Online-Banking im Internet-Café ist nicht schlau

[Jack Black]

Das lohnt doch im Leben nicht so etwas im Internet-Café zu programmieren. Für alle Banken auf der Welt?

Wieso lohnt das nicht? Verstehe ich nicht - und braucht auch gar nicht für alle Banken der Welt sein. Reicht doch (beispielsweise) vollständig, eine große Bank (Deutsche Bank, Dresdner Bank etc.) abzubilden.

Im Übrigen wäre der von dir beschriebene Weg ja auch im W-Lan des Hotels möglich.

Richtig! Weswegen ich dort auch kein Online Banking betreiben würde.

Ich denke da ist Phishing schon der wesentlich einfacherere Weg.

Phishing ist nur der Oberbegriff für alle Methoden, TANs und PINs und Passwörter auszuspähen. Das inkludiert die obigen Verfahren.

Grüße
Rainer

[Jack Black]

Mittlerweile nutzen ja wohl alle Banken iTANs, was das Abfangen der TAN sinnlos macht.

Du verstehst offensichtlich das Prinzip nicht: Du wirst (bei getürkter Verbindung) NIE von Deiner Bank nach TANs gefragt - sondern der Betrüger fragt (beispielsweise) die 23. TAN Deiner Liste ab (Passwort etc. hat er eh schon).

Und dann initiiert er mit den Daten so lange Transaktionen (und bricht sie vor Ausführung ab), bis zufällig die 23. TAN angefordert wird: dann wird die Überweisung ausgeführt, denn diese TAN hat er ja.

Sicher, das kann mal bis zu 100 abgebrochene Transaktionen als "Einsatz" zur Folge haben - aber was sind lächerliche 100 Transaktionen im Vergleich zum Geld, was dann fließt?

Grüße
Rainer

[winki]

..jetzt werden aber Äpfel mit Birnen verglichen. Phishing (Passwortfisching) ist aber komplett was anderes wie TAN abfangen.

Die meisten Banken haben mittlerweile das weitaus sichere iTan verfahren eingeführt. Wobei bei einer Überweisung die Bank aus einer Liste die nummerierte TAN anfordert. Wird die nicht über die selbe sichere Webseite (kann man am Schloss am Infobalken der Webseite erkennen) oder innerhalb einer bestimmten Zeit ca. 25sec beantwortet wird die Transaktion abgebrochen und die TAN wird wertlos. Bei dreimaliger Falscheingabe der ITan wird das Konto gesperrt zum entsperren wird wiederum eine iTan benötigt.

Bei Phishing die weitaus mehr angewandte Methode werden über fungierte eMails Links auf Webseiten mit Aufforderung Onlinebankzugänge etc. Preiszugeben. Schlimmstenfalls zumindest bei iTan Verfahren hat man sich ein Abo einer Tageszeitung oder Klingeltöne auf den Bermudas eingefangen....

Eine weit sichere Methode in Offenen Netze oder Internet-Kaffees ist der Gebrauch des eigenen Labtops und einer Finanzsoftware (Quicken, Mein Geld etc.) da diese Kontoabfragen, Transaktionen    über eine sichere HBCI Verbindung gestatten.

Da alle Zugangsdatendaten  verschlüsselt werden können ist man relativ sicher wenn das gute Stück (Laptop) trotzdem abhanden gekommen ist.

winki

[IkeaRegal]

Wenn man nur seinen Kontostand checken möchte, würd ich mir da weniger Sorgen machen. Ohne TAN_Liste kann man im Online-Banking nämlich so gut wie garnix machen. Das heißt fängt jemand die Zugangsdaten ab, kann er nix machen. Nach dem Urlaub kann man dann ja mittels TAN-Liste (die zuhause ist) sein Zugangspasswort ändern und fertig.

[magnum]

..jetzt werden aber Äpfel mit Birnen verglichen. Phishing (Passwortfisching) ist aber komplett was anderes wie TAN abfangen.

Das ist falsch, weil:

Phishing [ˈfɪʃɪŋ] werden Versuche genannt, über gefälschte WWW-Adressen Daten eines Internet-Benutzers zu erlangen.

Quelle: http://de.wikipedia.org/wiki/Phishing


Eine TAN oder eine PIN gehört da genauso dazu.

[winki]

..jetzt werden aber Äpfel mit Birnen verglichen. Phishing (Passwortfisching) ist aber komplett was anderes wie TAN abfangen.

Das ist falsch, weil:

Phishing [ˈfɪʃɪŋ] werden Versuche genannt, über gefälschte WWW-Adressen Daten eines Internet-Benutzers zu erlangen.

Quelle: http://de.wikipedia.org/wiki/Phishing


Eine TAN oder eine PIN gehört da genauso dazu.

Ich möchte jetzt mit Dir keine Grundsatzdiskussion anfangen, aber Ich kann Dir schon aus beruflichen Gründen versichern dass beide Vorgänge aus technischer Sicht vollkommen verschiedene Vorgänge sind. Obwohl bei Phishing natürlich auch eine TAN angefordert wurde.
Allerdings gibt es in Offene Netze beim so genannten 1 TAN Verfahren einfachere Methoden als Phishing.

Das iTAN Verfahren wurde nämlich genau aus diesem Grunde eingeführt das es mit einer TAN zu leicht war den Online-Datenverkehr abzufangen und anstatt des Urhebers eigene Daten zu senden. Mit iTAN ist das nicht mehr möglich dazu müssen exakt die Bank-Zugangsdaten und die komplette Liste der iTan bekannt sein. Da der Bankverbindungs-Server  nur die Ursprungsinitial-Webseite der iTAN- Transaktion akzeptiert. 

Da aber obengenannte Möglichkeiten nicht mehr so einfach funktionieren tritt in letzter Zeit eben häufiger Phishing auf.