Von unterwegs Hotel buchen und Kreditkartennummer im freien WLAN

[Jack Black]

Ein Thema von dem du keine Ahnung hast, gibt es Gott sei dank genug.

Mit Sicherheit - aber speziell hier habe ich erhebliche Kenntnisse. Und Dir würde ich empfehlen, solche Artikel richtig zu lesen:

Hierbei terminiert das Angreifersystem den SSL-Tunnel. Dies könnte der Anwender daran bemerken, dass in der Adressleiste des Browsers nun HTTP anstelle HTTPS steht.

Ok, wer das nicht sieht, dann ist das eben so. Aber ich sehe so etwas (ganz sicher) und so lange https das Protokoll ist, ist es sicher.

[Tinerfeño]

Oh ja, Anmelde-Daten Schwanzvergleich ... Gott sei Dank steht auf den Ausweisen nicht das geistige Alter.
Du würdest aber einiges an Ticketkosten sparen....

Das bestätigt eigentlich meine Aussage mit dem Anmeldedatum, denn wenn du schon länger hier wärst, würdest du mich kennen und du würdest wissen, dass hier freundlich miteinander umgegangen wird 

[Jack Black]

@Fantasygirl: Unabhängig von den technischen Details (In einem offenen W-LAN tue ich mich wesentlich leichter den SSL-Handshake abzufangen und dann hilft mir auch ein Schloss im Browser oder eine verschlüsselte Verbindung nichts mehr, wenn die Gegenstelle nicht die ist für die sie sich ausgibt) gibt es zwei mögliche Gefahrenquellen:

Da ist auch nicht richtig, SSL Verbindungen sind zertifiziert und den SSL-Handshake gibt es nur mit einem gültigen Zertifikat - letzteres wird definitiv nicht vorhanden sein. Wer die entsprechende Fehlermeldung, die dann garantiert kommt, einfach nur wegklickt, dem kann man eben nicht helfen.

So super einfach ist das alles nicht, dazu gehört auch eine ganze Menge Leichtsinn und Unaufmerksamkeit.

[Kauschthaus]

Also habe ich das jetzt richtig verstanden? Wenn der Browser eine verschlüsselte Seite anzeigt (also nicht http, sondern https) ist die Verbindung in jedem Fall sicher?

Viele Grüße, Petra

[lonewolf81]

@Fantasygirl: Unabhängig von den technischen Details (In einem offenen W-LAN tue ich mich wesentlich leichter den SSL-Handshake abzufangen und dann hilft mir auch ein Schloss im Browser oder eine verschlüsselte Verbindung nichts mehr, wenn die Gegenstelle nicht die ist für die sie sich ausgibt) gibt es zwei mögliche Gefahrenquellen:

Da ist auch nicht richtig, SSL Verbindungen sind zertifiziert und den SSL-Handshake gibt es nur mit einem gültigen Zertifikat - letzteres wird definitiv nicht vorhanden sein. Wer die entsprechende Fehlermeldung, die dann garantiert kommt, einfach nur wegklickt, dem kann man eben nicht helfen.

Was man ja z.B. bei dem Leck bei Comodo im März 2011 gesehen hat. Es ist doch unbestritten, dass die Hürden für eine unbemerkt abgefangene SSL-Verbindung sehr hoch sind, ein offenes W-LAN aber eine gewisse Erleichterung bringt, wenn ich die anderen Sachen alle beisammen habe. Insofern liegst Du hier falsch, wenn du das grundsätzlich ausschließt.

Unabhängig davon gilt aber meine Aussage aus dem Posting zuvor, man muss sich die Wahrscheinlichkeiten bewußt machen und das Risiko für sich abschätzen.

[wilma61]

Unabhängig davon gilt aber meine Aussage aus dem Posting zuvor, man muss sich die Wahrscheinlichkeiten bewußt machen und das Risiko für sich abschätzen.

Ich vermute, es ist wahrscheinlicher in Vegas einen Million Dollar Jackpot zu gewinnen.

