Ankündigung

Einklappen
Keine Ankündigung bisher.

Unsicheres Online-Banking...

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Frage: Unsicheres Online-Banking...

    Guten Tag zusammen

    Weil sich meine Kollegen nicht oder nur wenig für folgendes interessieren, hoffe ich, dass ich bei euch gut aufgehoben bin.

    Ich nehme an, die meisten von euch kennen diverse Onlinebanking Login-Verfahren und arbeiten auch damit. Auch ich gehöre zu denen, was heute ja fast ein Muss ist.

    In letzter Zeit habe ich mich mit diesen Login-Sicherheitsverfahren diverser Schweizer Banken auseinandergesetzt. Ich habe mir einige Online-Banking Login-Schritte unter die Lupe genommen, wobei meistens mit folgenden Kriterien gearbeitet wird:

    Kundennummer, Passwort. Anschliessend braucht es oft eine TAN Nummer, welche z.b. durch ein "Taschenrechnerli" errechnet wird. Aber auch das Handy wird oft benutzt, mit welchem ich einen jedesmal ändernden PIN zur Eingabe erhalte. Zu den Sicherheitselementen gehören aber auch unter anderem die Persönliche Anrede während dem Einloggen dazu (Name, Vorname, letztes Login, Uhrzeit...) damit sich der Einzuloggende seine eigene Identität damit überprüfen kann. Usw...

    Wie ich auch auf diversen Internetseiten gelesen habe, sind all jene Verfahren theoretisch mit gewissem Aufwand an Arbeit durchaus möglich, "auszuhebeln". Mit aushebeln meine ich z.b., dass es mit einem einfachen Phishing-Mail möglich sein sollte, das Konto auszuspähen. Bekannt sind bisher aber keine solchen Attacken bei den neuen Login-Verfahren, so meine Recherchen.

    Einige erinnern sich vielleicht noch an die rieseigen Phishing-Attacken, bei welchen die PostFinance betroffen war. Das war so ca. 2-3 Jahre her (oder sogar länger??). Jedenfalls hatte die PostFinance aus diesem Grund das ganze Login-Verfahren auf den Kopf gestellt und neu unter anderem das Lesegerät + Karte (Taschenrechnerli) eingeführt.

    Nun ja, jetzt zu meinem eigentlichem Anliegen, nach dieser langen Einleitung...

    Wie gross wäre das Interesse der jeweiligen Banken, aufzuzeigen, wie dies mit einem einfachen Phishing-Mail "auszuhebeln" wäre?

    Ich weiss nicht, sind sich die Banken darüber bewusst (ich gehe schwer davon aus), dass dies mit relativ wenig Programmierkenntnis/Zeitaufwand durchaus möglich ist, und zwar nicht nur in der Theorie?

    Wenn ja, warum hat z.B. die Post viel Geld in die Finger genommen, um gegen die Phishing-Attacken vorzugehen, obwohl es immer noch nicht sicher dagegen ist? Sollten etwa so die Onlinebanking-Kunden überzeugt werden, dass es jetzt sicher sein sollte?

    Oder wenn nein, sollte man solche Möglichkeiten den betroffenen Banken irgendwie aufzeigen? Sich dort melden?

    Was meint ihr zu dieser "Geschichte"?

    Gruss FilOO
    Zuletzt geändert von FilOO; 21.06.2010, 09:33.

  • #2
    AW: Unsicheres Online-Banking...

    Das Problem liegt eigentlich nicht an der Unsicherheit der Bankenlösung sondern am Enduser der nicht aufpasst.

    Lösung: Offline Tool mit gehärtetem Browser.
    MCSE+S, CompTIA S+, CAS Information Security, MAS Information Security

    Kommentar


    • #3
      AW: Unsicheres Online-Banking...

