Forum: Netzwelt
Bankraub im Digitalzeitalter: So kommen Hacker an Ihr Geld
AFP

Für kriminelle Hacker sind Bankkunden ein beliebtes Ziel. Hier erfahren Sie, wie die Angreifer vorgehen - und wie Sie sich schützen können.

Seite 9 von 10
braindead0815 27.02.2017, 22:21
80. was hat der beitrag

Zitat von see_baer
LINUX - habe seit 20 Jahren keine Viren ETC.
mit dem artikel zu tun?

es gibt nutzerverhalten, die kein betriebssystem sichert.
android ist linux basiert.

und den mist den die nutzer mit diesen geräten - auf linux basis - anstellen und sich damit selbst ein ei legen?

mit die größte sicherheitsschwachstelle. handy in kombination mit einem unwissendem nutzer.

da könnte man auch gleich nem kleinkind eine schrotflinte geben.

grundlagen it-sicherheit.
wer kümmert sich daran? zu anstrengend. fängt doch beim add-blocker an. no-script bedienen? firewallregeln zustimmen/ablehnen?
jeden sch*** anklicken, mit der hoffnung endlich den riesen jackpot zu gewinnen? jeden mist runterladen? usw.

das problem ist nicht das gerät oder die technik? es ist der benutzer. und jeder hält sich für nen it-profi. scheinbar bewerten 99% der nutzer die fähigkeit ein gerät einzuschalten bzw. word zu starten schon unter dem begriff "it-profi".

jeder sollte sein vermögen verlieren, no refund. no sir.
es müsste nen führerschein geben. ohne den geht nix.

brauch zum autofahren auch einen. bau ich kacke, erzählt auch keiner, da war das wetter schuld usw. hatte gerade meine regel, da driftete ich voll in den lkw rein, kamen nur 20 menschen ums leben. ups.
klärt das mal, da war irgendeine atmosphäre störung. mein auge hat gezuckt........

so ein schmarn. die leute handeln grob fahrlässig. deshalb . no refund

Beitrag melden Antworten / Zitieren
scoopx 27.02.2017, 22:58
81. Das stelle ich mir sehr aufwendig vor.

Zitat von meineeine001
Die iTan ist nicht an einen bestimmten Vorgang gebunden. Das heißt sie kann für alles verwendet werden. Darin unterscheidet sie sich z.B. zu smsTan bzw mTan die nur für einen bestimmten Vorgang vergeben wurde (und nur begrenzte Zeit gültig). Dieser Vorgang wird ann auch in der SMS per Nummer deklariert und es steht bei Überweisungen wie viel und an welche Kontonummer man überweisen. Kann man da nochmal überprüfen. Aber anderes Thema zurück zu iTan. Also der Angriff läuft so: 1. Der Angreifer leitet dich auf eine falsche Seite die du für die Bankseite hältst. Du meldest dich an. 2. Da du dem Angreifer gerade deine Logindaten verraten hast indem du dich auf seiner Präperierten Seite eigelogt hat, meldet er sich jetzt auf der richtigen Bankseite mit deinen Daten an und zeigt dir deinen Kontostand Kontonummer ... in der falschen Seite an die er aus dem richtigen Aussliest. 3. Der Angreifer startet eine Überweisung auf sein Konto und soll Pin 65 Eingeben zu bestätigung. die kennt er noch nicht. darum: 4. Er wartet bis du eine Überweisung tätigst oder lässt dich deine Adressdaten oder was auch immer in er falschen Seite bestätigen. Dazu sagt er dir muss die jetzt Pin 65 eingeben was du natürlich machst, weil du einer Bank ja vertraust. 5. Er hat jetzt die richtige Pin und kann die Überweisung abschließen Mit smsTan würde das halt nicht funktionieren wie oben geschrieben. Du würdest im Telefon sehen, dass du eine Überweisung auf ein fremdes Konto tätigst und ... und würdest ihm im Idealfall nicht die Pin dafür verraten. Ob das wirklich alle kontroliieren ist aber die andere Frage. Hoffe du kannst es halbwegs verstehen.
Aber erstmal danke für die detaillierte Darstellung. Ja, so wird es laufen. Es genügt aber nicht, daß mir der Angreifer "Kontostand Kontonummer.." auf der präparierten Seite schickt. Da stehen ja noch viele andere Daten drin. Meine anderen Konten auf der Bank, meine letzten Buchungen, da kann sich 6 Wochen zurückscrollen, meine Uberweisungsvorlagen, persönliche Mailbox etc. etc. Ich kann mir nicht vorstellen, daß das alles so einfach ist. Der Angreifer muß außerdem die Verschlüsselung knacken usw. Wenn er dann merkt, ich verwende eine sms-Tan, muß er den Rückzieher machen, und das weiß er ja vorher nicht.

