usa-reise.de Forum
Allgemeines => Technik => Kommunikation => Thema gestartet von: Fantasygirl am 04.07.2012, 17:21 Uhr
-
Hallo,
da stellt sich uns mal wieder eine Frage und ich würde mich freuen, wenn ihr uns eure Meinung nennen könntet:
Für unsere geplante Reise an die Westküste im September haben wir aktuell das erste Hotel gebucht, das letzte und zwischendrin eine Lodge im Grand Canyon. Alle weiteren Hotels (oder zumindest die meisten anderen) wollen wir Stand jetzt erst vor Ort buchen, damit wir ggfs. noch flexibler sind. Wir hatten uns das so vorgestellt, dass wir "heute" das Hotel für "morgen" über die ja anscheinend fast "überall" vorhandenen WLANs buchen.
Jetzt ist es ja aber so, dass ich in der Regel bei einer Hotelbuchung auch die Kreditkartennummer angeben muss. Ist das nicht ein wenig leichtsinnig, wenn das Ganze über eine mehr oder weniger ungesicherte WLAN abläuft oder bin ich da zu ängstlich? Wie handhabt ihr das? Über eure Meinung würde ich mich freuen.
-
Jetzt ist es ja aber so, dass ich in der Regel bei einer Hotelbuchung auch die Kreditkartennummer angeben muss. Ist das nicht ein wenig leichtsinnig, wenn das Ganze über eine mehr oder weniger ungesicherte WLAN abläuft oder bin ich da zu ängstlich? Wie handhabt ihr das? Über eure Meinung würde ich mich freuen.
Das eine hat mit dem anderen nichts zu tun. Nur weil ein WLAN-Netzwerk nicht mit einem Kennwort gesichert ist, heißt es nicht, dass die Informationen nicht trotzdem verschlüsselt übers Internet übertragen werden. Sobald du das Schlüsselsymbol im Browser siehst, bist du auf der sicheren Seite. Ungesichertes WLAN ist nur für den Betreiber des Netzwerks ein Risiko, da ein Benutzer damit dann machen kann, was er will, ohne dass seine Identität ermittelt werden kann.
-
Danke dir, das ging fix.
Und danke auch für die Aufklärung! :) Das ist super, dann kann unser Plan ja doch umgesetzt werden.
-
... Ungesichertes WLAN ist nur für den Betreiber des Netzwerks ein Risiko, da ein Benutzer damit dann machen kann, was er will, ohne dass seine Identität ermittelt werden kann.
Genau... was er will, z.B. auch man-in-the-middle spielen.
Ich wäre mit solchen Ratschlägen vorsichtig und empfehle niemandem seine KK Daten
über ein offenes WLAN zu verbreiten.
Das ist, sorry, gefährliches Halbwissen was du da verbreitest.
-
... Ungesichertes WLAN ist nur für den Betreiber des Netzwerks ein Risiko, da ein Benutzer damit dann machen kann, was er will, ohne dass seine Identität ermittelt werden kann.
Genau... was er will, z.B. auch man-in-the-middle spielen.
Ich wäre mit solchen Ratschlägen vorsichtig und empfehle niemandem seine KK Daten
über ein offenes WLAN zu verbreiten.
Das ist, sorry, gefährliches Halbwissen was du da verbreitest.
Dafür werden die Daten doch verschlüsselt über den Browser übertragen - Sprich: Sie werden verschlüsselt, noch bevor sie "aus dem Notebook herausgesendet werden".
Ein Man-in-the-middle ist also gar nicht an dieser Stelle möglich.
-
Hallo!
Um das kurz nochmal klar zu stellen:
Alle Daten, die man in einem offenen WLAN versendet und die nicht über eine verschlüsselte Verbindung gehen (z.B. https / SSL), sind grundsätzlich für alle anderen Teilnehmer im selben Netz lesbar.
Bucht man also ein Hotel auf einer Internetseite, die nicht verschlüsselt ist, kann jeder andere die kompletten Daten mitlesen, inklusive Kreditkartendaten. Gleiches gilt übrigens für Mails lesen, auf Foren einloggen etc. pp.