Warum sollte irgendein schlauer Cyberganove im 50 $ Motel unserer Wahl das W-Lan

anzapfen um gerade deine KK Nummer zu fischen?

[mrh400]

Hallo,

Wenn der Kellner oder Tankwart die Kreditkarte hat - und auch noch damit verschwindet - dann weiß ich auch nicht was damit passiert.

der muß gar nicht damit verschwinden - alle Daten bis auf die Prüfnummer hat er auf dem Belegausdruck, und die Prüfnummer mit ihren drei oder vier Stellen kann er sich beim Einlesen der Karte anschauen und vielleicht noch die halbe Minute merken, bis er sie aufschreibt.

[Jack Black]

Ich vermute, es ist wahrscheinlicher in Vegas einen Million Dollar Jackpot zu gewinnen.

Sehe ich auch so (ich werde es trotzdem versuchen ...). 

Ist viel Panikmache dabei, die allermeisten Attacken bedingen leichtsinnige Anwender (was grundsätzlich gilt, auch für Phishing usw.). Und (wie Du schon sagst), wieso sollte sich irgendeine Klitsche so eine Mördermühe machen?

Insofern liegst Du hier falsch, wenn du das grundsätzlich ausschließt.

Ich schließe es aus, wenn man sorgfältig genug ist. Das ist immer die Voraussetzung. Das ist allerdings für mich selbst so selbstverständlich, dass ich möglicherweise die Gefahren für Dritte unterschätze (natürlich gibt es immer welche, die hereinfallen). Aber wenn man die Regeln beachtet, sehe ich keinen Anlass zur Sorge. Das ist auch einfach zu unwahrscheinlich (s.o.), dass in irgendeinem Hotel in der Pampa eine Hackerbande mit HighTech auf Touristen-Jagd geht. Da gibt es viel lohnendere Ziele (Hotspots an zentralen Orten usw.).

[TGW712]

Also habe ich das jetzt richtig verstanden? Wenn der Browser eine verschlüsselte Seite anzeigt (also nicht http, sondern https) ist die Verbindung in jedem Fall sicher?

Viele Grüße, Petra

Nein, aber die Wahrscheinlichkeit ist DEUTLICH geringer. Es schützt Dich immer noch nicht davor, dass jemand Deinem Rechner vorgaukelt, Du seist auf der Hotelreservierungsseite, befindest Dich aber tatsächlich auf einer Fake Seite. Das geht auch bei gesicherter Verbindung, ist aber aufwendiger.

WICHTIG ist für Dich, dass Du auf Fehlermeldungen achtest. Man kann zwar auch Zertifikate (das sind die "Unterschriften", an denen Dein Browser erkennt, dass Dein Gegenüber "echt" ist) fälschen, das bedarf aber Know-how und die Wahrscheinlichkeit ist damit eher gering.

Auf jeden Fall würde ich aber danach regelmäßig die KK Abrechnung genau prüfen.

Wir gehen sogar nen Schritt weiter (gut, bin da überängstlich, prüfe beruflich IT-Sicherheit ) - wir nehmen für derartige Aktionen immer eine prepaid-Kreditkarte, die nur über das Guthaben belastet wird.
Da man meist ja die KK nur zur Reservierung braucht, die Belastung aber dann im Hotel auch über eine andere KK laufen kann, ist auf der Prepaid auch kaum was drauf und wir nutzen sie nur für Situationen, bei denen man die KK aus der Hand geben muss (zB Restaurant) und eben solche Dinge.

[winki]

....tolle Diskussion, muss aber gestehen, dass jemand meine CC Informationen über das "Netz" abfischt geht mir aber so was am popo vorbei.... Den Vorteil den ich damit habe, mit CC zu bezahlen, überwiegt die Angst, dass auf einem CP oder Hotel WiFi jemand nichts besseres zu tun hat als mein CC Informationen abzugreifen. Wie oft kommt das den überhaupt vor, bei den Fälle bei denen CC Daten bekannt wurden hat man sich doch gleich an der Quelle, sprich Online Shop-Server oder durch kopieren der Karte bedient.

