Rinderfond Juli 15, 2007 · bearbeitet Juli 15, 2007 von Rinderfond Ich habe neulich - in einem Anflug von gefühlter Schlauheit - meine Sicherheit bei ebase enorm erhöht, hoffe ich zumindest. Denn für Leute, die einen ein bisschen kennen, die die Familie ein bisschen kennen oder auch nur in einer Firma arbeiten, wo man den Geburtsort eines ebase-Kunden weiß, ist es mit der PIN möglich, in das Konto zu kommen. Klar, die PIN braucht es, aber für mich sind die "Sicherheitsfragen" keine Fragen, die nicht auch ein professioneller Internetbanking-Krimineller oder ein böswilliger Hacker beantworten könnte. Folglich haben sich meine Automarke (wissen wirklich genug Leute), der Geburtsname meiner Mutter (auch den kennen einige Leute, weil es dafür Gründe gibt, auf die ich nicht näher eingehen will) und auch meine Geburtsstadt neulich radikal geändert. ebase ist das sicher wurscht, weil es dabei um ein selbstreferentielles Spiel geht, dessen Regeln der Kunde aufstellen kann. Hütet die PIN wie Euren Augapfel. Mir ist schon klar, dass man das Geld nicht einfach wegüberweisen kann, wobei man schon ein paar sehr unliebsame Fondstäusche vornehmen könnte, während das Opfer im Urlaub ist. Also, ein bisschen Paranoia, aber vielleicht für den ein oder anderen User hier ein guter Hinweis. Schönen Sonntag noch! Diesen Beitrag teilen Link zum Beitrag
Elvis77 Juli 15, 2007 Gibts bei Ebase den keine TAN-Nummern, wenn man was machen will? Weis ich gar nicht mehr. Diesen Beitrag teilen Link zum Beitrag
Jose Mourinho Juli 15, 2007 Gibts bei Ebase den keine TAN-Nummern, wenn man was machen will?Weis ich gar nicht mehr. Ne, leider nicht..... Ebase funktioniert immer noch mit PIN, und als weitere Sicherheitsmassnahme gibt es noch persönliche Fragen. Ich gebe Rinderfond 100 % recht, (leider) IMO eine sehr unsichere Angelegenheit... Diesen Beitrag teilen Link zum Beitrag
Monetenfuchs Juli 15, 2007 Ebase funktioniert immer noch mit PIN, und als weitere Sicherheitsmassnahme gibt es noch persönliche Fragen. Ich gebe Rinderfond 100 % recht, (leider) IMO eine sehr unsichere Angelegenheit... Das ist ja das Niveau von türkisch-niederländischem Tagesgeld Wie sieht das bei anderen Fondsplattformen aus? FFB macht's mit TAN bzw. schriftlich mit Unterschrift. FondsDepotBank? FondsServiceBank? DWS Fondsplattform? Diesen Beitrag teilen Link zum Beitrag
Elvis77 Juli 15, 2007 · bearbeitet Juli 15, 2007 von Elvis77 Ich meine okay...wird wohl kaum jemand nen Account knacken wollen, um dann Fonds durcheinander zu würfeln. Aber das es keine TANs gibt, ist wirklich etwas mittelalterlich. Diesen Beitrag teilen Link zum Beitrag
Currywurst Juli 16, 2007 Ich gebe bei solchen Sicherheitsfragen nie "sinnvolle" Daten an. Nur PIN ist vielleicht wirklich etwas schwach. Aber andererseits ist das Risiko wohl trotzdem sehr gering. Die professionellen Banden werden wohl kaum ein Depot knacken nur um Fonds durcheinanderzuwürfeln. Solche Angriffe kommen nur zu Stande wenn es sich für die auch (finanziell) lohnt. Diesen Beitrag teilen Link zum Beitrag