      Zu dem ganzen zuerst einen grundsätzlichen Gedanken:

      Das absolut sicherer Verfahren gibt es nicht! Punkt. Jede Technologie und sei sie noch so abgedreht und perfekt etc kann ausgehebelt werden. Wenn nicht heute dann vielleicht in ein paar Monaten oder Jahren.

      In der BWL gibt es das schöne Dreickeck. KOSTEN in einer Ecke, KOMFORT in einer zweiten und SICHERHEIT in der dritten. Man kann nur zwei der drei erreichen. Soll es also sicher und komfortabel sein machen Dich die Kosten platt. soll es kostengünstig und sicher sein dann werden die Benutzer die Admins in brennendes Öl werfen wegen der Bedienung. Und so weiter

      Die Wahrheit liegt irgendwo dazwischen.

      Zu Deiner Frage:

      Natürlich haben Banken wenig Freude an Publicity die aufzeigt wie (vermeintlich) leicht sich Authetifizierungsmechanismen umgehen oder aushebeln lassen. Schliesslich will man die Verfahren als sicher verkaufen.

      Viel wichtiger ist aber ein andere Aspekt daran. Alle Banken haben Teams die sich genau um soclhe Dinge kümmern - Penetrationstests uns so weiter. Der Schwachpunkt in jedem Verfahren ist aber nur bedingt die Technik. Es ist der MENSCH! Der durchschnittliche Onlinebanking-Benutzer ist nun mal kein Fachmann. Ich lehen mich weit aus dem Fenster und behaupte der grösste Teil der Nutzen kann Phishing-Mails nicht erkennen. Kann eine zwischengeschaltete Seite nicht erkennen. Glaubt dass E-Mails "sicher" sind weil im Absender was von Bank xy steht.

      Alle diese Komponenten machen es den Banken um so schweiriger die Verfahren voll ausschöpfen zu können. Gegen Phishing kann man nämlich schlicht nichts machen ausser immer wieder das Gehirn der Kunden mit der Erkenntnis zu martern, dass sie doch bitte nicht blind auf jeden Link klicken der in einer E-Mail leuchtet.

      Solange sich die Benutzer nicht bewusster sind wie sensibel die Daten sind wird sich auch eine Bank nur bedingt in die Karten schauen lassen.

      Was ich Dir aber versichern kann ist, dass viele Banken mehr machen als man von aussen sieht.
      Smash your head on keyboard to continue...

      Kommentar


      • #4
        AW: Unsicheres Online-Banking...

        Also ich habe von einer Bank in De gehört das die jetzt einen Generator
        eingeführt haben. Es sieht aus wie ein Taschenrechner. Mann muss seine
        Karte in eine Schnittstelle rein schieben und dann den Generator noch an den
        Bildschirm halten. An einer bestimmten stelle natürlich. Dann erhält man eine
        Nummer und diese Nummer muss eingetippt werden.Wenn man etwas Tätigen
        möchte.

        Also ich glaube nicht das diese Art von Sicherheits-Abfrage es dem Phishing
        schwer macht weil der " Täter " bräuchte dann ja noch die Karte und das ist
        wohl kaum über eine E-mail möglich.

        Finde das System gut und denke auch das es was für die Zukunft werden
        könnte. Aber ich Schließe mich auch der Meinung von Technocontrol an.
        Denn der Endnutzer ist das größte Problem.

        Mfg
        MartinPL

        Kommentar


        • #5
          ganz einfach ...

          Offline Banking OHNE Browser!

          Punkt und aus, so geht das. Paymaker, Mammut und Co.

          Nicht immer ganz trivial im technischen Bereich, aber den Hacker möchte ich sehen, der da "ganz einfach" ... Thema "man in the middle" usw.
          Technisch machbar, aber mit einem mehr als enormen Aufwand ;-}

          CU
          Demo

          Kommentar


          • #6
            AW: ganz einfach ...