Die Wahrscheinlichkeit durch eMail oder auf diversen Webseiten Opfer zu werden würde ich ungleich höher einschätzen als während der CC Benutzung und  CC Daten fishing im Internet.

Mag schon sein dass vereinzelte Fälle bekannt wurden aber dafür überprüft man ja sein Bankkonto welche Buchungen überhaupt gemacht wurden.

Also ich sehe dass genauso entspannt wie Millionen Amerikaner das mit ihrer CC auch machen... und bisher hats immer gut geklappt....

[andi7435]

Unabhängig davon gilt aber meine Aussage aus dem Posting zuvor, man muss sich die Wahrscheinlichkeiten bewußt machen und das Risiko für sich abschätzen.

Ich vermute, es ist wahrscheinlicher in Vegas einen Million Dollar Jackpot zu gewinnen.

Warum sollte irgendein schlauer Cyberganove im 50 $ Motel unserer Wahl das W-Lan

anzapfen um gerade deine KK Nummer zu fischen?

Ist zwar nicht ein 50$ Motel, aber zumindest am Flughafen in LAX ist es einen anderen User dieses Jahr so gegangen, als er sich den Zugang dort gekauft hat. Hier der Bericht http://www.unsernordamerika.de/forum/board30-wohnzimmer-hier-quatschen-wir-%C3%BCber-alles-was-uns-sonst-noch-interessiert/board34-alles-was-google-nix-angeht/2229-fun-mit-der-kreditkarte/?highlight= , weiss aber leider nicht, ob für alle lesbar.

Andreas

[mrh400]

"Der Zutritt zu dieser Seite ist Ihnen leider verwehrt. Sie besitzen nicht die notwendigen Zugriffsrechte, um diese Seite aufrufen zu können"

[andi7435]

O.K. Hatte ich mir fast schon gedacht, deshalb auch Hinweis. Liegt dort im Ü100-Bereich. Werde mal beim Ersteller anfragen, ob ich den Bericht hier einstellen darf.

Andreas

[andi7435]

So habe die Erlaubnis bekommen. Der User David Moffat schrieb bei www.unsernordamerika.de folgendes:

"Fun mit der Kreditkarte
... und, nein, passiert ist glücklicherweise nix .

Da schreibt mich so um den 5.Mai eine Firma Atos Worldline aus FFM an, bei meiner Mastercard gebe es Unregelmäßigkeiten, ich möchte bitte zurückrufen. Ich kenne aber keine Firma Atos Worldline, mein Konto ist bei der Sparda Bank Berlin, der Kontoauszug für die KK stimmt, also tue ich nix. Gestern kommt wieder ein Brief von Atos Worldline mit dem selben Text und dem Zusatz "Erinnerung". Also rufe ich erst bei der Sparda an was es mit der Firma auf sich hat, und siehe da, die wickeln für die Sparda das Kreditkartengeschäft ab. Die Betrugsabteilung daselbst klärt mich auf dass man aus Dubai versucht hat schön teure Flugtickets mit meiner KK zu bezahlen. Passiert ist für mich nix, Karte gesperrt, neue KK in den nächsten Tagen.

Das Interessante daran, das Ding habe ich zuletzt so gut wie nie verwendet. Zuletzt nur für die Kaution fürs RV und für die Bezahlung des WLAN Hotspots in LAX. Alles andere im Urlaub ging über die M&M Card.

Soviel auch zum Thema "nur mit einer KK in den Urlaub" ...
Viele Grüße

Lutz

und kurz darauf


Jetzt habe ich gerade mit einem Mitfahrer telefoniert, er hat mit einer anderen KK genau das selbe Problem und der einzige Kreuzungspunkt ist die Bezahlung des WLAN Hotspot in LAX!!! Also Hände weg und lieber offline bleiben.
Viele Grüße

Lutz  "

Andreas

[diro]

Ich vermute eher, es wurden die Kartendaten bei Anbieter der Bezahl-Zugangs abgegriffen und nicht bei der Datenübertragung.