usa-reise.de Forum
Unterhaltung & aktuelle Hinweise => Aktuelle Meldungen / Radio- & Fernsehtipps => Thema gestartet von: Heiner am 12.06.2008, 08:38 Uhr
-
Hi!
Das Praktische am Internet ist unter anderem seine weltweite Verfügbarkeit. Auch für Bankgeschäfte. Am heimischen, gesicherten Rechner ist das alles kein Problem. Gefahren lauern beim Online-Banking auf Reisen – etwa in Internet-Cafés. Informationstechniker haben hier nämlich so ihre Bedenken.
Welt-online (http://www.welt.de/reise/article2087676/Online-Banking_im_Internet-Caf_ist_nicht_schlau.html)
Gruß Heiner
-
Eigentlich nix neues und das sollte allgemein mittlerweile jedem Internet-User bekannt sein.
Scheinbar ist es das aber nicht und so ist es gut, dass es hin und wieder angesprochen wird. Ob die Welt-online allerdings der richtige Ort für eine Verbreitung ist, bezweifle ich. Ich plädier da eher für die Bildzeitung :lol:
-
Ebenfalls "nicht so schlau" ist dieser Artikel.
... läuft Gefahr, dass seine Daten Hackern in die Hände fallen – die unter Umständen das Konto plündern.
Wie das ohne TAN-Liste gehen soll, muss der Redakteur mir aber noch einmal erklären.
-
Ebenfalls "nicht so schlau" ist dieser Artikel.
... läuft Gefahr, dass seine Daten Hackern in die Hände fallen – die unter Umständen das Konto plündern.
Wie das ohne TAN-Liste gehen soll, muss der Redakteur mir aber noch einmal erklären.
Ganz einfach, Du gibst da eine TAN ein, der Hacker unterbricht dann aber die Verbindung, sodass die TAN nie bei der Bank ankommt.
Mit dieser TAN hat der Hacker dann genau die Informationen, die er für eine Überweisung braucht.
-
Mit dieser TAN hat der Hacker dann genau die Informationen, die er für eine Überweisung braucht.
Falsch! Für die nächste Überweisung braucht er eine andere TAN.
-
Mit dieser TAN hat der Hacker dann genau die Informationen, die er für eine Überweisung braucht.
Falsch! Für die nächste Überweisung braucht er eine andere TAN.
Das hängt vom TAN-Verfahren ab.
Bei meiner Bank gabs bis vor kurzem fortlaufende TANs, hier konnte man einfach mit der TAN nochmal buchen, sofern beim ersten Mal die Übermittlung abgebrochen wurde. Wurde aber mittlerweile geändert und die TAN wird nach einem Zufallsprinzip angefordert.
-
Wie das ohne TAN-Liste gehen soll, muss der Redakteur mir aber noch einmal erklären.
Nicht überall werden TAN verwendet.
Gruss,
Mick
-
Nicht überall werden TAN verwendet.
Gruss,
Mick
Wobei man gerade in Liechtenstein über höhere Sicherheitsstandards nachdenken sollte :wink:.
-
Falsch! Für die nächste Überweisung braucht er eine andere TAN.
Noch falscher - Deine TAN (die Du gerade eingegeben und abgeschickt hast), wird überhaupt nicht an Deine Bank übermittelt. Stattdessen wird die abgefangene TAN sofort benutzt, um eine andere Transaktion ausführen - nicht zu Deinen Gunsten, versteht sich.
Du bekommst die Bankseiten nämlich nicht direkt angezeigt, sondern aller Wahrscheinlichkeit nach hängt da ein Proxy zwischen, der alles abfängt und analyisiert. Und gerade in unbekannten Internetcafes ist das supereinfach zu programmieren - wer dort Bankgeschäfte abwickelt, der gehört bestraft für Dummheit im Dienst.
Grüße
Rainer
-
Wobei man gerade in Liechtenstein über höhere Sicherheitsstandards nachdenken sollte :wink:.
http://www.llb.li/llb/medien.nsf/img/ibanking/$file/LLBSicherheitE-Banking.pdf (http://www.llb.li/llb/medien.nsf/img/ibanking/$file/LLBSicherheitE-Banking.pdf)
Un überhaupt: Was soll beim TAN ein hoher Sicherheitsstandard sein? Die lässt man doch in der Regel zu Hause rumliegen.
Gruss,
Mick
-
Falsch! Für die nächste Überweisung braucht er eine andere TAN.
Noch falscher - Deine TAN (die Du gerade eingegeben und abgeschickt hast), wird überhaupt nicht an Deine Bank übermittelt. Stattdessen wird die abgefangene TAN sofort benutzt, um eine andere Transaktion ausführen - nicht zu Deinen Gunsten, versteht sich.
Du bekommst die Bankseiten nämlich nicht direkt angezeigt, sondern aller Wahrscheinlichkeit nach hängt da ein Proxy zwischen, der alles abfängt und analyisiert. Und gerade in unbekannten Internetcafes ist das supereinfach zu programmieren - wer dort Bankgeschäfte abwickelt, der gehört bestraft für Dummheit im Dienst.
