Wie sicher ist Onlinebanking?

[Morbo]

Diesen Sicherheitsmechanismus kann man nur durch einen gehackten Browser umgehen, der SSL anders implementiert oder gänzlich simuliert. Ist nur noch eine Frage der Zeit bis solche Programme auftauchen.

 

das wiederum kann man ausschliessen, indem man nur kryptographisch signierte Pakete runterlaedt und die Signaturen ueberprueft bevor man installiert. Unter vielen Linuxen ist das Standard (und voll automatisch)... bei Windows weiss ich nicht obs das ueberhaupt gibt.

 

zum Onlinebanking: mir gefaellt das Login der Netbank. Zwei sinnvolle Features: Kontonummer und PIN lassen sich per JavaScript Nummernblock eingeben. Das macht eventuell laufenden Keyboard Loggern das Leben schwer. Zumal der Block jedesmal anders plaziert wird.

Zum zweiten muss man zusaetzlich einen zufaelligen Zugriffscode eingeben, der als JPG angezeigt wird. Das JPG ist so designed, dass automatisches lesen mit OCR Mitteln sehr schwierig (unmoeglich?) ist. Das verhindert Brute Force Angriffe auf die Login Seite... denn Kontonummern sind ja nicht soo geheim - wer sie weiss, muss nur die PIN erraten...

[BarGain]

denn Kontonummern sind ja nicht soo geheim - wer sie weiss, muss nur die PIN erraten...

aus diesem grund finde ich es ganz sinnvoll, wie codi oder auch die commerzbank das gelöst haben - die zugangsnummer ist niemals die kontonummer, sondern eine davon vollkommen gelöste kundennummer.

 

Diesen Sicherheitsmechanismus kann man nur durch einen gehackten Browser umgehen, der SSL anders implementiert oder gänzlich simuliert.

jein - es ist in der jüngeren vergangenheit mehrfach vorgekommen, daß phisher es geschafft haben sich gültige zertifikate für ihre gefaketen domains zu beschaffen, die nach außen hin dann auch vom zertifikat her nach der korrekten bak aussahen. das mit dem echten zertifikat der bank zu vergleichen, ohne beide zertifikate direkt nebeneinander zu haben, stelle ich mir für den normaluser extrem schwierig vor.

die jungs von der phisherfront sind zwar zu blöd ihre emails in korrektem deutsch zu formulieren, auf der technischen seite haben die aber wie so oft die nase immer noch vorne.

[It'sMe]

Auch das nützt Dir nichts bei IP spoofing oder getürktem DNS. ...

 

prinzipiell hast Du recht, aber ich behaupte einfach einmal, daß der Anteil dieser Angriffsmethode(n) an den wirklich eingetretenen Schäden vernachlässigbar ist. Das Hauptrisiko beim Online-Banking sitzt noch immer vor der Tastatur

 

 

It's Me

[Morbo]

jein - es ist in der jüngeren vergangenheit mehrfach vorgekommen, daß phisher es geschafft haben sich gültige zertifikate für ihre gefaketen domains zu beschaffen [...]

wie haben die das gemacht? Haben die zb. http://bankxyz-online.com registriert und dafuer auf normalem Weg ein Zertifikat gekauft? Da muesste ja zumindest irgendwie ne widersinnige Adresse/Name im Zertifikat vermerkt sein? Oder die Authority ist ihrer Validierungspflicht nicht nachgekommen?

 

wie auch immer, einem unbedarften Nutzer wird sowas sicherlich nicht auffallen. Da stimme ich voll zu. Die wenigsten wissen was ein SSL Zertifikat ist...

[BarGain]

ebest, ja, genau das ist den infos auf heise online zufolge passiert - die ca-certs sind ihren prüfungspflichten nicht richtig nachgekommen und haben auf diese weise ermöglicht, daß die phisher sich zertifikate für spoof-domains unter den nagel reißen konnten.

[Morbo]

na grossartig. wozu brauch man die dann?

[cubanpete]

na grossartig. wozu brauch man die dann?

Das Zertifikat sollte mit der angewählten Domain übereinstimmen. Und zwar auf den Buchstaben! So viel Zeit muss sein, ist schliesslich Deine Kohle.

 

Wenn Du cash bezahlst ist ein Hunderter auch nicht gleich ein Tausender, ist auch nur ein Zeichen Unterschied...

[Kaa]

Ich wünsche allen ITAN Nutzern ein SSL verschlüsseltes frohes Weihnachtsfest!

[Andre Kostolany]

Ich wünsche allen ITAN Nutzern ein SSL verschlüsseltes frohes Weihnachtsfest!

 

 

Würde mich mal interessieren wieviele Menschen bei iTan schon abzockt wurden oder zum vergleich bei normaler Tan!

[Monetenfuchs]

iTAN verhindert das Schadprogramme systematisch TANs ausprobieren. Das ist der eigentliche Vorteil ggü. "normalen" TANs. mTAN und SmartCard sind noch deutlich sicherer, setzen aber voraus, daß die entsprechende Infrastruktur vorhanden ist (Handy bzw. SmartCard-Reader, ist im Ausland u.U. ein Problem).