Ich habe in letzter Zeit einige Hotels gebucht und musste leider feststellen, dass einige Seiten kein Verschlüsselung anbieten.
Bei großen Seiten wie z.B. booking.com ist man sicher, aber auf einigen kleinen "Hotelseiten" auch mal nicht.
Man kann sich nur komplett schützen, wenn man eine SSH oder VPN Verbindung benutzt.
Das ist leider technisch etwas komplizierter und nicht für jeden machbar, aber nur das bietet wirklichen Schutz in offenen WLANs.
Viele Grüße, Lina
-
Das ist, sorry, gefährliches Halbwissen was du da verbreitest.
"Ist der Ruf erst ruiniert, lebt sich's gänzlich ungeniert".
Deswegen:
Das ist, sorry, hilfloses Unwissen, was Du da verbreitest. Tinerfeno hat das wunderbar beschrieben, durch und durch richtig und genau das ist der Sinn von gesicherten Protokollen.
Es ist vollkommen wurscht, über welche Netze man seine Daten übermittelt - wenn es im gesicherten Protokoll abläuft (in diesem Fall https), dann ist es sicher. Das ist selbstverständlich exakt die Idee dieses Konzepts und es funktioniert auch genau so, wie Tinerfeno schreibt: der Browser und der avisierte Server vereinbaren eine Art "Geheimsprache" und alle Nodes, die dazwischen liegen, können mit den Daten nichts anfangen.
Wenn das nicht so wäre, wäre es unbrauchbar, denn für den Man-in-the-middle und wie die ganzen Schreckensvokabeln lauten, ist es völlig unerheblich, von welchen LAN/WLAN die Daten kommen. Schon nach dem ersten Gateway kann man selbst das nicht mehr auswerten. Und auch das hat Tinerfeno vollkommen richtig dargestellt, ein "offenes WLAN" ist allein ein Betreiberrisiko, unerwünschte Clients zuzulassen. Das ist eine andere Ebene und hat überhaupt nichts damit zu tun, mit welchem Protokoll sich die angemeldeten Clients mit einem Remote Server unterhalten.
-
Wenn du dein Fachwissen aus der ComputerBild verbreiten möchtest, ist das okay,
aber bitte nicht im Zusammenhang mit sensiblen Daten anderer Menschen.
Es ist sehr einfach möglich eine https Verbindung aufzubrechen :
http://www.searchsecurity.de/themenbereiche/netzwerksicherheit/wireless-security/articles/298360/index2.html
Edit Mod: Unsachliche Kommentare entfernt
-
ohne dass seine Identität ermittelt werden kann.
Na ja... so würde ich das nicht stehen lassen :wink:
-
Wenn ich das (als Laie) richtig verstanden habe, hat ein mögliches Aufbrechen aber nichts mit WLAN an sich zu tun. Das ist prinzipiell immer möglich.
Und widerspricht dieser Aussage überhaupt nicht.
Sobald du das Schlüsselsymbol im Browser siehst, bist du auf der sicheren Seite.
Viele Grüße, Petra
-
Ja und Nein.
Das Aufbrechen in einem WLAN setzt keinen physikalischen Zugriff auf Komponenten
des Netzes vorraus.
Bei einem kabelgestützten Netzwerk, müsste man dafür Zugriff auf die Leitungen haben.
Desweiteren ist fraglich ob man überhaupt in einem regulären offenen WLAN unterwegs ist
noch gar nicht gefallen.
WLAN 1 : motel
WLAN 2 : moteI
Hier im Forum sieht manden Unterschied wegen der serifen Schriftart.
-
@Fantasygirl: Unabhängig von den technischen Details (In einem offenen W-LAN tue ich mich wesentlich leichter den SSL-Handshake abzufangen und dann hilft mir auch ein Schloss im Browser oder eine verschlüsselte Verbindung nichts mehr, wenn die Gegenstelle nicht die ist für die sie sich ausgibt) gibt es zwei mögliche Gefahrenquellen:
1) Der Hotelbetreiber - aber der könnte es einfacher haben, denn er hat die Kreditkartendaten seiner Kunden sowieso meistens.