Cyber-Shadow Juli 16, 2007 Hm, also ich verstehe das Problem nicht so ganz... Die "Sicherheitsfragen" sollen keine Sicherheit in dem Sinne bringen, dass es eine zusätzliche Hürde ist, ins Depot zu kommen, sondern soll folgendes bringen:Hier haben Sie die Möglichkeit dem so genannten Phishing vorzubeugen, indem Sie eine weitere Frage nach dem Login beantworten müssen. Auf dieser Seite werden Sie persönlich angesprochen. Dies ist der Beweis dafür, dass Sie tatsächlich mit den Servern der ebase GmbH verbunden sind. Die Sicherheitsfrage ist also ausschließlich dazu da, dir zu beweisen, dass du wirklich mit eBase verbunden bist. Außerdem bietet es einen geringen Schutz, dass der Phischer (der die Antwort auf die Fragen in der Regel nicht kennt, da er nur deine Depot-Nummer und dein Passwort gephischt hat) nicht ins Depot kommt, bis du den Zugang sperren lassen hast. Deswegen habe ich diese Funktion auch abgeschaltet, weil ich sowieso immer direkt über die URL-Zeile reingehe und dort sicher aus kein ungültiges Zertifikat akzeptieren würde. Die PIN sollte sicher genug sein (wenn man die allgemeinen Passwort-Regeln beachtet: Zufallspasswort mit Groß- und Kleinschreibung, Zahlen und möglichst noch Sonderzeichen), vor allem da ja wirklich niemand was klauen kann. Der finanzielle Schaden wird sich also in Grenzen halten, vor allem da man ja auch keine risikoreichen Produkte wie z.B. Futures handeln kann, im Gegensatz zur DAB-Bank wo es auch keine TANs gibt. Eigentlich ist das schlimmste, was passieren kann, dass man plötzlich lauter DEKA-Fonds im Depot hat. Da gibt es ehrlich gesagt Logins, wo ich mehr Angst davor habe, wenn jemand das Passwort knackt, weil potentiell ein größerer Schaden entstehen kann, z.B. E-Mail-Passwörter oder Passwörter von Remote-Zugängen und Online-Diensten, zumal es einige Dienste gibt, wo man gezwungen wird, eine "Sicherheitsfrage" einzurichten, die das ganze noch unsicherer macht, indem man sich damit einfach ein neues Passwort anlegen kann! Deswegen trage ich da in solchen Fällen auch immer so viele Zufalls-Zeichen ein, wie in das Feld passen, und keine richtige Antwort. Deswegen begrüße ich es persönlich auch, dass ich mich nicht zusätzlich mit TANs herumschlagen muss, die ich persönlich mittelalterlich finde, und das ist auch einer der Hauptgründe, der für mich z.B. gegen die FFB spricht. Wenn es wirklich sicher sein soll, dass lieber gleich mit Chipkarte über HBCI wie ich es beim Online-Banking mache. Diesen Beitrag teilen Link zum Beitrag
Gallo Juli 16, 2007 ...Folglich haben sich meine Automarke (wissen wirklich genug Leute), der Geburtsname meiner Mutter (auch den kennen einige Leute, weil es dafür Gründe gibt, auf die ich nicht näher eingehen will) und auch meine Geburtsstadt neulich radikal geändert. ebase ist das sicher wurscht, weil es dabei um ein selbstreferentielles Spiel geht, dessen Regeln der Kunde aufstellen kann.... Steht da irgendwo geschrieben, dass Du das wahrheitsgemäss benatworten musst? Wer keine Sorgen hat, der macht sich welche... Diesen Beitrag teilen Link zum Beitrag
DerDude1980 Juli 16, 2007 · bearbeitet Juli 16, 2007 von DerDude1980 Ich finde das auch vollkommen in Ordnung so, wie es ist. Mit TANs da herumzueiern, darauf hätte ich ja NULL Bock. Ich empfinde ehrlich gesagt eher TANs als mittelalterlich bei so einem System. Abzocken kann dir das Geld da sowieso keiner, nur im Depot herumwurschteln schlimmstenfalls. Es ist übrigens auch bei vielen Online-Brokern gängige Praxis, diese nervigen TANs, die eigentlich nur für Leute da sind, die es nicht auf die Reihe bekommen, sich