Ergebnis 1 bis 20 von 20

Thema: Unsicheres Online-Banking...

  1. #1
    Registriert seit
    03.09.2009
    Beiträge
    38

    Standard Unsicheres Online-Banking...

    Guten Tag zusammen

    Weil sich meine Kollegen nicht oder nur wenig für folgendes interessieren, hoffe ich, dass ich bei euch gut aufgehoben bin.

    Ich nehme an, die meisten von euch kennen diverse Onlinebanking Login-Verfahren und arbeiten auch damit. Auch ich gehöre zu denen, was heute ja fast ein Muss ist.

    In letzter Zeit habe ich mich mit diesen Login-Sicherheitsverfahren diverser Schweizer Banken auseinandergesetzt. Ich habe mir einige Online-Banking Login-Schritte unter die Lupe genommen, wobei meistens mit folgenden Kriterien gearbeitet wird:

    Kundennummer, Passwort. Anschliessend braucht es oft eine TAN Nummer, welche z.b. durch ein "Taschenrechnerli" errechnet wird. Aber auch das Handy wird oft benutzt, mit welchem ich einen jedesmal ändernden PIN zur Eingabe erhalte. Zu den Sicherheitselementen gehören aber auch unter anderem die Persönliche Anrede während dem Einloggen dazu (Name, Vorname, letztes Login, Uhrzeit...) damit sich der Einzuloggende seine eigene Identität damit überprüfen kann. Usw...

    Wie ich auch auf diversen Internetseiten gelesen habe, sind all jene Verfahren theoretisch mit gewissem Aufwand an Arbeit durchaus möglich, "auszuhebeln". Mit aushebeln meine ich z.b., dass es mit einem einfachen Phishing-Mail möglich sein sollte, das Konto auszuspähen. Bekannt sind bisher aber keine solchen Attacken bei den neuen Login-Verfahren, so meine Recherchen.

    Einige erinnern sich vielleicht noch an die rieseigen Phishing-Attacken, bei welchen die PostFinance betroffen war. Das war so ca. 2-3 Jahre her (oder sogar länger??). Jedenfalls hatte die PostFinance aus diesem Grund das ganze Login-Verfahren auf den Kopf gestellt und neu unter anderem das Lesegerät + Karte (Taschenrechnerli) eingeführt.

    Nun ja, jetzt zu meinem eigentlichem Anliegen, nach dieser langen Einleitung...

    Wie gross wäre das Interesse der jeweiligen Banken, aufzuzeigen, wie dies mit einem einfachen Phishing-Mail "auszuhebeln" wäre?

    Ich weiss nicht, sind sich die Banken darüber bewusst (ich gehe schwer davon aus), dass dies mit relativ wenig Programmierkenntnis/Zeitaufwand durchaus möglich ist, und zwar nicht nur in der Theorie?

    Wenn ja, warum hat z.B. die Post viel Geld in die Finger genommen, um gegen die Phishing-Attacken vorzugehen, obwohl es immer noch nicht sicher dagegen ist? Sollten etwa so die Onlinebanking-Kunden überzeugt werden, dass es jetzt sicher sein sollte?

    Oder wenn nein, sollte man solche Möglichkeiten den betroffenen Banken irgendwie aufzeigen? Sich dort melden?

    Was meint ihr zu dieser "Geschichte"?

    Gruss FilOO
    Geändert von FilOO (21.06.2010 um 09:33 Uhr)

  2. #2
    Registriert seit
    06.06.2004
    Beiträge
    1.278

    Standard AW: Unsicheres Online-Banking...

    Das Problem liegt eigentlich nicht an der Unsicherheit der Bankenlösung sondern am Enduser der nicht aufpasst.

    Lösung: Offline Tool mit gehärtetem Browser.
    MCSE+S, CompTIA S+, CAS Information Security, MAS Information Security

  3. #3
    Registriert seit
    13.10.2003
    Ort
    Hedingen
    Alter
    41
    Beiträge
    3.247

    Standard AW: Unsicheres Online-Banking...

    Zu dem ganzen zuerst einen grundsätzlichen Gedanken:

    Das absolut sicherer Verfahren gibt es nicht! Punkt. Jede Technologie und sei sie noch so abgedreht und perfekt etc kann ausgehebelt werden. Wenn nicht heute dann vielleicht in ein paar Monaten oder Jahren.