2) Person X - das ist eine Frage der Wahrscheinlichkeitsrechnung, ob jetzt gerade das Netz kompromittiert bist indem Du bist.
Ich persönlich würde die Zahl der Buchungen möglichst reduzieren, aber wenn ich buchen muss, dann muss ich eben buchen. Wenn der Kellner oder Tankwart die Kreditkarte hat - und auch noch damit verschwindet - dann weiß ich auch nicht was damit passiert.
Wichtig ist eine zeitnahe Überwachung aller Buchungen.
-
Wenn du dein Fachwissen aus der ComputerBild verbreiten möchtest, ist das okay,
aber bitte nicht im Zusammenhang mit sensiblen Daten anderer Menschen.
...aber an anderer Stelle auf diese Zeitschrift und die 'interessanten' Artikel verweisen. Naja:
http://forum.usa-reise.de/index.php?topic=57279.msg775319#msg775319
:roll:
-
Ich persönlich würde die Zahl der Buchungen möglichst reduzieren, aber wenn ich buchen muss, dann muss ich eben buchen. Wenn der Kellner oder Tankwart die Kreditkarte hat - und auch noch damit verschwindet - dann weiß ich auch nicht was damit passiert.
Genau das ist doch die Ausgangssituation: Es geht um ein paar Buchungen von unterwegs, vermutlich aus verschiedenen Netzwerken und dann in der Regel von dem hoteleigenen aus. Wie hoch ist die Wahrscheinlichkeit, dass da zufällig was abgefangen wird?
Ich würde niemandem empfehlen, dauerhaft so ein Netz für solche Dinge zu nutzen. Aber ab und zu während einer Reise? Man kann es mit den Sicherheitsbedenken auch übertreiben. Wenn man so ängstlich ist wie CK, sollte man auf bargeldlose Zahlung gänzlich verzichten - bei DEN ganzen Risiken. Es kann grundsätzlich überall passieren:
Am Kartenlesegerät im Supermarkt, im Restaurant, am Geldautomaten, usw...
Und wie schon beschrieben: Wenn es ein anderer Hotelgast wäre, der die Daten ausspähen will und sich dann im selben Netzwerk aufhält, hindert ihn auch nichts daran, wenn das Netzwerk mit einem Passwort gesichert ist und es keine personengebundene Anmeldung gibt.
-
Im Grunde genommen ist der Streit über die Sicherheit der Protokolle doch nebensächlich. Ein ungerechtfertigter Umsatz wird reklamiert und so lange man nicht wie Susi Sorglos unterwegs war storniert.
-
Ein Thema von dem du keine Ahnung hast, gibt es Gott sei dank genug.
Mit Sicherheit - aber speziell hier habe ich erhebliche Kenntnisse. Und Dir würde ich empfehlen, solche Artikel richtig zu lesen:
Hierbei terminiert das Angreifersystem den SSL-Tunnel. Dies könnte der Anwender daran bemerken, dass in der Adressleiste des Browsers nun HTTP anstelle HTTPS steht.
Ok, wer das nicht sieht, dann ist das eben so. Aber ich sehe so etwas (ganz sicher) und so lange https das Protokoll ist, ist es sicher.
-
Oh ja, Anmelde-Daten Schwanzvergleich ... Gott sei Dank steht auf den Ausweisen nicht das geistige Alter.
Du würdest aber einiges an Ticketkosten sparen....
Das bestätigt eigentlich meine Aussage mit dem Anmeldedatum, denn wenn du schon länger hier wärst, würdest du mich kennen und du würdest wissen, dass hier freundlich miteinander umgegangen wird :lol:
-
@Fantasygirl: Unabhängig von den technischen Details (In einem offenen W-LAN tue ich mich wesentlich leichter den SSL-Handshake abzufangen und dann hilft mir auch ein Schloss im Browser oder eine verschlüsselte Verbindung nichts mehr, wenn die Gegenstelle nicht die ist für die sie sich ausgibt) gibt es zwei mögliche Gefahrenquellen:
Da ist auch nicht richtig, SSL Verbindungen sind zertifiziert und den SSL-Handshake gibt es nur mit einem gültigen Zertifikat - letzteres wird definitiv nicht vorhanden sein. Wer die entsprechende Fehlermeldung, die dann garantiert kommt, einfach nur wegklickt, dem kann man eben nicht helfen.