            Zitat von demo Beitrag anzeigen
            Technisch machbar, aber mit einem mehr als enormen Aufwand ;-}
            Gerade für Unternehmen ein Muss!
            wenn wir täten, was wir sollten, und nicht machten, was wir wollten, so hätten wir auch, was wir haben sollten.

            martin luther

            Kommentar


            • #7
              online E-Banking im Unternehmen ...

              Wenn das heute wer macht, dann "autsch" ;-}

              Möchte selbst privat Mammut (trotz allem Aerger ... grrrrr) auf keinen Fall mehr missen ... geschweige denn im Betrieb.

              CU
              Demo

              Kommentar


              • #8
                AW: Unsicheres Online-Banking...

                Ist doch ganz einfach Mammut zu installieren
                Welche Version habt ihr denn im Geschäft?
                MCSE+S, CompTIA S+, CAS Information Security, MAS Information Security

                Kommentar


                • #9
                  AW: Unsicheres Online-Banking...

                  Ich bin absolut gleicher Meinung, dass die grösste Schwachstelle der Mensch selber ist.

                  ....3 Bekannte von mir waren echt erstaunt darüber und waren zuerst mal einige Sekunden/Minuten baff. Die hätten nicht gedacht, dass dies möglich sei.
                  Das sagt ja schon alles! 90% der Kunden, oder mehr, wissen überhaupt nichts von solchen bestehenden Gefahren. Klar, die meisten machen sich darüber auch keine Gedanken und vertrauen voll und Ganz der Bank. Ist irgendwie erstaunlich und finde es interessant zugleich :-)

                  Ein Bericht darüber in der Zeitung mit benannten Banken würde sicherlich auf grosses Interesse stossen, wenn ich denke...! Soviel ich weiss, wäre das aber nicht ganz legal, oder? Also, sowas zu demonstrieren und an die Öffentlichkeit zu gehen?

                  Kommentar


                  • #10
                    AW: Unsicheres Online-Banking...

                    Nun schon krass. Wenn dich jemand auf der Strasse anhaut für deine Konto-Zugangsdaten guckst ihn blöd an. In eienr mail verschicken tut man diese dann.

                    Erschreckend! Warum sollte die bank meine zugangsdaten brauchen? Schliesslich ist es meine Bank und muss diese ja wissen. Aber so viel überlegen die meisten Menschen gar nciht. Es ist ja alles sicher per E-Mail etc.

                    Das ist halt das Problem das jeder mitmachen kann und eigentlich keine Ahnung hat was alles passieren kann. zum Autofahren muss man auch eine Prüfung ablegen
                    wenn wir täten, was wir sollten, und nicht machten, was wir wollten, so hätten wir auch, was wir haben sollten.

                    martin luther

                    Kommentar


                    • #11
                      AW: Unsicheres Online-Banking...

                      Zitat von MartinPL Beitrag anzeigen
                      Also ich habe von einer Bank in De gehört das die jetzt einen Generator
                      eingeführt haben. Es sieht aus wie ein Taschenrechner. Mann muss seine
                      Karte in eine Schnittstelle rein schieben und dann den Generator noch an den
                      Bildschirm halten. An einer bestimmten stelle natürlich. Dann erhält man eine
                      Nummer und diese Nummer muss eingetippt werden.Wenn man etwas Tätigen
                      möchte.

                      Also ich glaube nicht das diese Art von Sicherheits-Abfrage es dem Phishing
                      schwer macht weil der " Täter " bräuchte dann ja noch die Karte und das ist
                      wohl kaum über eine E-mail möglich.

                      Finde das System gut und denke auch das es was für die Zukunft werden
                      könnte. Aber ich Schließe mich auch der Meinung von Technocontrol an.
                      Denn der Endnutzer ist das größte Problem.

                      Mfg
                      MartinPL

                      Ist zwar schon lange her, doch habe ich wieder das Bedürfnis was dazuzuschreiben :-)
                      @MartinPL: Wenn das so ist, wie's du oben beschrieben hast, dann DOCH - mit Phishing wird es möglich sein.

                      Kenn ihr eigentlich h t t p://w w w.axsionics.ch/ ?

                      Dieses Verfahren ist neu (aus der Schweiz) und hat unter anderem die BEKB und KPT Krankenkasse eingeführt. Die schreiben auf Ihrer Website: "Revolution im Online Banking" oder: "Sicher gegen dazwischengeschalteten Websites" usw...

                      Auch da denke ich, dass dies 1. nicht revolutionär ist, denn 2. ist nichts sicher und 3. kann man auch da Websites dazwischenschalten und mit Phishing-Mails an die Daten kommen.

                      Ich kann irgendwie nicht verstehen, weshalb Banken, Krankenkassen, Post usw. Millionen für solche "Sichere Werkzeuge" investieren und doch nützt alles nichts gegen Phishing - so meine Meinung jedenfalls. Die wollen doch nur hohe Aufmerksamkeit, damit die ihre "Sicheren Werkzeuge" verkaufen können und so grosse Kohle generieren. Solch ein "sicherer" Internet Passwort kostet z.B. 95 CHF! siehe auf h t t p://w w w.theinternetpassport.com - unglaublich!

                      Und ja, bin auch eher der Meinung, dass offline-Tools die bessere Lösung ist!

                      Gruss FilOO

                      Kommentar


                      • #12
                        AW: Unsicheres Online-Banking...

                        ähm... am liebsten sind mir die mit dem iphone app für netbanking.....
                        und über 3g eingeloggt oder public wlan

                        Kommentar


                        • #13
                          geht noch besser ...

                          E-Banking von einem öffentlichen Rechner aus und gleich Logins im Browser noch speichern ;-}

                          Spass bei Seite, man in the middle usw. sind "alte Hüte", DNS "Umbiegungen" usw. auch ... das meiste geht daneben, wenn die Anwender mit Win Systemen und zuvielen Rechten wirken ... tja.

                          Offline Software (kann ja auch auf einer virtualisierten Maschine im Web betrieben werden) stellt vermutlich noch immer DIE am wenigsten gefährdete Lösung dar - plus natürlich GMV (gesunder MenschenVerstand).

                          CU
                          Demo (der in über 20 Jahren E-Banking noch nie irgend ein Sicherheitsproblem hatte ...)

                          Kommentar


                          • #14
                            AW: Unsicheres Online-Banking...

                            Hallo

                            Ich geh mal auf die Frage ein, ob die Banken interesse daran haben. Ja, denke schon, ABER denk mal daran was passieren kann wenn du in eine Bank reinläufst und denen erklärst, du hast ihr Onlinebanking geknackt! Soviel ich weiss darfst du das rechtlich nicht tun, auch wenn du mit dem Hack nicht klaust oder illegal verwendest. Du machst dich schon mit deinem Versuch strafbar. Legal wäre es nur, wenn du von der Bank beauftragt wirst, ihr System auf Schwächen zu untersuchen. Du solltest also sehr vorsichtig sein, wie du vorgehen willst.

                            Gruss
                            "Es ist gelogen, dass Videogames Kids beeinflussen. Hätte Pac-Man das getan, würden
                            wir heute durch dunkle Räume irren, Pillen fressen und elektronische Musik hören"
                            Kristian Wilson, Nintendo Inc. 1989

                            Kommentar


                            • #15
                              AW: Unsicheres Online-Banking...

                              Hi Schubo

                              Das stimmt, alleine der Versuch ist strafbar. Doch, ohne viel auszuprobieren kann erkannt werden, ob es geht oder nicht. An dieser stelle möchte ich kurz betonen, dass ich keine "Hacks" ausprobiert habe oder ähnliches. Trotzdem kann ich aber behaupten, es ist immer(noch) möglich. Mal schauen, ob ich irgendwie einen "Auftrag" von einer Unternehmung kriege ;-)

                              Kommentar

                              Lädt...
                              X