Aber dennoch, ich hab' zur Zeit teilweise iTan, teilweise smsTan und werde das iTan-Verfahren jetzt einstellen.

Beitrag melden Antworten / Zitieren
zimbosmurf 27.02.2017, 23:26
82. Ich lese hier ständig was von *rausangeln*...

Zitat von emobil
Sie haben ganz offensichtlich schon lange keine Bankfiliale mehr gesehen und noch länger keinen Überweisungsträger in einen extrem engen Briefschlitz bei einer Bank eingeworfen. Da etwas rauszuangeln ist jedenfalls wesentlich schwieriger als mit Technikaufwand irgendwas im Internet zu hacken.
Die wenigsten Menschen machen wirklich ein Geheimnis aus ihrer Kontonummer. Vor dem Kontoauszugsdrucker bei der Bank liegen immer wieder Deckblätter mit allen möglichen Daten im Müll. Im Altpapier beim Discounter an der Ecke landen jede Menge Kassenbons auf denen die CardPAN von der Kartenzahlung aufgedruckt ist. Auf Prospekten und Homepages von Vereinen stehen regelmässig Spendenkontonummern. Firmen (auch und gerade kleinere Handwerksbetriebe) haben ihre Kontonummern auf ihrem Briefpapier stehen...

Mehr als das brauche ich nicht, um einen Überweisungsträger zu fälschen. Das einzige, was bei diesen Steinzeitdinger kontrolliert wird sind die Zahlen. Zahlungsempfänger, Absender und Unterschrift werden wenn überhaupt Stichprobenweise geprüft.

Beitrag melden Antworten / Zitieren
xysvenxy 28.02.2017, 02:35
83. Hurra, eine weitere...

...Linux vs. Windows (+ andere OS) Diskussion die komplett am Thema vorbei geht. Wäre Linux so verbreitet wie Windows, ware es damit genauso.
Bankgeschäfte am bevorzugten Rechner durchführen, die TAN am gesonderten Gerät empfangen und einfach keine Emails öffnen (bzw Links darin folgen) oder Links generell anklicken die in irgendeiner Form merkwürdig sind. Das hilft...
Dann noch, an den Verfasser des Artikels: Auch 4 Kreditkarten im Vordergrund täuschen nicht darüber hinweg, dass im Hintergrund ein (französisches) Windows XP zu sehen ist. Das ist arm...

Beitrag melden Antworten / Zitieren
andrea.cavalcanti 28.02.2017, 06:45
84. Vielen Dank!

Zitat von meineeine001
Die iTan ist nicht an einen bestimmten Vorgang gebunden. Das heißt sie kann für alles verwendet werden. Darin unterscheidet sie sich z.B. zu smsTan bzw mTan die nur für einen bestimmten Vorgang vergeben wurde (und nur begrenzte Zeit gültig). Dieser Vorgang wird ann auch in der SMS per Nummer deklariert und es steht bei Überweisungen wie viel und an welche Kontonummer man überweisen. Kann man da nochmal überprüfen. Aber anderes Thema zurück zu iTan....
Vielen Dank,

Ich habe zwar nicht gefragt, danke aber dennoch für die Erklärungen.

Beitrag melden Antworten / Zitieren
Immanuel K. 28.02.2017, 09:18
85. Das hat nichts mit...

Zitat von Actionscript
(ich meine damit nicht die EC Karte) von einer anderen Bank bekommen. In den USA kann man fast alle Rechnungen mit Kreditkarte bezahlen, die im Endeffekt sicherer ist, da die Banken ein System haben, um falsche Zahlungen aufzudecken wie bei höheren Beträgen nachfragen, bei Urlaub Datum des Urlaubs angeben usw. Auch kann man bei einem Mindestbetrag zB $20 immer per email benachrichtigt werden und merkt sofort, wenn jemand anders die Karte oder das Konto benutzt hat. Dann kann man sofort das Kreditinstitut benachrichtigen, und man bekommt eine neue Karte. So kann man den Girokonto Bankverkehr stark einschränken und zahlt im Wesentlichen monatlich die Kreditkartenrechnung ab.
... HBCI zu tun, tatsächlich hatte ich vorher eine andere Kreditkarte (MasterCard) bei einer Sparkasse, die ich auch per HBCI führen konnte - leider konnte ich die nicht ohne Girokonto bei diesem Institut weiter behalten. Im Übrigen, hinterher informiert werden ich bei allen - auch den unsichersten - Onlinebanking-Verfahren. Sie lassen sich ja auch nicht gern auf die Nase hauen, auch wenn Sie wissen, dass die ärztliche Behandlung hinterher Sie nichts kostet...

Beitrag melden Antworten / Zitieren
ultimatebauer 28.02.2017, 17:15
86. Diese Tipps sind für die Katz'

Solange nicht geklärt ist, wie der im Artikel "Onlinebanking: PIN, TAN - und weg ist die Kohle!" geschilderte Fall passieren konnte und zuverlässig verhindert werden kann, sind die in diesem Artikel aufgeführten Ratschläge bestenfalls sinnlos, aber eigentlich schon gefährlich, da sie die Kunden im Glauben wiegen, eh alles Nötige zu unternehmen.
Es müsste von den Banken eine eindeutige Garantie gegeben werden, dass dem Kunden kein Schaden erwächst, wenn er die vereinbarten Regeln eingehalten hat (zB. System regelmäßig upgedatet, definierte Schutzprogramme installiert). Und die einzelnen Transaktionen müssten für alle Beteiligten klar nachvollziehbar und zuordenbar sein.

Beitrag melden Antworten / Zitieren
okav 01.03.2017, 06:28
87. Warum

ist es nicht möglich die Verbrecher bis zu dem Bankkonto zu verfolgen auf dem letztlich das Geld landet. Dort müsste es noch liegen oder physisch abgehoben werden. Fehlt es an internationalen Abkommen und fehlt es an klarer Identifikation bei der Eröffnung von Bankkonten? Vielleicht sollte weltweit die Identifikation bei der Eröffnung von Bankkonten durch biometrische Daten ergänzt werden. Institute die das nicht gewährleisten sollten vom internationalen Zahlungsverkehr ausgeschlossen werden.

Beitrag melden Antworten / Zitieren
pauschaltourist 01.03.2017, 07:23
88.

Ich betreibe seit 17 Jahren Onlinebanking - dabei anfangs mittels Brief-TAN und seit dem es verfügbar ist mittels SMS-TAN, das ganze seit dem meine Bank eine App anbot auch auf dem Smartphone und jetzt halten Sie sich fest: Alles auf dem selben Gerät (ohne Virenscanner) und mir fehlt bislang kein müder Cent.

Beitrag melden Antworten / Zitieren
hoehans 01.03.2017, 09:58
89. Reintext

Lasse mir grundsätzlich empfangene E-Mails als reinen Text darstellen. Dann sehe ich im Klartext das Ziel des Links, der plötzlich nicht mehr zur behaupteten Absender-Bank, sondern ganz woanders hinzeigt. Da noch draufzuklicken fällt schon schwerer als in der HTML-Ansicht, der leichtsinnigen Voreinstellung bei den Mail-Programmen(!). In der HTML-Sicht ist das Ziel des Links verborgen, der Link-Auslöser ist glaubwürdig verpackt und die Falle kann viel leichter zuschnappen. Und das nicht nur zum Abfischen von Bankdaten, sondern jeglicher Art von Malware. Das Ziel des Links muss beim Reintext eben rein in den Text ;-)

Beitrag melden Antworten / Zitieren
Seite 9 von 10