 

ITANs sind eigentlich das nervigste, was man als legitimer Kontoinhaber hat, wenn man von unterwegs (Arbeit, Urlaub, ...) möglicherweise Transaktionen anstoßen muß.

Bei normalen TANs reicht(e) es, die erwartete Anzahl an TANs mitzunehmen - max. Risiko = TAN-Anzahl x Verfügungslimit.

Bei iTANs muß der ganze Bogen mitgenommen werden - max. Risiko = freie ITANS x Verfügungslimit.

 

Gruß

Monetenfuchs

[BarGain]

wie oft mußt du denn im schnitt im urlaub dringend und unbedingt eine tan-behaftete transaktion anwerfen?

wenn ich weiß, daß während einer längeren abwesenheit meinerseits wichtige überweisungen zu tätigen sind, dann tu ich das vorher und terminier die dinger einfach und feddich. ich war noch nie in der verlegenheit, auch nur eine einzige tan sonstwohin mitnehmen zu müssen.

[Monetenfuchs]

wie oft mußt du denn im schnitt im urlaub dringend und unbedingt eine tan-behaftete transaktion anwerfen?

wenn ich weiß, daß während einer längeren abwesenheit meinerseits wichtige überweisungen zu tätigen sind, dann tu ich das vorher und terminier die dinger einfach und feddich. ich war noch nie in der verlegenheit, auch nur eine einzige tan sonstwohin mitnehmen zu müssen.

 

Sicherlich passiert das nicht jeden Tag und was planbar ist, terminiere ich auch. Manche Leute sind beruflich auch schon mal unterwegs und überweisen Geld. Eine iTAN-Liste im Hotel (Safe ist ja noch keine Pflicht), mit sich rumtragen oder als TIFF auf'm Rechner erzeugt bei mir etwas Unbehagen in Sachen "Fahrlässigkeit".

 

Nichtsdestotrotz möchte ich meine finanzielle Handlungsfähigkeit aber auch turbulenten Zeiten nicht ganz aufgeben. Ich sehe es einfach als eine Art von Risikomanagement - falls ich grad' unter einer Palme sitze und es rappelt an den Börsen, möchte ich nicht untätig zusehen müssen.

 

Gruß

Monetenfuchs

[Morbo]

Das Zertifikat sollte mit der angewählten Domain übereinstimmen. Und zwar auf den Buchstaben! So viel Zeit muss sein, ist schliesslich Deine Kohle.

 

so einfach ist es leider nicht (nebenbei: diese Unstimmigkeit bemerkt der Firefox und zeigt ne Warnung an - die viele Leute einfach 'wegklicken' ). Was der BarGain ansprach, muss etwa so gelaufen sein:

 

Angenommen das offizielle online Portal ist http://www.bankxyz.com. Der Fischer geht nun zu einem beliebigen Registrar und kauft ganz legal eine aehnlich klingende Domain. Zb. http://www.bankxyz-portal.com. Mit der Domain in der Hand, geht er zu einer Zertifizierungsstelle und kauft ein Zertifikat.... normalerweise ist es nun die Pflicht der Zertifizierungsstelle zweifelsfrei festzustellen, dass der Kaeufer der ist, fuer den er sich ausgibt - schliesslich buergt sie mit dem Zertifikat dafuer. Das heisst Person und Firma muss geprueft werden. Hier scheint es Grauzonen zu geben...

 

Sobald der Fischer sein Zertifikat bekommt, ist technisch alles in Ordnung: Es passt zur angewaehlten Domain und kann mit dem public key der Zertifizierungsstelle verifiziert werden.....

 

Als Portalbenutzer koennte man maximal versuchen die restlichen Felder des Zertifikats (ie Adresse) zu pruefen. Aber gegen was? Viele Banken haben ihre Portale an IT Firmen ausgelagert. Man muesste die Organisationsstruktur seiner Bank kennen... ein Unding...

[cubanpete]

Das Domain Name System ist hierarchisch aufgebaut. Das heisst, wenn eine Firma "banky.com" registriert hat, kann keine andere Firma "portal.banky.com" registrieren. Man muss also vor allem die letzten beiden Teile anschauen und bei einem Namen wie "portal-banky.com" sollten die Alarmglocken läuten.

[Monetenfuchs]

Das Domain Name System ist hierarchisch aufgebaut. Das heisst, wenn eine Firma "banky.com" registriert hat, kann keine andere Firma "portal.banky.com" registrieren. Man muss also vor allem die letzten beiden Teile anschauen und bei einem Namen wie "portal-banky.com" sollten die Alarmglocken läuten.

 

Wäre toll, wenn die Banken und ihre IT-Dienstleister es auch so einsetzen würden. Stattdessen hat man so einen Murks speziell bei den Genossen wie z.B.:

 

https://www.vr-networld-ebanking.de/index.php?... (Süd-Genossen mit Fiducia-RZ)

https://internetbanking.gad.de/banking/portal?... (Nord-Genossen mit GAD-RZ)

https://www.portal-banking.de/wps/portal/... (Sparda-/PSD-Banken)

https://www.bv-activebanking.de/... (HSBC Trinkaus)

https://portal02.commerzbanking.de (Commerzbank)

 

DeuBa, Sparkassen sind da schon wesentlich einfacher mit XYZ.BANKNAME.de.