ein todsicheres Login-Passwort zu überlegen, abzuschaffen. Fimatex beispielsweise hat nur ein Passwort, nach dem du auch nur zu Beginn mal gefragt wirst. Danach kannst du handeln, wie du willst, ohne erneute Frage, ZUM GLÜCK! Handele mal Optionsscheine, Knockoutprodukte oder Ähnliches, wo es manchmal auf Sekunden ankommt. Es wäre fatal, wenn ich da noch mit TANs herumhantieren müsste vor jeder Transaktion. TANs sind so gesehen völlig überflüssig. Aber ich weiß selbst, dass - sobald die Banken TANs abschaffen würden - vermutlich unfassbar viele Kunden (selbstverschuldet!) ihr Geld sofort verlieren würden, weil ihr Passwort ausspioniert wurde etc. - TANs sind irgendwie nur dazu da, sagen wir mal "unachtsame" Leute vor sich selbst zu schützen. Für Leute, die auf der Hut sind, und sich nicht durch Phishing etc. verarschen lassen, sind sie eher nervig. Aber man sieht ja leider immer wieder in den Medien, wie oft naive, mit dem Internet unerfahrene oder einfach ungebildete Menschen darauf hereinfallen. Jetzt müssen die TANs ja neuerdings schon nummeriert und gezielt angefordert werden (iTAN), weil es immer noch so Spezialisten gibt, die auf e-Mails hin ihre TANs reihenweise mit ihrer PIN auf gefaketen Bankseiten eingeben... Diesen Beitrag teilen Link zum Beitrag
Rinderfond Juli 16, 2007 Steht da irgendwo geschrieben, dass Du das wahrheitsgemäss benatworten musst? Wer keine Sorgen hat, der macht sich welche... Ja, Gallo. Da hast Du natürlich Recht. Ich kenne übrigens einige Leute, die mit dem Computer in ihrer Jugend Dinge angestellt haben, die nach außen hin für andere keinen nachvollziehbaren Sinn ergeben, wohl aber beweisen sollten, wie anfällig viele dieser Systeme nun mal sind. Dafür haben sie teilweise Ärger, teilweise aber auch viel Geld von Firmen bekommen. Heute rennen sie dann mit einem Cryptophone durch die Gegend und beraten Unternehmen zu Sicherheitsrisiken. Ich will einfach nur nicht Opfer eines solchen Beispiels werden. Mehr nicht. Wenn jemand Euch mal den Lack des Autos komplett zerkratzt hat, dann fragt Ihr Euch, was das wem gebracht hat. Aber die Sinnfrage ist dann nicht mehr von Belang, wenn man den Schaden mal hat. Diesen Beitrag teilen Link zum Beitrag
Gallo Juli 16, 2007 Ja natürlich. Aber ich denke, da musst Du Dir nicht allzu viele Sorgen machen. Bei Ebase kannst Du ja soweit ich weiß, sogar mehrere unsinnige!!! Sicherheitsfragen definieren. Das zusammen mit der schön langen und alle mögliche Sonderzeichen enthaltenden Pin kombiniert sollte doch etwas beruhigend wirken. Gruss vom Gallo Diesen Beitrag teilen Link zum Beitrag
Rinderfond Juli 16, 2007 Ja natürlich. Aber ich denke, da musst Du Dir nicht allzu viele Sorgen machen. Bei Ebase kannst Du ja soweit ich weiß, sogar mehrere unsinnige!!! Sicherheitsfragen definieren. Das zusammen mit der schön langen und alle mögliche Sonderzeichen enthaltenden Pin kombiniert sollte doch etwas beruhigend wirken. Gruss vom Gallo Oh, ja, die Sonderzeichen. Macht im Urlaub immer sehr viel Spaß auf fremden Tastaturen. (Wobei es gerade dort extrem gefährlich ist, an Onlinebanking und Co. überhaupt nur zu denken...) Diesen Beitrag teilen Link zum Beitrag