Grüße
Rainer
Wie gesagt, das hat bis vor einiger Zeit bei meiner Bank so funktioniert.
Da jetzt aber eine TAN nach dem Zufallsprinzip abgefragt wird, hat es der Hacker deutlich schwerer. Wenn ich z.B. jetzt eine TAN eingebe, diese aber nicht übermittelt wird (weil z.B. der Server gerade nicht geantwortet hat oder meine Internet-Verbindung abgebrochen ist), wird diese TAN nie wieder abgefragt, ich kann sie streichen.
-
Falsch! Für die nächste Überweisung braucht er eine andere TAN.
Noch falscher - Deine TAN (die Du gerade eingegeben und abgeschickt hast), wird überhaupt nicht an Deine Bank übermittelt. Stattdessen wird die abgefangene TAN sofort benutzt, um eine andere Transaktion ausführen - nicht zu Deinen Gunsten, versteht sich.
Du bekommst die Bankseiten nämlich nicht direkt angezeigt, sondern aller Wahrscheinlichkeit nach hängt da ein Proxy zwischen, der alles abfängt und analyisiert. Und gerade in unbekannten Internetcafes ist das supereinfach zu programmieren - wer dort Bankgeschäfte abwickelt, der gehört bestraft für Dummheit im Dienst.
Grüße
Rainer
Das lohnt doch im Leben nicht so etwas im Internet-Café zu programmieren. Für alle Banken auf der Welt? Und dann noch mit einer festen Anschrift, wo die Polizei den Laden jederzeit hochnehmen kann? Im Übrigen wäre der von dir beschriebene Weg ja auch im W-Lan des Hotels möglich.
Ich denke da ist Phishing schon der wesentlich einfacherere Weg.
http://www.llb.li/llb/medien.nsf/img/ibanking/$file/LLBSicherheitE-Banking.pdf (http://www.llb.li/llb/medien.nsf/img/ibanking/$file/LLBSicherheitE-Banking.pdf)
Hab's nur überflogen, aber nach dem System sind Überweisungen im Internet-Café doch gar nicht möglich, oder?
-
Also ich kann auf mein Konto online von jedem Rechner der Welt zugreifen. Auch Überweisungen sind machbar.
Da ich aber keine TAN mitschleppe, kann ich Überweisungen nur von Zuhause aus tätigen. Desweiteren haben wir bei größeren Reisen immer das Notebook mit, damit wird das Risiko geringer.
-
Ich mache es immer vom Laptop aus, was ja auch nicht wirklich sicherer ist. Und zwar sowohl Online-Banking wie auch Brokerage. Aber was solls, irgenwo muss ich es ja machen. Das es klappt die Daten unbemerkt abzufangen halte ich für sehr unwahrscheinlich. Mittlerweile nutzen ja wohl alle Banken iTANs, was das Abfangen der TAN sinnlos macht. Und dann soll auch noch jemand in einem Internetcafe in Timbuktu jemand die Seiten meiner Ortssparkasse fälschen? Naja...
Mit dem Proxy dazwischen klappt su einfach nämlich nicht, da die Übertragung verschlüsselt ist. Die beste Sicherheitsmaßnahme ich noch der Verstand. Wenn man sich mit der Technik auskennt oder als Laie einfach mal die Sicherheitshinweise seiner Bank liest, schaut man schon automatisch immer auf so Sachen wie eine aktivierte SSL-Verschlüssung.
-
Online-Banking mache ich nur von zu Hause aus, nicht in einem offenen Netzwerk.
Einmal habe ich eine Ausnahme gemacht, habe die Seite meiner Bank angesteuert. Ich hatte an dem Tag an drei verschiedenen ATMs kein Geld bekommen und hatte dann mittlerweile Panik, dass etwas mit meiner Karte/meinem Konto nicht stimmt, dass vielleicht aus Versehen mein Kreditrahmen gesprengt wurde, weil vielleicht ein Hotel 15000 USD statt 150,00 USD abgebucht hat und wollte doch mal den Kontostand checken. Auch das gelang mir erst nach Stunden, sodass ich denke, es waren einfach Schwierigkeiten, die die Bank mit ihrem Rechner hatte. Puuuuh!
Aber die Panik, dass gerade in der Beziehung etwas passiert, die fährt schon mit!
-
Das lohnt doch im Leben nicht so etwas im Internet-Café zu programmieren. Für alle Banken auf der Welt?
Wieso lohnt das nicht? Verstehe ich nicht - und braucht auch gar nicht für alle Banken der Welt sein. Reicht doch (beispielsweise) vollständig, eine große Bank (Deutsche Bank, Dresdner Bank etc.) abzubilden.
Im Übrigen wäre der von dir beschriebene Weg ja auch im W-Lan des Hotels möglich.
Richtig! Weswegen ich dort auch kein Online Banking betreiben würde.
Ich denke da ist Phishing schon der wesentlich einfacherere Weg.