So super einfach ist das alles nicht, dazu gehört auch eine ganze Menge Leichtsinn und Unaufmerksamkeit.
-
Also habe ich das jetzt richtig verstanden? Wenn der Browser eine verschlüsselte Seite anzeigt (also nicht http, sondern https) ist die Verbindung in jedem Fall sicher?
Viele Grüße, Petra
-
@Fantasygirl: Unabhängig von den technischen Details (In einem offenen W-LAN tue ich mich wesentlich leichter den SSL-Handshake abzufangen und dann hilft mir auch ein Schloss im Browser oder eine verschlüsselte Verbindung nichts mehr, wenn die Gegenstelle nicht die ist für die sie sich ausgibt) gibt es zwei mögliche Gefahrenquellen:
Da ist auch nicht richtig, SSL Verbindungen sind zertifiziert und den SSL-Handshake gibt es nur mit einem gültigen Zertifikat - letzteres wird definitiv nicht vorhanden sein. Wer die entsprechende Fehlermeldung, die dann garantiert kommt, einfach nur wegklickt, dem kann man eben nicht helfen.
Was man ja z.B. bei dem Leck bei Comodo im März 2011 gesehen hat. Es ist doch unbestritten, dass die Hürden für eine unbemerkt abgefangene SSL-Verbindung sehr hoch sind, ein offenes W-LAN aber eine gewisse Erleichterung bringt, wenn ich die anderen Sachen alle beisammen habe. Insofern liegst Du hier falsch, wenn du das grundsätzlich ausschließt.
Unabhängig davon gilt aber meine Aussage aus dem Posting zuvor, man muss sich die Wahrscheinlichkeiten bewußt machen und das Risiko für sich abschätzen.
-
Unabhängig davon gilt aber meine Aussage aus dem Posting zuvor, man muss sich die Wahrscheinlichkeiten bewußt machen und das Risiko für sich abschätzen.
Ich vermute, es ist wahrscheinlicher in Vegas einen Million Dollar Jackpot zu gewinnen.
Warum sollte irgendein schlauer Cyberganove im 50 $ Motel unserer Wahl das W-Lan
anzapfen um gerade deine KK Nummer zu fischen?
-
Hallo,
Wenn der Kellner oder Tankwart die Kreditkarte hat - und auch noch damit verschwindet - dann weiß ich auch nicht was damit passiert.
der muß gar nicht damit verschwinden - alle Daten bis auf die Prüfnummer hat er auf dem Belegausdruck, und die Prüfnummer mit ihren drei oder vier Stellen kann er sich beim Einlesen der Karte anschauen und vielleicht noch die halbe Minute merken, bis er sie aufschreibt.
-
Ich vermute, es ist wahrscheinlicher in Vegas einen Million Dollar Jackpot zu gewinnen.
Sehe ich auch so (ich werde es trotzdem versuchen ...). :lol:
Ist viel Panikmache dabei, die allermeisten Attacken bedingen leichtsinnige Anwender (was grundsätzlich gilt, auch für Phishing usw.). Und (wie Du schon sagst), wieso sollte sich irgendeine Klitsche so eine Mördermühe machen?
Insofern liegst Du hier falsch, wenn du das grundsätzlich ausschließt.
Ich schließe es aus, wenn man sorgfältig genug ist. Das ist immer die Voraussetzung. Das ist allerdings für mich selbst so selbstverständlich, dass ich möglicherweise die Gefahren für Dritte unterschätze (natürlich gibt es immer welche, die hereinfallen). Aber wenn man die Regeln beachtet, sehe ich keinen Anlass zur Sorge. Das ist auch einfach zu unwahrscheinlich (s.o.), dass in irgendeinem Hotel in der Pampa eine Hackerbande mit HighTech auf Touristen-Jagd geht. Da gibt es viel lohnendere Ziele (Hotspots an zentralen Orten usw.).