    In der BWL gibt es das schöne Dreickeck. KOSTEN in einer Ecke, KOMFORT in einer zweiten und SICHERHEIT in der dritten. Man kann nur zwei der drei erreichen. Soll es also sicher und komfortabel sein machen Dich die Kosten platt. soll es kostengünstig und sicher sein dann werden die Benutzer die Admins in brennendes Öl werfen wegen der Bedienung. Und so weiter

    Die Wahrheit liegt irgendwo dazwischen.

    Zu Deiner Frage:

    Natürlich haben Banken wenig Freude an Publicity die aufzeigt wie (vermeintlich) leicht sich Authetifizierungsmechanismen umgehen oder aushebeln lassen. Schliesslich will man die Verfahren als sicher verkaufen.

    Viel wichtiger ist aber ein andere Aspekt daran. Alle Banken haben Teams die sich genau um soclhe Dinge kümmern - Penetrationstests uns so weiter. Der Schwachpunkt in jedem Verfahren ist aber nur bedingt die Technik. Es ist der MENSCH! Der durchschnittliche Onlinebanking-Benutzer ist nun mal kein Fachmann. Ich lehen mich weit aus dem Fenster und behaupte der grösste Teil der Nutzen kann Phishing-Mails nicht erkennen. Kann eine zwischengeschaltete Seite nicht erkennen. Glaubt dass E-Mails "sicher" sind weil im Absender was von Bank xy steht.

    Alle diese Komponenten machen es den Banken um so schweiriger die Verfahren voll ausschöpfen zu können. Gegen Phishing kann man nämlich schlicht nichts machen ausser immer wieder das Gehirn der Kunden mit der Erkenntnis zu martern, dass sie doch bitte nicht blind auf jeden Link klicken der in einer E-Mail leuchtet.

    Solange sich die Benutzer nicht bewusster sind wie sensibel die Daten sind wird sich auch eine Bank nur bedingt in die Karten schauen lassen.

    Was ich Dir aber versichern kann ist, dass viele Banken mehr machen als man von aussen sieht.
    Smash your head on keyboard to continue...

  4. #4
    Registriert seit
    22.01.2006
    Ort
    GE
    Alter
    28
    Beiträge
    34

    Standard AW: Unsicheres Online-Banking...

    Also ich habe von einer Bank in De gehört das die jetzt einen Generator
    eingeführt haben. Es sieht aus wie ein Taschenrechner. Mann muss seine
    Karte in eine Schnittstelle rein schieben und dann den Generator noch an den
    Bildschirm halten. An einer bestimmten stelle natürlich. Dann erhält man eine
    Nummer und diese Nummer muss eingetippt werden.Wenn man etwas Tätigen
    möchte.

    Also ich glaube nicht das diese Art von Sicherheits-Abfrage es dem Phishing
    schwer macht weil der " Täter " bräuchte dann ja noch die Karte und das ist
    wohl kaum über eine E-mail möglich.

    Finde das System gut und denke auch das es was für die Zukunft werden
    könnte. Aber ich Schließe mich auch der Meinung von Technocontrol an.
    Denn der Endnutzer ist das größte Problem.

    Mfg
    MartinPL

  5. #5
    Registriert seit
    28.07.2009
    Ort
    Thun
    Beiträge
    279

    Standard ganz einfach ...

    Offline Banking OHNE Browser!

    Punkt und aus, so geht das. Paymaker, Mammut und Co.

    Nicht immer ganz trivial im technischen Bereich, aber den Hacker möchte ich sehen, der da "ganz einfach" ... Thema "man in the middle" usw.
    Technisch machbar, aber mit einem mehr als enormen Aufwand ;-}

    CU
    Demo

  6. #6
    Registriert seit
    07.06.2005
    Ort
    Zofingen
    Alter
    38
    Beiträge
    806

    Standard AW: ganz einfach ...

