PC Mo: Neue Phising Attaken
Computerschild: Immer mehr Online Banking Konten leer geräumt
Chib: Wie sie ihr Online Banking sicher gegen Hacker machen
(IrgendEinLückenFüllerAuf RTL): Online Banking Opfer und wie sie die Tat verarbeiten
Ja gut ich überzieh hier grade etwas, habe auch nichts gegen die Zeitschriften und Fernsehsender aber ich finde es schlimm das man in die breite Masse Angst streut. Ich weiß wovon ich rede ich habe täglich mit Kunden zu tun die einfach Angst haben auch eine “Schlagzeile” zu werden. Am liebsten wäre natürlich der Presse jeder 2te Online Banking Kunde würde sein Konto leer geräumt werden. Schließlich muss man ja irgendwas berichten.
Egal ob jemand Online Banking macht über PIN und TAN, HBCI mit oder ohne Chipkarte oder seine TAN aufs Handy schicken lässt, das größte Sicherheitsrisiko sitz zwischen Bildschrim und Rückenlehne.
Eine PIN und eine TAN sind nicht zu erraten. Eine PIN und eine TAN muss jemand klauen oder erschleichen und jeder der einen PC besitzt entscheidet wie viel Wert er darauf legt was mit seiner PIN und mit seiner TAN passiert.
Es gibt da die einen die alles blauäugig sehen und sich einen Windows Rechner ohne Passwortschutz und ohne Virenscanner hinstellen und ins Onlinebanking gehen. Dann gibt es solche die eine eigene Partition nur fürs Online Banking haben, einen Virenscanner der sogar beim Benutzen den User heilt (was übrigens schon mal Vorbildlich ist) und dann die Passwörter für PC sowie PIN und TAN Liste unter die Tastatur legen. Am besten noch im Büro und dann ab in den Urlaub. (Alles schon erlebt)
Es gibt sogar Menschen die es schaffen nach einer erfolgreichen Phising Abbuchung ne Woche zu warten ob das Geld vielleicht noch zurückkommt, um dann die Bank zu beschimpfen.
Auf was ich hinaus will ist das jeder seinen PC sauberhalten kann. Und da muss kein 200 € Virenscanner drauf und irgendwelche Spezialsoftware. Es würde teilweiße schon helfen weniger auf irgendwelchen Warez- und XXX-Seiten zu surfen und seine Passwörter nicht an die Pinnwand zu tackern. Sich über aktuelle Phisingmethoden informieren und grundsätzlich bei jeder E-Mail skeptisch sein.
Den obwohl mittlerweile meiner Meinung nach JEDER wissen müsste das die Bank niemals PIN und TAN per E-Mail oder Telefonisch verlangt, rufen bei mir im Monat durchschnittlich 2 Kunden an und Fragen ob sie eine neue TAN Liste haben können den 20 TANs werden ja verlangt und nur noch 10 sind übrig. :wallbash: Oder warum wir für dieses Update jetzt plötzlich ne PIN und TANs brauchen :zensur:
Übrigens einen richtigen Hackversuch hatte ich in meiner Laufbahn noch nicht. Das heißt die Kunden haben bei erfolgreichem Phising die TAN und die PIN “freiwillig” hergegeben oder diese wurden mit einem Trojaner ausgespäht (kein Virenscanner). Das sich ein Hacker versuch aktiv auf ein PC zu hacken ist warscheinlich nicht rentabel.
Also: Augen auf beim Dauerlauf und seine Daten für sich behalten.
4 Responses to “Dieses böse Onlinebanking”
Blauäugig an die Sache heranzugehen ist sicher genauso falsch wie den Teufel an die Wand zu malen. Man sollte sich im klaren darüber sein was man tut, und was passiert wenn man eben Online-Banking praktiziert.
Ich persönlich finde es jedenfalls immer sehr antik wenn Menschen Überweisungsträger noch klassisch mit Kugelschreiber ausfüllen, und ihn einwerfen. Aber das muss jeder für sich selber entscheiden.
Also nicht falsch verstehen, blauäugig soll man nicht an Onlinebanking herangehen. Nur es geht nicht mal eben so einfach sich fremde Zugangsdaten zu holen. Es erfordert in den meisten Fällen vorallem die Dummheit der Benutzer.
Man wir es nicht glauben aber es soll noch Vereine geben die jährlich / halbjährlich Mitgliedsbeiträge per Lastschriftträger einziehen. Wir reden hier von 100-200 Mitgliedsbeiträgen….
Die iTAN ist ein Abfragesystem. Ein Abfragesystem wird in Fragen der Sicherheit viel sicherer bewertet als jegliche durch Codierfunktion erstellte TANs. Das Problem stellt dabei die Codierfunktion dar. Die kann verraten werden, wie beim DVD-Copierschutz und auch bei den PIN für Chipgeldkarten schon geschehen. Auch kann der einmalige Schlüssel (Kreditkarte) erkannt sein und möglicherweise aus diversen Datenbanken aus dem INTERNET abgefragt werden. Ein massenweiser Angriff auf Konten wird dadurch für kriminelle Elemente recht interessant. Einmalschlüssel wie bei iTAN fehlen diese Sicherheitsprobleme. Wer was anderes nutzt, muß sich halt auf bösen Überraschungen gefaßt machen.
Und trotzdem wird jetzt iTAN nach und nach abgeschafft. Grund ist, wie schon erwähnt, der Risikofaktor Mensch. Und egal wie sehr man ihn für das Thema Phishing sensibilisieren will, es gibt immer wieder erfolgreiches Phishing.
Um ein HBCI Auftrag zu entschlüsseln wäre neben dem öffentlichen und privaten Bankschlüssel auch der öffentliche und private Kundenschlüssel notwendig, welcher immer individuell erzeugt wird. Den privaten oder öffentlichen Kundenschlüssel zu erraten wäre neben ernormer Rechenleistung auch viel Gedult gefragt: Ein 768 Bit Verschlüsselung wurde nach 2 Jahren mit mehr als 100 Rechner geknackt. Das HBCI (FinTS) benutzt (je nach verwendetem Medium) eine Schlüsselänge von 2028 Bit.
Aber auch hier darf der Kunde sein Sicherheitsmedium (Chipkarte, Schlüsseldiskette, etc) nicht aus der Hand geben.