Delphin Juli 16, 2007 · bearbeitet Juli 16, 2007 von Delphin Nur mal als kurze Nebenbemerkung, ich finde auch das arbeiten mit PIN-Nummern selbst "mittelalterlich". Wieviel Passwörter müsst Ihr Euch so merken? Wieviel Kompromisse macht ihr dabei (ich meine gleiche Passwörter für verschiedene Log-Ins, oder Passwörter aufschreiben (!!) oder Passwörter die mit ner klassichen Wörterbuch-Attacke zu knacken sind)? Wir befinden uns nunmal bei der Entwicklung der Computertechnologie auf einem recht mässigen Niveau, und wie in vielen anderen Bereichen benutzen wir immer auch Technik, die wir noch nicht gut beherrschen (das macht sogar zum Teil eben den Fortschritt, denn bis eine Technologie wirklich reif ist, will eh kein Geldgeber warten). Was ich sagen will: nicht nur TANs, sondern schon PINs allein sind auf jeden Fall benutzerunfreundlich, und es wundert mich immer wieder, dass Leute bereit sind bei den unbedeutendsden Internetseiten sich einen 'Accout' anzulegen. Bis jemand eine bessere Idee hat, werden wir da ein paar Kompromisse eigehen müssen, für manche ist es nur unbequem, andere verlieren Geld vielleicht mal Geld, aber im Großen und Ganzen wird es den Fortschritt voranbringen, dass wir es nicht boykottieren, obwohl es alles andere as ausgereift ist. Ich halte es übrigens auch durchaus für möglich, dass die Benutzung von Computern wieder rückläufig wird, man wird sehen. Wenn jemand Euch mal den Lack des Autos komplett zerkratzt hat, dann fragt Ihr Euch, was das wem gebracht hat. Aber die Sinnfrage ist dann nicht mehr von Belang, wenn man den Schaden mal hat.Sehr gutes Beispiel. Übrigens für mich auch ein Fehler in der Konstruktion des Autos (sind wir auch hier noch ziemlich am Anfang?), dafür wie leicht ein Lackschaden passieren kann, steht der Reparaturpreis in keinem Verhältnis. Ich habe immer vorgeschlagen, dass mann um das Auto herum ein Gummi-Polster-Anbringt, das wäre auch beim Einparken praktisch. Und die Leute würden vielleicht aufhören am Wochenende den Lack zu polieren. P.S.: Übrigens benutzt auch die Bundesfinanzagentur nur PINs, mit dem Argument, dass man ja nur auf ein Referenzkonto überweisen kann. Und mit Schatzbriefen ist das Risiko eines Schadens durch Depotumschichtung natürlich auch denkbar klein. Diesen Beitrag teilen Link zum Beitrag
Stichling Juli 16, 2007 Ich hoffe, ich muss nie mit dem Finanzamt darüber streiten, ob unbefugte Fondsverkäufe eine steuerschädliche Wirkung haben oder nicht. Diesen Beitrag teilen Link zum Beitrag
Elvis77 Juli 16, 2007 · bearbeitet Juli 16, 2007 von Elvis77 [*]Die PIN sollte sicher genug sein (wenn man die allgemeinen Passwort-Regeln beachtet: Zufallspasswort mit Groß- und Kleinschreibung, Zahlen und möglichst noch Sonderzeichen), vor allem da ja wirklich niemand was klauen kann. Es ist übrigens auch bei vielen Online-Brokern gängige Praxis, diese nervigen TANs, die eigentlich nur für Leute da sind, die es nicht auf die Reihe bekommen, sich ein todsicheres Login-Passwort zu überlegen, abzuschaffen. Ich glaube ihr beiden unterschätzt die Möglichkeiten von Trojanern. Es ist völlig Banane, was man sich für einen Login ausdenkt. Es wird einfach gespeichert, was ihr für Tasten ihr auf der Tastatur wann gedrückt habt und welche Seiten ihr um welche Uhrzeit besucht besucht. Brauch man nur nachschauen, ob eine Bankseite besucht wurde und dann nachschauen, welche Tasten um diese Uhrzeit gedrückt wurden. Da bringt dann auch die verschlüsselte Übertragung rein gar nichts mehr. Und Fantasie beim Login erst recht nicht. Euer Passwort ist nämlich dann schon vor der verschlüsselten Übermittlung an die Bank bereits im Klartext erfasst. Zweiter Weg ist, das ihr auf eine Fake-Seite umgelenkt werdet. Das merkt ihr auch nicht, aber euer Passwort ist in diesem Moment futsch. TANs hingegen sind sicher, da sie nur einmal verwendet werden können und wenn eine Tan abgelehnt wird, besteht die Möglichkeit, das diese Meldung ein Fake ist und man kann die Liste sofort sperren. Noch besser sind die neuen Tan-Listen. Dort wird vorgegeben, welche Tan eingegeben werden muss. Selbst, wenn jemand also in den Besitz einer unbenutzten TAN gelangt, bringt ihm das gar nichts. Wohlgemerkt sind TANs nicht unbedingt nötig bei einem Depot mit Referenzkonto, es sei denn, das Referenzkonto kann Online einfach geändert werden. Aber bei den meisten Banken ist es Pflicht, das der Inhaber des Referenzkontos auf den Namen des Depotinhabers lauten muss. Aber man soll nicht glauben, das ein kreatives Passwort oder eine verschlüsselte Verbindung Schutz bietet. Man ist auf die Zuverlässigkeit seines Virenschutzprogrammes angewiesen und die agieren bekanntlich nicht, sondern reagieren nur auf bereits im Umlauf befindliche Trojaner. Gerade Leute, die sich öffentlich in Finanzforen mit dem Thema "Geld" auseinandersetzen und auch in den meisten Fällen ihre Bank hier bekannt geben, sollten auf eine TAN nicht verzichten. Ich weis allerdings nicht, inwiefern es z.B. möglich wäre die IP eines Forenbesuchers oder seine Mailadresse zu ermitteln um ihm einen "Besucher" zu schicken. Glaube aber kaum, das es all zu schwer ist. Eure IPs werden mir bei jeder eurer Posts ja auch angezeigt. Gezielten Angriffen sind wohl die meisten unserer Rechner nicht gewachsen. Nur die billigen, ungezielten Phishings sind leicht abzuwehren. Diesen Beitrag teilen Link zum Beitrag
Ariantes Juli 16, 2007 Die IP herauszubekommen ist nicht schwer, wenn keine entsprechenden Vorkehrungen getroffen wurden (Proxy, Relais, anonyme Netze, low latency networks). Die Mailadresse herauszubekommen ist schon ziemlich schwierig, da diese üblicherweise nicht mit der IP zusammenhängt und auch nicht beim surfen oder ähnlichem Mitübertragen wird. Jeder verantwortungsbewusste Internetnuzter sollte deswegen auch 4 Dinge haben: eine täglich aktualisierte Firewall, die den Namen verdient, einen guten Virenscanner, der sich ebenfalls täglich updated, ein aktuelles Anti-Spywareprogramm und ein Betriebssystem/Browser, das mind. 1x pro Woche geupdated wird. Wer das alles hat, ist zu 99% sicher. Die so viel gefürchteten Trojaner sind völlig harmlos, wenn eine Firewall alle ausgehenden Verbindungen vom eigenen Computer prüft. Diesen Beitrag teilen Link zum Beitrag
Gallo Juli 16, 2007 Jeder verantwortungsbewusste Internetnuzter sollte deswegen auch 4 Dinge haben: eine täglich aktualisierte Firewall, die den Namen verdient, einen guten Virenscanner, der sich ebenfalls täglich updated, ein aktuelles Anti-Spywareprogramm und ein Betriebssystem/Browser, das mind. 1x pro Woche geupdated wird. Wer das alles hat, ist zu 99% sicher. Die so viel gefürchteten Trojaner sind völlig harmlos, wenn eine Firewall alle ausgehenden Verbindungen vom eigenen Computer prüft. Soso... hast Du eigentlich noch andere Hobbies als Deine