennig = 35 Cent
x 6 oder 8 = Zigaretten dto. Damals 20 Stck. 1,75 DM = 0,80 €.
Noch eklatanter war es z.B. bei Kaffee: 1965 8,95 DM, Sekt z.B. Henkel
trocken 12,95 DM. Diese Sachen werden heute dagegen geradezu verramscht.
Früher war beileibe nicht alles billiger. Man muss das immer im Zusammenhang
mit dem damaligen Verdienst sehen.
Noch was: Hähnchen war damals Luxus.