 

Gruß

Monetenfuchs

[BarGain]

richtig, pete, aber genau da liegt der hase im pfeffer.

erstens sind sich immer noch viele normalnutzer dessen nicht bewußt, ebenso wie wohl kaum ein normalsterblicher heutzutage noch in der lage wäre, tief in den innereien seines autos rumzufummeln. "auto muss fahren und mich von a nach b bringen, und internet muß funktionieren und mich zu meiner bank bringen. wie das funktioniert, interessiert mich nicht" - das ist nun einmal die denkweise.

 

zweitens machen es immer noch viele banken den phishern leicht und greifen bei ihren portalen auf framesets zurück, die die URLs einzelner frames freundlicherweise direkt per url-parameter akzeptieren und keine validitätsprüfung der übergebenen parameter vornehmen. damit kann also der freundliche phisher von nebenan seine portal-bankxyz.tld-adresse samt seinem für diese url gültigen zertifikat bequem und für den laien vollkommen unsichtbar im echten bankportal-frameset verstecken. wie soll das ein laie denn noch rausfinden, daß da was mit der seite faul ist?

 

viel schlimmer aber noch sind die unicode-domains. da nimmt der russe statt eines A in xyzbank.de einfach das passende kyrillische zeichen, das dem A täuschend ähnlich sieht, und schon hast du ohne explizites einschalten der passenden sicherheitsfeatures in firefox und msie auch optisch keine chance mehr den fake durch eine reine sichtprüfung zu erkennen.

 

letztendlich läuft natürlich alles auf den gesunden menschenverstand hinaus - keine bank der welt wird dir schon durch einen reinen login eine oder gar zehn (i)tans entlocken wollen, und noch weniger wird dir irgendeine bank der welt eine in radebrechendem deutsch verfaßte unpersonalisierte massenemail schicken, die dich unbedingt und sofort dazu bringen will, eine "validierung" deines kontos durchzuführen.

 

in vielen fällen von "reingefallen" darf man wohl mit fug und recht sagen, "tot wegen doof, weil dumm geboren und nix dazugelernt", nur kann man das leider nicht komplett für alle deppen dieser welt pauschalisieren, auch wenn ich das selbst gern täte

[cubanpete]

Wirre Domainnamen: so einem Fall hilft wohl nur, das Zertifikat genau anzuschauen (Adresse, etc.) und evtl. dort anzurufen. Oder gleich eine andere Bank suchen...

 

Die phisher gehen im Augenblick noch relativ unprofessionell vor. Das wird sich ändern sobald es nicht mehr genug Dumme gibt. Das mit dem Verstecken im Bankportal ist nicht so einfach, wenn alles SSL verschlüsselt ist.

 

Die grösste Gefahr geht von gehackten Browsern aus, wie schon erwähnt, und mir ist bis jetzt noch kein solcher Fall bekannt.

 

Alles andere bekommt man in den Griff. Die falschen Schriftzeichen im domain funktionieren nur, wenn man das Internetbanking nicht via Bookmarks oder Eingabe der URL aufgerufen hat, also z.B. aus einem Link in einem e-mail. Wer so was tut ist eigentlich selber schuld und ich denke es ist nur noch eine Frage der Zeit, bis die Banken aufhören solche Schäden zu vergüten.

 

Wie gesagt, solange SSL im Browser funktioniert braucht es zwei Elemente: eine dem Browser falsch angegebene Domain und ein damit übereinstimmendes Zertifikat. Strichcode-Listen, Smart-Card Geräte etc. sind eigentlich nur zum Schutz der Kunden vor sich selbst da: sie notieren dann nicht das Passwort oder benutzen ihre Telefonnummer, Geburtsdatum etc.

[CSK]

Das Onlinebanking ist eigentlich genauso sicher, wie die Person vor dem Bildschirm. Aber ein gewisses Restrisiko bleibt immer. Der berühmte Zufall

[Andre Kostolany]

Hab was zum Thema Onlinebanking gefunden!

http://www.stiftung-warentest.de/online/ge...71/1490749.html

Hat jemand die Ausgabe schon gelesen?

[RED-BARON]

Also iTan ist jetzt momentan das Maß der Dinge. Ist sogar komfortabler wie ich finde.

Da wird dir dann halt die entsprechende Tan mit einer Nummer angegeben.

Früher hatte ich immer irgendwelche Tans genommen, ohne sie wegzustreichen.

Waren sehr viele Tans verbraucht, so musste ich immer eine noch freie Tan suchen...

Weibsen :'(

[uzf]

Weibsen :'(

Metrosexuell bitte!

[RED-BARON]

[uzf]

Der oder die liebe Andy ist ein Kerl !!!

[RED-BARON]

ich wollte doch nur mal schief guggen

http://de.wikipedia.org/wiki/Metrosexualit%C3%A4t

was es heutzutage aber auch alles gibbet :-"

[andy]

Habt ihr Langeweile?