    Zitat Zitat von demo Beitrag anzeigen
    Technisch machbar, aber mit einem mehr als enormen Aufwand ;-}
    Gerade für Unternehmen ein Muss!
    wenn wir täten, was wir sollten, und nicht machten, was wir wollten, so hätten wir auch, was wir haben sollten.

    martin luther

  7. #7
    Registriert seit
    28.07.2009
    Ort
    Thun
    Beiträge
    279

    Lächeln online E-Banking im Unternehmen ...

    Wenn das heute wer macht, dann "autsch" ;-}

    Möchte selbst privat Mammut (trotz allem Aerger ... grrrrr) auf keinen Fall mehr missen ... geschweige denn im Betrieb.

    CU
    Demo

  8. #8
    Registriert seit
    06.06.2004
    Beiträge
    1.278

    Standard AW: Unsicheres Online-Banking...

    Ist doch ganz einfach Mammut zu installieren
    Welche Version habt ihr denn im Geschäft?
    MCSE+S, CompTIA S+, CAS Information Security, MAS Information Security

  9. #9
    Registriert seit
    03.09.2009
    Beiträge
    38

    Standard AW: Unsicheres Online-Banking...

    Ich bin absolut gleicher Meinung, dass die grösste Schwachstelle der Mensch selber ist.

    ....3 Bekannte von mir waren echt erstaunt darüber und waren zuerst mal einige Sekunden/Minuten baff. Die hätten nicht gedacht, dass dies möglich sei.
    Das sagt ja schon alles! 90% der Kunden, oder mehr, wissen überhaupt nichts von solchen bestehenden Gefahren. Klar, die meisten machen sich darüber auch keine Gedanken und vertrauen voll und Ganz der Bank. Ist irgendwie erstaunlich und finde es interessant zugleich :-)

    Ein Bericht darüber in der Zeitung mit benannten Banken würde sicherlich auf grosses Interesse stossen, wenn ich denke...! Soviel ich weiss, wäre das aber nicht ganz legal, oder? Also, sowas zu demonstrieren und an die Öffentlichkeit zu gehen?

  10. #10
    Registriert seit
    07.06.2005
    Ort
    Zofingen
    Alter
    38
    Beiträge
    806

    Standard AW: Unsicheres Online-Banking...

    Nun schon krass. Wenn dich jemand auf der Strasse anhaut für deine Konto-Zugangsdaten guckst ihn blöd an. In eienr mail verschicken tut man diese dann.

    Erschreckend! Warum sollte die bank meine zugangsdaten brauchen? Schliesslich ist es meine Bank und muss diese ja wissen. Aber so viel überlegen die meisten Menschen gar nciht. Es ist ja alles sicher per E-Mail etc.

    Das ist halt das Problem das jeder mitmachen kann und eigentlich keine Ahnung hat was alles passieren kann. zum Autofahren muss man auch eine Prüfung ablegen
    wenn wir täten, was wir sollten, und nicht machten, was wir wollten, so hätten wir auch, was wir haben sollten.

    martin luther

  11. #11
    Registriert seit
    03.09.2009
    Beiträge
    38

    Standard AW: Unsicheres Online-Banking...

    Zitat Zitat von MartinPL Beitrag anzeigen
    Also ich habe von einer Bank in De gehört das die jetzt einen Generator
    eingeführt haben. Es sieht aus wie ein Taschenrechner. Mann muss seine
    Karte in eine Schnittstelle rein schieben und dann den Generator noch an den
    Bildschirm halten. An einer bestimmten stelle natürlich. Dann erhält man eine
    Nummer und diese Nummer muss eingetippt werden.Wenn man etwas Tätigen
    möchte.

    Also ich glaube nicht das diese Art von Sicherheits-Abfrage es dem Phishing
    schwer macht weil der " Täter " bräuchte dann ja noch die Karte und das ist
    wohl kaum über eine E-mail möglich.

    Finde das System gut und denke auch das es was für die Zukunft werden
    könnte. Aber ich Schließe mich auch der Meinung von Technocontrol an.
    Denn der Endnutzer ist das größte Problem.

    Mfg
    MartinPL

    Ist zwar schon lange her, doch habe ich wieder das Bedürfnis was dazuzuschreiben :-)
    @MartinPL: Wenn das so ist, wie's du oben beschrieben hast, dann DOCH - mit Phishing wird es möglich sein.