-
Also habe ich das jetzt richtig verstanden? Wenn der Browser eine verschlüsselte Seite anzeigt (also nicht http, sondern https) ist die Verbindung in jedem Fall sicher?
Viele Grüße, Petra
Nein, aber die Wahrscheinlichkeit ist DEUTLICH geringer. Es schützt Dich immer noch nicht davor, dass jemand Deinem Rechner vorgaukelt, Du seist auf der Hotelreservierungsseite, befindest Dich aber tatsächlich auf einer Fake Seite. Das geht auch bei gesicherter Verbindung, ist aber aufwendiger.
WICHTIG ist für Dich, dass Du auf Fehlermeldungen achtest. Man kann zwar auch Zertifikate (das sind die "Unterschriften", an denen Dein Browser erkennt, dass Dein Gegenüber "echt" ist) fälschen, das bedarf aber Know-how und die Wahrscheinlichkeit ist damit eher gering.
Auf jeden Fall würde ich aber danach regelmäßig die KK Abrechnung genau prüfen.
Wir gehen sogar nen Schritt weiter (gut, bin da überängstlich, prüfe beruflich IT-Sicherheit ;)) - wir nehmen für derartige Aktionen immer eine prepaid-Kreditkarte, die nur über das Guthaben belastet wird.
Da man meist ja die KK nur zur Reservierung braucht, die Belastung aber dann im Hotel auch über eine andere KK laufen kann, ist auf der Prepaid auch kaum was drauf und wir nutzen sie nur für Situationen, bei denen man die KK aus der Hand geben muss (zB Restaurant) und eben solche Dinge.
-
....tolle Diskussion, muss aber gestehen, dass jemand meine CC Informationen über das "Netz" abfischt geht mir aber so was am popo vorbei.... Den Vorteil den ich damit habe, mit CC zu bezahlen, überwiegt die Angst, dass auf einem CP oder Hotel WiFi jemand nichts besseres zu tun hat als mein CC Informationen abzugreifen. Wie oft kommt das den überhaupt vor, bei den Fälle bei denen CC Daten bekannt wurden hat man sich doch gleich an der Quelle, sprich Online Shop-Server oder durch kopieren der Karte bedient.
Die Wahrscheinlichkeit durch eMail oder auf diversen Webseiten Opfer zu werden würde ich ungleich höher einschätzen als während der CC Benutzung und CC Daten fishing im Internet.
Mag schon sein dass vereinzelte Fälle bekannt wurden aber dafür überprüft man ja sein Bankkonto welche Buchungen überhaupt gemacht wurden.
Also ich sehe dass genauso entspannt wie Millionen Amerikaner das mit ihrer CC auch machen... und bisher hats immer gut geklappt.... :wink:
-
Unabhängig davon gilt aber meine Aussage aus dem Posting zuvor, man muss sich die Wahrscheinlichkeiten bewußt machen und das Risiko für sich abschätzen.
Ich vermute, es ist wahrscheinlicher in Vegas einen Million Dollar Jackpot zu gewinnen.
Warum sollte irgendein schlauer Cyberganove im 50 $ Motel unserer Wahl das W-Lan
anzapfen um gerade deine KK Nummer zu fischen?
Ist zwar nicht ein 50$ Motel, aber zumindest am Flughafen in LAX ist es einen anderen User dieses Jahr so gegangen, als er sich den Zugang dort gekauft hat. Hier der Bericht http://www.unsernordamerika.de/forum/board30-wohnzimmer-hier-quatschen-wir-%C3%BCber-alles-was-uns-sonst-noch-interessiert/board34-alles-was-google-nix-angeht/2229-fun-mit-der-kreditkarte/?highlight= , weiss aber leider nicht, ob für alle lesbar.