PC taglich upzudaten? Das ist albern und absolut übertrieben aber gut, wenn es Deinem Sicherheitsbedürfniss entspricht: Meinen Segen hast Du. Nur mal so am Rande: Ich aktualisiere meinen Virescanner, Adware&Spywarescanner 1* wöchentlich, mit anschliessendem Neustart sowie Suchlauf und habe in den letzten 15 Jahren wenn es hoch kommt, vielleicht 3!! Viren oder sonstiges Schadzeuchs auf meinem PC gehabt. Kurzfristig. Dabei läuft die Kiste bis zu 18h/Tag. Ein entsprechend umsichtiges Verhalten (man muss ja nicht JEDEN Blödsinn anklicken der einem entgegen "poppt"), gepaart mit entsprechenden Passwörtern und ein bisschen gesundem Menschenverstand und dann soll es auch gut sein mit der Sicherheit, oder? Gruss vom Gallo Diesen Beitrag teilen Link zum Beitrag
Ariantes Juli 16, 2007 · bearbeitet Juli 16, 2007 von Ariantes Tatsächlich habe ich besseres zu tun, als täglich Virenscannen und ähnliches zu updaten. Deswegen machen gute Scanner/Firewalls etc. nach entsprechender Einrichtung (zum Teil sogar mehrmals täglich) das selber, im Hintergrund. Diesen Beitrag teilen Link zum Beitrag
Monetenfuchs Juli 16, 2007 Die IP herauszubekommen ist nicht schwer, wenn keine entsprechenden Vorkehrungen getroffen wurden (Proxy, Relais, anonyme Netze, low latency networks). Die Mailadresse herauszubekommen ist schon ziemlich schwierig, da diese üblicherweise nicht mit der IP zusammenhängt und auch nicht beim surfen oder ähnlichem Mitübertragen wird. Jeder verantwortungsbewusste Internetnuzter sollte deswegen auch 4 Dinge haben: eine täglich aktualisierte Firewall, die den Namen verdient, einen guten Virenscanner, der sich ebenfalls täglich updated, ein aktuelles Anti-Spywareprogramm und ein Betriebssystem/Browser, das mind. 1x pro Woche geupdated wird. Wer das alles hat, ist zu 99% sicher. Die so viel gefürchteten Trojaner sind völlig harmlos, wenn eine Firewall alle ausgehenden Verbindungen vom eigenen Computer prüft. Eine "Personal Firewall" gaukelt letztendlich nur Sicherheit vor, die keine ist. Ein Trojaner, der durch den Virenscanner "schlüpft" (sofern dieser auch den Download-Traffic scannt), dann die PW umkonfiguriert und schon ist's um den PC geschehen. Das ganze am besten unter Windows auf einem Admin-Account und der nächste Zombie-PC wird geboren. Wer surft hier mit einem nicht-Admin-Account? Das beste ist immer noch, "so wenig Rechte wie möglich": Admin-Account nur zur "Systemwartung" (Installation etc.) verwenden Zum Arbeiten & Surfen möglichst eingeschränkte Accounts nehmen Javascript etc. möglichst nur dort aktiv haben, wo man's wirklich braucht und der Seite auch vertrauen kann. "Unsichere" Gegenden im Internet oder verdächtige Software im virtuellen PC nutzen, den man jederzeit wieder auf einen sicheren Ausgangszustand zurücksetzen kann. Wie schon von Dir genannt: Betriebssystem, Browser und Plugins auf dem neuesten Stand halten (lassen) Gehirn einschalten und nicht alle Dialogboxen erstmal per Reflex bestätigen ;-) Diesen Beitrag teilen Link zum Beitrag