    Kenn ihr eigentlich h t t p://w w w.axsionics.ch/ ?

    Dieses Verfahren ist neu (aus der Schweiz) und hat unter anderem die BEKB und KPT Krankenkasse eingeführt. Die schreiben auf Ihrer Website: "Revolution im Online Banking" oder: "Sicher gegen dazwischengeschalteten Websites" usw...

    Auch da denke ich, dass dies 1. nicht revolutionär ist, denn 2. ist nichts sicher und 3. kann man auch da Websites dazwischenschalten und mit Phishing-Mails an die Daten kommen.

    Ich kann irgendwie nicht verstehen, weshalb Banken, Krankenkassen, Post usw. Millionen für solche "Sichere Werkzeuge" investieren und doch nützt alles nichts gegen Phishing - so meine Meinung jedenfalls. Die wollen doch nur hohe Aufmerksamkeit, damit die ihre "Sicheren Werkzeuge" verkaufen können und so grosse Kohle generieren. Solch ein "sicherer" Internet Passwort kostet z.B. 95 CHF! siehe auf h t t p://w w w.theinternetpassport.com - unglaublich!

    Und ja, bin auch eher der Meinung, dass offline-Tools die bessere Lösung ist!

    Gruss FilOO

  12. #12
    Avatar von Bathynoma
    Bathynoma ist offline Fortgeschrittener Benutzer
    Registriert seit
    07.07.2008
    Ort
    Zürich
    Beiträge
    94

    Standard AW: Unsicheres Online-Banking...

    ähm... am liebsten sind mir die mit dem iphone app für netbanking.....
    und über 3g eingeloggt oder public wlan

  13. #13
    Registriert seit
    28.07.2009
    Ort
    Thun
    Beiträge
    279

    Cool geht noch besser ...

    E-Banking von einem öffentlichen Rechner aus und gleich Logins im Browser noch speichern ;-}

    Spass bei Seite, man in the middle usw. sind "alte Hüte", DNS "Umbiegungen" usw. auch ... das meiste geht daneben, wenn die Anwender mit Win Systemen und zuvielen Rechten wirken ... tja.

    Offline Software (kann ja auch auf einer virtualisierten Maschine im Web betrieben werden) stellt vermutlich noch immer DIE am wenigsten gefährdete Lösung dar - plus natürlich GMV (gesunder MenschenVerstand).

    CU
    Demo (der in über 20 Jahren E-Banking noch nie irgend ein Sicherheitsproblem hatte ...)

  14. #14
    Registriert seit
    09.03.2004
    Ort
    Raum Zürich
    Alter
    43
    Beiträge
    5.907

    Standard AW: Unsicheres Online-Banking...

    Hallo

    Ich geh mal auf die Frage ein, ob die Banken interesse daran haben. Ja, denke schon, ABER denk mal daran was passieren kann wenn du in eine Bank reinläufst und denen erklärst, du hast ihr Onlinebanking geknackt! Soviel ich weiss darfst du das rechtlich nicht tun, auch wenn du mit dem Hack nicht klaust oder illegal verwendest. Du machst dich schon mit deinem Versuch strafbar. Legal wäre es nur, wenn du von der Bank beauftragt wirst, ihr System auf Schwächen zu untersuchen. Du solltest also sehr vorsichtig sein, wie du vorgehen willst.

    Gruss
    "Es ist gelogen, dass Videogames Kids beeinflussen. Hätte Pac-Man das getan, würden
    wir heute durch dunkle Räume irren, Pillen fressen und elektronische Musik hören"
    Kristian Wilson, Nintendo Inc. 1989

  15. #15
    Registriert seit
    03.09.2009
    Beiträge
    38

    Standard AW: Unsicheres Online-Banking...

    Hi Schubo

    Das stimmt, alleine der Versuch ist strafbar. Doch, ohne viel auszuprobieren kann erkannt werden, ob es geht oder nicht. An dieser stelle möchte ich kurz betonen, dass ich keine "Hacks" ausprobiert habe oder ähnliches. Trotzdem kann ich aber behaupten, es ist immer(noch) möglich. Mal schauen, ob ich irgendwie einen "Auftrag" von einer Unternehmung kriege ;-)

  16. #16
    Sokrates_82 ist offline Fortgeschrittener Benutzer
    Registriert seit
    14.08.2008
    Ort
    Bern
    Alter
    36
    Beiträge
    125

    Standard AW: Unsicheres Online-Banking...