Andreas
-
"Der Zutritt zu dieser Seite ist Ihnen leider verwehrt. Sie besitzen nicht die notwendigen Zugriffsrechte, um diese Seite aufrufen zu können"
-
O.K. Hatte ich mir fast schon gedacht, deshalb auch Hinweis. Liegt dort im Ü100-Bereich. Werde mal beim Ersteller anfragen, ob ich den Bericht hier einstellen darf.
Andreas
-
So habe die Erlaubnis bekommen. Der User David Moffat schrieb bei www.unsernordamerika.de folgendes:
"Fun mit der Kreditkarte
... und, nein, passiert ist glücklicherweise nix :).
Da schreibt mich so um den 5.Mai eine Firma Atos Worldline aus FFM an, bei meiner Mastercard gebe es Unregelmäßigkeiten, ich möchte bitte zurückrufen. Ich kenne aber keine Firma Atos Worldline, mein Konto ist bei der Sparda Bank Berlin, der Kontoauszug für die KK stimmt, also tue ich nix. Gestern kommt wieder ein Brief von Atos Worldline mit dem selben Text und dem Zusatz "Erinnerung". Also rufe ich erst bei der Sparda an was es mit der Firma auf sich hat, und siehe da, die wickeln für die Sparda das Kreditkartengeschäft ab. Die Betrugsabteilung daselbst klärt mich auf dass man aus Dubai versucht hat schön teure Flugtickets mit meiner KK zu bezahlen. Passiert ist für mich nix, Karte gesperrt, neue KK in den nächsten Tagen.
Das Interessante daran, das Ding habe ich zuletzt so gut wie nie verwendet. Zuletzt nur für die Kaution fürs RV und für die Bezahlung des WLAN Hotspots in LAX. Alles andere im Urlaub ging über die M&M Card.
Soviel auch zum Thema "nur mit einer KK in den Urlaub" ...
Viele Grüße
Lutz
und kurz darauf
Jetzt habe ich gerade mit einem Mitfahrer telefoniert, er hat mit einer anderen KK genau das selbe Problem und der einzige Kreuzungspunkt ist die Bezahlung des WLAN Hotspot in LAX!!! Also Hände weg und lieber offline bleiben.
Viele Grüße
Lutz "
Andreas
-
Ich vermute eher, es wurden die Kartendaten bei Anbieter der Bezahl-Zugangs abgegriffen und nicht bei der Datenübertragung.
-
Ich vermute eher, es wurden die Kartendaten bei Anbieter der Bezahl-Zugangs abgegriffen und nicht bei der Datenübertragung.
Ganz sicher sogar. Und ob "abgegriffen" oder boshaft mißbraucht - das kann momentan niemand beurteilen.
Immerhin ist nichts passiert - und im Zweifel hätte die Kreditkartengesellschaft auch das Problem an der Backe, genau deswegen setzen die ja auch solche Büros ein, die im Zweifel eine Zahlung unterbinden. Damit schützen die sich selbst - und indirekt den Kunden.
-
Meine Bank of America VISA Karte wurde obwohl noch bis 2013 gültig, im Februar für mich überraschend gegen eine komplett, mit einem neuen Nummernkreis ausgetauscht. Vorher behielt ich die Kartennummer nur das Verfallsdatum + Sicherheitscode änderte sich. Beim Benutzen der alten Karte wurde diese nicht mehr als gültig erkannt. Bei einem Rückruf im BoF Servicecenter wurde mir erklärt dass aus Sicherheitsgründen der mir nicht näher erläutert wurde, ein kompletter neuer Kartennummernsatz für eine große Anzahl von BoF Kunden erstellt werden musste.
Im Nachhinein deckte sich dieser Austausch mit einer Pressemitteilung dass ein hohe Zahl von BoF VISA Kreditkartendaten auf einen Online-Shop- Server gestohlen wurden.
Nach wie vor bin ich der Meinung das die Gefahr bei CC Bezahlung/Reservierung durch Daten-Fishing im Netz doch relativ vernachlässigbar ist.