Phishing ist nur der Oberbegriff für alle Methoden, TANs und PINs und Passwörter auszuspähen. Das inkludiert die obigen Verfahren.
Grüße
Rainer
-
Mittlerweile nutzen ja wohl alle Banken iTANs, was das Abfangen der TAN sinnlos macht.
Du verstehst offensichtlich das Prinzip nicht: Du wirst (bei getürkter Verbindung) NIE von Deiner Bank nach TANs gefragt - sondern der Betrüger fragt (beispielsweise) die 23. TAN Deiner Liste ab (Passwort etc. hat er eh schon).
Und dann initiiert er mit den Daten so lange Transaktionen (und bricht sie vor Ausführung ab), bis zufällig die 23. TAN angefordert wird: dann wird die Überweisung ausgeführt, denn diese TAN hat er ja.
Sicher, das kann mal bis zu 100 abgebrochene Transaktionen als "Einsatz" zur Folge haben - aber was sind lächerliche 100 Transaktionen im Vergleich zum Geld, was dann fließt?
Grüße
Rainer
-
..jetzt werden aber Äpfel mit Birnen verglichen. Phishing (Passwortfisching) ist aber komplett was anderes wie TAN abfangen.
Die meisten Banken haben mittlerweile das weitaus sichere iTan verfahren eingeführt. Wobei bei einer Überweisung die Bank aus einer Liste die nummerierte TAN anfordert. Wird die nicht über die selbe sichere Webseite (kann man am Schloss am Infobalken der Webseite erkennen) oder innerhalb einer bestimmten Zeit ca. 25sec beantwortet wird die Transaktion abgebrochen und die TAN wird wertlos. Bei dreimaliger Falscheingabe der ITan wird das Konto gesperrt zum entsperren wird wiederum eine iTan benötigt.
Bei Phishing die weitaus mehr angewandte Methode werden über fungierte eMails Links auf Webseiten mit Aufforderung Onlinebankzugänge etc. Preiszugeben. Schlimmstenfalls zumindest bei iTan Verfahren hat man sich ein Abo einer Tageszeitung oder Klingeltöne auf den Bermudas eingefangen....
Eine weit sichere Methode in Offenen Netze oder Internet-Kaffees ist der Gebrauch des eigenen Labtops und einer Finanzsoftware (Quicken, Mein Geld etc.) da diese Kontoabfragen, Transaktionen über eine sichere HBCI Verbindung gestatten.
Da alle Zugangsdatendaten verschlüsselt werden können ist man relativ sicher wenn das gute Stück (Laptop) trotzdem abhanden gekommen ist.
winki
-
Wenn man nur seinen Kontostand checken möchte, würd ich mir da weniger Sorgen machen. Ohne TAN_Liste kann man im Online-Banking nämlich so gut wie garnix machen. Das heißt fängt jemand die Zugangsdaten ab, kann er nix machen. Nach dem Urlaub kann man dann ja mittels TAN-Liste (die zuhause ist) sein Zugangspasswort ändern und fertig.
-
..jetzt werden aber Äpfel mit Birnen verglichen. Phishing (Passwortfisching) ist aber komplett was anderes wie TAN abfangen.
Das ist falsch, weil:
Phishing [ˈfɪʃɪŋ] werden Versuche genannt, über gefälschte WWW-Adressen Daten eines Internet-Benutzers zu erlangen.
Quelle: http://de.wikipedia.org/wiki/Phishing
Eine TAN oder eine PIN gehört da genauso dazu.
-
..jetzt werden aber Äpfel mit Birnen verglichen. Phishing (Passwortfisching) ist aber komplett was anderes wie TAN abfangen.
Das ist falsch, weil:
Phishing [ˈfɪʃɪŋ] werden Versuche genannt, über gefälschte WWW-Adressen Daten eines Internet-Benutzers zu erlangen.
Quelle: http://de.wikipedia.org/wiki/Phishing
Eine TAN oder eine PIN gehört da genauso dazu.
Ich möchte jetzt mit Dir keine Grundsatzdiskussion anfangen, aber Ich kann Dir schon aus beruflichen Gründen versichern dass beide Vorgänge aus technischer Sicht vollkommen verschiedene Vorgänge sind. Obwohl bei Phishing natürlich auch eine TAN angefordert wurde.
Allerdings gibt es in Offene Netze beim so genannten 1 TAN Verfahren einfachere Methoden als Phishing.
Das iTAN Verfahren wurde nämlich genau aus diesem Grunde eingeführt das es mit einer TAN zu leicht war den Online-Datenverkehr abzufangen und anstatt des Urhebers eigene Daten zu senden. Mit iTAN ist das nicht mehr möglich dazu müssen exakt die Bank-Zugangsdaten und die komplette Liste der iTan bekannt sein. Da der Bankverbindungs-Server nur die Ursprungsinitial-Webseite der iTAN- Transaktion akzeptiert.
Da aber obengenannte Möglichkeiten nicht mehr so einfach funktionieren tritt in letzter Zeit eben häufiger Phishing auf.