    FiLOO: Mach dich doch mal an 3DSecure ran. Das wäre was für dich.

    Nicht so ein kleiner Fisch wie eine mickrige schweizerische Bank.

  17. #17
    Registriert seit
    09.03.2011
    Beiträge
    4

    Standard AW: Unsicheres Online-Banking...

    Zitat Zitat von kazeerulaz Beitrag anzeigen
    Das Problem liegt eigentlich nicht an der Unsicherheit der Bankenlösung sondern am Enduser der nicht aufpasst.

    Lösung: Offline Tool mit gehärtetem Browser.
    Kann ich nur empfehlen, dass das jeder nutzt.

  18. #18
    Registriert seit
    03.09.2009
    Beiträge
    38

    Standard AW: Unsicheres Online-Banking...

    Hallo Sokrates_82

    ...ist ja bereits auch schon einige Monate her ;-)

    Bei 3DSecure gibt es meistens ja nur ein zusätzliches Passwort, welches in einem Popup-Fenster eingegeben werden muss. So könnte ich dieses zusätzliche Passwort genau gleich auslesen wie die Kreditkarten.Nr. (Phishing oder Trojaner).

    Oder hast du gerade ein Beispiel, um das mal genauer anzuschauen? Welche Bank/Kreditkarte, welcher Online-Shop?

    Gruss
    FilOO

  19. #19
    Sokrates_82 ist offline Fortgeschrittener Benutzer
    Registriert seit
    14.08.2008
    Ort
    Bern
    Alter
    36
    Beiträge
    125

    Standard AW: Unsicheres Online-Banking...

    3DSecure wird im Onlineshop von digitec online shop verwendet. Es erscheint ein Pop-Up Fenster, wenn die Karte zwecks Zahlung benutzt wird.

    Kreditkarten Visa und MasterCard, verwendet wird es vom "Kartenprovider" SwissCard.

    Eine besondere Schwachstelle dürfte das erste Setzen des Passworts sein!

    Je früher dieser kundenfeindliche Mist vom Markt verschwindet, um so besser.
    Geändert von Sokrates_82 (20.06.2011 um 15:13 Uhr)

  20. #20
    Registriert seit
    03.09.2009
    Beiträge
    38

    Standard AW: Unsicheres Online-Banking...

    Wie gesagt, gegen Trojaner (Key-Logger) kann 3DSecure nichts ausrichten. Hierbei müsste das Opfer lediglich den Trojaner auf seiner Kiste haben und mind. 1 mal eine Zahlung tätigen, et voilà, das zusätzliche Passwort ist raus...

    Da bietet die neue zusätzliche Sicherheitsmitteilung auch nicht viel, ausser, dass sich der Kreditkarteninhaber ein zusätzliches Passwort merken muss...!

    Aus diesem Grund finde ich folgendes sehr schlimm:

    Es wird ja schon längere Zeit bemängelt, dass durch 3DSecure das Risiko NEU der Karteninhaber tragen muss. Heisst, der Karteninhaber haftet selber, wenn Missbrauch durch Dritte begannen wurde. Ausser, er kann es natürlich beweisen. Doch dies ist fast unmöglich!

Ähnliche Themen

  1. Information: Neuer Sponsor unter Onlineshops: eat.ch. Essen direkt online bestellen
    Von rene im Forum iB News und Feedback
    Antworten: 7
    Letzter Beitrag: 16.03.2010, 11:08
  2. Frage: Dynamics CRM vs. Dynamics CRM online
    Von matthias im Forum Software: Windows, Apple, Linux...
    Antworten: 0
    Letzter Beitrag: 05.01.2010, 16:28
  3. Frage: Online Backup
    Von zer00 im Forum Software: Windows, Apple, Linux...
    Antworten: 2
    Letzter Beitrag: 07.08.2009, 16:20
  4. Frage: Online Buchhandlung mit PayPal
    Von GENiALi im Forum Off Topic
    Antworten: 4
    Letzter Beitrag: 01.10.2008, 13:10

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •