Forum: Wirtschaft
Betrug mit SMS-Tan: Wie sicher Online-Banking wirklich ist
imago

Kriminelle haben das Online-Banking per SMS-Tan ausgehebelt und die Konten von Telekom-Kunden geplündert. Wie sicher ist Online-Banking noch? Wie können Sie sich schützen? Antworten auf die wichtigsten Fragen.

Seite 10 von 15
WernerT 21.10.2015, 22:41
90. @klimperhannes: Wenn der Router kontrolliert wird

Nützt SSL&Co nichts mehr, weil der Angreifer problemlos die gesamte Vertrauenskette simulieren kann. Ich schätze, Sie arbeiten für unsere Banken und sollen nun mTAN als sicher darstellen, dabei war das Verfahren von Anfang an unsicher, aber billig für die Banken.

Beitrag melden Antworten / Zitieren
bratwurst007 21.10.2015, 22:42
91.

Zitat von markusma
Muss ich wenn ich etwas ändern zur Not noch eine beglaubigte Geburtsurkunde zur Telekom schicken, aber der Austausch einer Sim (der einzigen Sicherheit bei Überweisungen) kann unautorisiert per Telefon erfolgen....
Das dürfen Sie aber nicht der Telekom vorwerfen, sondern dem Gesetzgeber. Oder glauben Sie ernsthaft in dem Laden interessiert sich auch nur eine Person für Ihre Datensicherheit? It's capitalism, baby - da muss jeder gucken, wo er bleibt.

Beitrag melden Antworten / Zitieren
weltgedanke 21.10.2015, 22:43
92. Den TAN-Generator an einem sicheren Ort aufzubewahren, ...

... scheint mir nicht besonders wichtig. Die Dinger sind alle gleich, sogar unter den Banken.
Als der von meiner einen Bank kaputt war, habe ich einfach den einer anderen Bank benutzt, ganz anderes Modell, ganz anderer Hersteller. Ging auf Anhieb einwandfrei.
Ich vermute, dass Kriminelle kein Problem haben werden, sich einen zu besorgen, da braucht man seinen eigenen bestimmt nicht sicher zu verstauen, das bindet nur unnötig Ressourcen und lenkt vom Wesentlichen ab.
Bitte vernünftig recherchieren, bevor Sie etwas schreiben.
Wichtig ist aber natürlich, dass man seine EC-Karten sicher aufbewahrt; aber das war schon immer so.

Beitrag melden Antworten / Zitieren
gctuser 21.10.2015, 22:59
93. Ein Experte

Zitat von cor
"In diesem Fall aber liegt der Fehler klar bei der Telekom, nicht beim Kunden." Sehe ich anders. Der Kunde allerdings hatte bereits im Vorfeld seinen PC nicht ausreichend gesichert und vermutlich ganz naiv auf irgendeinen Link in einer dubiosen SPAM eMail geklickt. Die Telekom hat also höchstens eine (vermutlich grössere) Teilschuld. Wann kommt der Internet-Führerschein nochmal?
Nö, wenn bei einem 2-Faktor Authentifizierungs-Verfahren ein Faktor Anbieterseitig schlichtweg komplett versagt, hat der Kunde definitiv keine Schuld.

PS: zu behaupten ein Hack, würde immer auf Anwenderfehlern basieren und dann vom Internet-Führerschein zu faseln, ist reichlich peinlich.

Beitrag melden Antworten / Zitieren
historiker256 21.10.2015, 22:59
94. Hier riechts nach Überheblichkeit

Zitat von ty coon
Sie sind mit ja auch so ein Spaßvogel. Wenn ich also Online-Banking betreiben will, dann soll ich erstmal Salami-Linux von CD booten? Ich bitte Sie.
Selbst ein von einer Live-CD gestartetes Linux kann geeignet angegriffen werden. Ist schwieriger als der/das typische 08/15 PC/Smartphone etc. aber machbar.Typische Angriffe gehen heute nur noch selten per Phishing, sondern werden über Webseiten gefahren bzw über dort eingeblendete Werbung. Somit kann man nicht nur Surfer von "Schmuddelseiten" angreifen, sondern auch Surfer aller möglichen, auch seriöser Seiten.

Das Argument ".. ist noch nie was passiert..." kann man getrost in die Reihe der berühmten letzten Worte einfügen. Alle die so denken, waren nur noch nicht "dran".

Dieser geschilderte Angriff kombiniert technische Elemente mit einem Social Engineering Ansatz ganz geschickt. Die Masche sich als Telekom-Laden auszugeben ist innovativ. Die Möglicheiten in diesem Bereich sind insgesamt sehr groß und Häme gegenüber der Telekom ist unangebracht, weil es andere Provider schon viel eher erwischt hat. Nur haben die meisten das bereits vergessen. Damals ließen sich Betrüger in Großstädten SIM-Karten von Besitzern infiltrierter PCs (auf denen man wußte das was zu holen ist) an alternative Adressen in tote Briefkästen schicken oder beauftragten "Sub-Kriminelle" die Ersatz-SIMs aus der echten Kästen zu fischen (auch das geht oft). Die Post liefert zuverlässig aus, sobald ein Name an einem Briefkasten steht, zB an einem großen Wohnblock.

Absicherung ist die Summe aller Sicherheitsmaßnahmen. Also zusätzlich zum gesundeen Menschenverstand
-ein möglichst wenig exponierendes System benutzen (da haben die Linuxer recht), mal Ubuntu ausrobieren
-Virenscanner und gepflegtes System (Updates)
-den PC durch Aufgabe einiger Bequemlichkeit gut sichern, zB durch "NoScript" und einen Adblocker zB."uBlock Origin)
-kein Banking auf Mobilgeräten - da ist die Sicherheit aktuell noch schlechter als anderswo,
-mtan vermeiden, stattdessen auf FinTS (ehemals HBCI) setzen mit einem Klasse 3-Lesegerät,

...so in der Art

Beitrag melden Antworten / Zitieren
cih 22.10.2015, 23:03
95. den TAN-Generator

kann man gerne öffentlich in seiner Wohnung rumliegen lassen, solang die Bankkarte immer gut verstaut ist. Das eine funktioniert ohne das andre nicht. Zudem braucht man zusätzlich die Zugangsdaten für den online-zugang um den Generator mit dem Tan-Code zu aktivieren

Beitrag melden Antworten / Zitieren
gctuser 22.10.2015, 23:10
96. Ohne jetzt Win/Mac/WhateverOS...

Zitat von Partieller Augentinnitus
...Denn Virenschutzprogramme helfen nichts bei Zero-Day-Exploids.
...Lobbying betreiben zu wollen. Bei Zero-Day-Exploits hilft ihnen auch ihre Linux-Live CD nicht weiter.

Beitrag melden Antworten / Zitieren
pepe-b 22.10.2015, 23:22
97. Nochmal gefragt:

Kann mir jemand erklären, wie die Typen überhaupt an die neue SIM gekommen sind? Die Info fehlt mir, um den Artikel zu verstehen. Ja sie konnten die SIM bestellen, aber wem wurde die übergeben bzw. wohin versendet? Mein Provider schickt die entweder per Post zu mir nachhause oder in einen Shop wo ich mich ausweisen muss. So oder so kann also nur ICH die SIM in Empfang nehmen.

Beitrag melden Antworten / Zitieren
7eggert 22.10.2015, 23:24
98.

Zitat von susybntp11-spiegel
wer dort beschissen wird ist selbst Schuld. Ich für meine Person hebe meinen Ar... setze mich ins Auto oder wie oft genug aufs Fahrrad und fahre zur Bank. Vier Augenprinzip oder Geldautomat. Mich hat in 40 Jahren noch keiner übers Ohr gehauen und online schon mal gar nicht. Die Leute die Onlinebanking machen, wollen am liebsten auch noch bis an die Supermarkt Kasse mit dem Auto vorfahren
Wenn Sie dabei überfahren werden – selbst Schuld! Wenn Sie mit Geld in der Tasche überfallen werden – selbst Schuld!

Irgendwie findet man immer was, was irgendwer anders gemacht hat, als man selbst, um sich dann selbst auf die Schulter zu klopfen und sich in seinem eigenen Dunning-Kruger zu sonnen.

Was konkret die Sicherheit von PCs* bei Normalmenschen angeht: Anzunehmen, daß dieser garantiert sicher und unverseucht ist, ist als ob die Bank sich statt eines Architekten einen Bürgermeister aus Berlin die Bankfiliale bauen läßt, inklusive Flachdach aus Ziegeln. Die Bank weiß das und ist als die wissende Partei in diesem Fall dafür verantwortlich, den Kunden entsprechend aufzuklären.

*) Das Gleiche gilt für Smartphones, auch das sind nur PCs.

Beitrag melden Antworten / Zitieren
7eggert 22.10.2015, 23:32
99.

Zitat von klimperhannes
...und solange keiner die Telefonnummer errät, kan man auch keine Ersatz-SIM bestellen. Meine Bank ersetzt die Nummer im Browser durch **** bzw. XXXX mit drei sichtbaren Ziffern. Und die Nummer (Discounter-Prepaid) kenne nur ich und die Mitarbeiter der Bank, die ich als Vertrauenswürdig in diesem Zusammenhang ansehen muss.
Es gibt noch andere Möglichkeiten:
- Smartphone-Benutzer haben das Backup ihres Handys auf dem PC, und darin ist die eigene Nummer gespeichert
- eigene Nummer im Briefkopf in Office oder in der Signatur der E-Mail
- Bekannte haben die Telefonnummer im Adressbuch
- Handy-Nummer im öffentlichen Telefonbuch

Beitrag melden Antworten / Zitieren
Seite 10 von 15