Ariantes Juli 16, 2007 Du hast völlig recht, das Personal Firewalls die Bezeichnung nicht verdienen, Teile wie ZoneAlarm sind offene Ports und keine Firewall. Jeder muss sich für ein Maß an Sicherheit entscheiden, das ihm gerechtfertigt scheint. Grundsätzlich kann man aber mit recht einfachen Maßnahmen ein hohes Maß an Sicherheit erreichen. Router mit Hardwarefirewall und Verbindungsscanner, sinnvolles Betriebssystem (ja ne, nicht Windows, oder wenn halt eines mit unüblichen Kernel, also nicht Win XP x32 Home Ed) und sinnvollen Virenscanner (Avast! oder Kapersky z.B.). Nochnen Spywarescanner und Firefox mit NoScript Plugin und fertig. Sicher, gegen DDoS-Attacken hilft das alles nichts, aber wenn jemand meint mich damit Ärgern zu müssen, habe ich ganz andere Probs . Diesen Beitrag teilen Link zum Beitrag
Gallo Juli 16, 2007 Ja sicher Ariantes: Du hast natürlich Recht aber welcher Otto-Normal-PC-Anwender hat so ein von Dir geschildertes Szenario denn im Griff? Das wird aber über 1% nicht hinausgehen... Diesen Beitrag teilen Link zum Beitrag
Cyber-Shadow Juli 16, 2007 Zweiter Weg ist, das ihr auf eine Fake-Seite umgelenkt werdet.Das geht aber auch nicht ohne Trojaner, da dann das Zertifikat (oder die Adresse, was man aber ebenfalls merken sollte) nicht mehr stimmt. TANs hingegen sind sicher, da sie nur einmal verwendet werden können und wenn eine Tan abgelehnt wird, besteht die Möglichkeit, das diese Meldung ein Fake ist und man kann die Liste sofort sperren.Angenommen, man schafft es, dich auf eine gefakte Seite zu schicken (entweder mit Trojaner oder weil du die Meldung, dass das Zertifikat falsch ist, ignorierst), kann man genauso ganz einfach die TAN abfischen:1. Du gibst auf der Fake-Seite deine Daten ein und willst eine Überweisung starten. 2. Die Fake-Seite loggt sich gleichzeitig in in deinen echten Account ein und startet ebenfalls eine Überweisung an das Phischer-Konto. 3. Die Fake-Seite bekommt nun die Anforderung nach der TAN. Diese Anforderung gibt sie nun an dich weiter. 4. Du gibst die TAN ein und die Fake-Seite startet ihre Überweisung. Gleichzeitig gibt sie die Meldung aus, deine Überweisung sei angenommen worden. Du denkst also, alles sei in Ordnung. Deswegen sind TANs für mich nur Augenwischerei, sonst nichts. Eine etwas höhere Hürde ist schon HBCI mit Chipkarte (was ich wie gesagt für das echte Homebanking ausschließlich verwende), da dort das Homebanking-Programm manipuliert werden muss, aber gegen Trojaner ist nicht mal das 100%ig sicher, wenn sich jemand wirklich mühe macht, da leider Klasse-3-Leser nicht in HBCI/FinTS eingebunden sind, so dass man nicht sieht, was man signiert. Diesen Beitrag teilen Link zum Beitrag
Delphin Juli 16, 2007 [*] Javascript etc. möglichst nur dort aktiv haben, wo man's wirklich braucht und der Seite auch vertrauen kann.Die Ironie ist: beinahe alle Online-Broker setzen massiv auf JavaScript! Diesen Beitrag teilen Link zum Beitrag
Rinderfond Juli 16, 2007 Das ganze am besten unter Windows auf einem Admin-Account und der nächste Zombie-PC wird geboren. Wer surft hier mit einem nicht-Admin-Account? Windows? "Am besten"? Besser nicht. Ich surfe auf einem Apple und habe - auch wenn es angeblich Viren und Trojaner dafür geben mag - nur ein Bruchteil dieses Risikos bei einem gleichzeitig sehr sicheren Betriebssystem. Hier updatet sich nicht mal ein Adobe Reader, ohne dass ich ein Admin-Passwort eingeben muss. Diesen Beitrag teilen Link zum Beitrag
Monetenfuchs Juli 16, 2007 Die Ironie ist: beinahe alle Online-Broker setzen massiv auf JavaScript! Du vertraust Deinem Broker nicht? Diesen Beitrag teilen Link zum Beitrag