Weil sich meine Kollegen nicht oder nur wenig für folgendes interessieren, hoffe ich, dass ich bei euch gut aufgehoben bin.
Ich nehme an, die meisten von euch kennen diverse Onlinebanking Login-Verfahren und arbeiten auch damit. Auch ich gehöre zu denen, was heute ja fast ein Muss ist.
In letzter Zeit habe ich mich mit diesen Login-Sicherheitsverfahren diverser Schweizer Banken auseinandergesetzt. Ich habe mir einige Online-Banking Login-Schritte unter die Lupe genommen, wobei meistens mit folgenden Kriterien gearbeitet wird:
Kundennummer, Passwort. Anschliessend braucht es oft eine TAN Nummer, welche z.b. durch ein "Taschenrechnerli" errechnet wird. Aber auch das Handy wird oft benutzt, mit welchem ich einen jedesmal ändernden PIN zur Eingabe erhalte. Zu den Sicherheitselementen gehören aber auch unter anderem die Persönliche Anrede während dem Einloggen dazu (Name, Vorname, letztes Login, Uhrzeit...) damit sich der Einzuloggende seine eigene Identität damit überprüfen kann. Usw...
Wie ich auch auf diversen Internetseiten gelesen habe, sind all jene Verfahren theoretisch mit gewissem Aufwand an Arbeit durchaus möglich, "auszuhebeln". Mit aushebeln meine ich z.b., dass es mit einem einfachen Phishing-Mail möglich sein sollte, das Konto auszuspähen. Bekannt sind bisher aber keine solchen Attacken bei den neuen Login-Verfahren, so meine Recherchen.
Einige erinnern sich vielleicht noch an die rieseigen Phishing-Attacken, bei welchen die PostFinance betroffen war. Das war so ca. 2-3 Jahre her (oder sogar länger??). Jedenfalls hatte die PostFinance aus diesem Grund das ganze Login-Verfahren auf den Kopf gestellt und neu unter anderem das Lesegerät + Karte (Taschenrechnerli) eingeführt.
Nun ja, jetzt zu meinem eigentlichem Anliegen, nach dieser langen Einleitung...
Wie gross wäre das Interesse der jeweiligen Banken, aufzuzeigen, wie dies mit einem einfachen Phishing-Mail "auszuhebeln" wäre?
Ich weiss nicht, sind sich die Banken darüber bewusst (ich gehe schwer davon aus), dass dies mit relativ wenig Programmierkenntnis/Zeitaufwand durchaus möglich ist, und zwar nicht nur in der Theorie?
Wenn ja, warum hat z.B. die Post viel Geld in die Finger genommen, um gegen die Phishing-Attacken vorzugehen, obwohl es immer noch nicht sicher dagegen ist? Sollten etwa so die Onlinebanking-Kunden überzeugt werden, dass es jetzt sicher sein sollte?
Oder wenn nein, sollte man solche Möglichkeiten den betroffenen Banken irgendwie aufzeigen? Sich dort melden?
Was meint ihr zu dieser "Geschichte"?
Gruss FilOO
Kommentar