|
ENGLISH VERSION |
|
 |
| Links | | | Forum | | | Kommentare | | | News melden |
|
| Chat | | | Umfragen | | | Newsticker | | | Archiv |
|
| amiga-news.de Forum > Get a Life > Plusminus Sendung über onlinebanking | [ - Suche - Neue Beiträge - Registrieren - Login - ] |
| -1- | [ - Beitrag schreiben - ] |
|
29.11.2005, 23:49 Uhr pixl Posts: 2581 Nutzer |
Ich habe mir heute mal die PlusMinuds Sendung in der ARD angesehen , weil dort ein Bericht über die sicherheit des Online Bankings und insbersondere die Sicherheit der I-Tan berichtet wurde. Hier die Kurzfassung des Beitrages Und was soll ich sagen ich war ziemlich entäuscht. Da wird über einen Computer Experten berichtet der 4000 EUR durch pishing verloren hat ( warum genau er sie eigentlich verloren hat weiss keiner ) und darüber geklagt das die böse böse Bank ihm das Geld nicht wiedergeibt, da sie ihn ja hätte besser schützen können. Da wird das neue I-Tan verfahren durch Informatik Studenten getestet die auf irgendeiner Weise ( wie sie das nun genau machen wird natürlich nicht erklärt ) die Überweisung des Testkunden abgreifen und das Geld umleiten. Da wird der bösen bösen Postbank der schwarze Peter zugeschoben weil diese das neue I-Tan verfahren eingeführt hat was aber laut Experten und den Informatik Studenten gar nicht sicher ist. Mit anderen Worten es wird viel Wind um nix gemacht , es wird Panik verbreitet aber es wird nicht aufgeklärt. Denn was ich vermisst habe ist das dem durch diese Sendung verängstigeten Zuschauer in der Sendung selber nicht einmal im Ansatz erklärt wurde wie er sich durch Pishing Attaken schützen kann, und vor allem wie er festellen kann ob und wann seine Seite umgeleitet worden ist. Es wird nicht erklärt das viele diser Pishing versuche von sogennaten Spy-Bots ausgeführt werden die sich auf ungeschützte Rechner verbreiten und dort Ihre Pishing Attaken durchführen. Es wird nicht erklärt warum es wichtig ist seinen Rechner so dicht wie möglich zu machen und warum man Virenscanner isntallieren sollte , und Sicherheitsupdates bei MS machen sollte. Es wird nicht erklärt woran man Fälschungen erkennen kann, und das gerade Banken niemalds über E-Mail den Kunden auffordern auf irgendeiner Seite Ihre Tan oder Pin Nummer einzugeben und schon beides geleichzeitig. Die etwas spärlichen Tips gibt es auf der Internet seite worauf mal in der Sendung beiläufig hingewiesen wurde. Aber viel neues veraten diese auch nicht , und vor allem erklären diese nicht wie man eine vorgetäuschte Bankseite erkennen kann. Also wenn ich solche Sendungen sehe und vor allem im öffentlich rechtlichen Fernsehen , frage ich mich ehrlich ob die überhaupt noch wissen was seriös ist. -- http://www.pixlmedia.de/ http://www.pixlmedia.de/forum Jetzt neu: Pixlmedia.de das Forum uber Pixeln, Grafik, Animation und mehr mfg Pixl [ - Antworten - Zitieren - Direktlink - ] |
|
30.11.2005, 16:52 Uhr Holger Posts: 8116 Nutzer |
Bei solchen Sendungen geht's immer ein bißchen reißerisch zu. Aber in der Tat, das ist schon über dem Normalen, vielleicht aber auch nur, weil wir mit in der Thematik vertraut sind, vielleicht ist es immer so. Dieser "Computerexperte", der fürs Mitleid ein bißchen auf Depp macht, um dann wieder dafür herzuhalten, daß selbst Profis Opfer werden, also es am System liegen muß...tja der sagt es im Prinzip selbst: "Ich hab das Gefühl, dass die Volksbank meint, dass das System sicher sei. Die haben nicht wahrgenommen, dass bei mir so eine Aktion passiert ist. Sonst habe ich da kein großes Interesse von Seiten der Volksbank gesehen". Jetzt müßte er nur mal seine eigenen Worte analysieren, statt die Bank zu beschuldigen. Das System hat natürlich Schwächen. Aber es ist ja die Wahl der Kunden, die ein PIN/TAN Verfahren statt Smartcard-Lösungen haben wollen. Bzw. überhaupt sich ein billiges Online-Konto ohne Service zulegen wollen, statt eine Bank mit Filiale vor Ort zu wählen, vergleiche auch Tip von PlusMinus: "... nicht jedes Konto onlinefähig machen. Wenn Sie mehrere Konten haben, genügt es oft, das Konto für das Begleichen der täglichen Ausgaben zum Onlinekonto zu machen." Ich machs umgekehrt. Tägliche Bewegungen in der Filiale und nur bei echter Notwendigkeit online, und dann auch ohne andere parallel laufende Internet-Aktivitäten. Die Chance, das mich jemand bei einem Transfer erwischt, ist somit ziemlich gering. (Und ich würde niemals auf angebliche geschäftliche Mails reagieren, wenn der Absender noch nichtmal meinen Namen, geschweige Kundennummer, kennt.) mfg -- Good coders do not comment. What was hard to write should be hard to read too. [ Dieser Beitrag wurde von Holger am 30.11.2005 um 16:52 Uhr editiert. ] [ - Antworten - Zitieren - Direktlink - ] |
|
30.11.2005, 17:46 Uhr Maja Posts: 15429 Nutzer |
Das System ist sicher. Sicher genug. Was nicht sicher ist, sind dessen Nutzer. Wer sich nicht mal die Mühe macht, die Hinweise und Warnungen auf der Webseite der Bank seines Vertrauens auch mal zu lesen, der darf sich hinterher nicht wundern. Ich frage mich nur, wie die Leute auf den Gedanken kommen, eine Bank könnte per E-Mail PIN und TAN überprüfen wollen. Wenn da von Seiten der Bank Anlass zu Argwohn herrst, werden die Nummern kurzerhand gesperrt und man bekommt ein Schreiben von der Bank. Vielleicht sollte man zur Auflage machen, dass Computer nur noch auf der Straße bentutz werden dürfen. Ohne die gemütliche Heim-Atmosphäre werden die Leute vielleicht endlich etwas misstrauischer und kapieren, dass man im Internet alles möglich ist, aber niemals allein und unbeobachtet.  [ Dieser Beitrag wurde von Maja am 30.11.2005 um 17:47 Uhr editiert. ] [ - Antworten - Zitieren - Direktlink - ] |
|
30.11.2005, 22:49 Uhr Wolfman Posts: 3669 Nutzer |
"wegen die Gefahren von das Internetbanking wir brauchen Bestatigung von Ihre Daten. Bitte geben uns 10 TAN". kann man ja schon drauf reinfallen  -- Bild: http://home.arcor.de/the_wolf/Bilder/wolfman.jpg rock down and roll when you're ready I can't take that DJ thing [ - Antworten - Zitieren - Direktlink - ] |
|
01.12.2005, 00:02 Uhr AC-Pseudo Posts: 1256 Nutzer |
Jo, die hatte ich auch. Hab denen aber aus Trotz nur 6 gegeben. Also wenn es irgendwo einen Klaus Doedel gibt, der zufällig die entsprechenden Kontendaten und TANs hat, hat der ein Problem Aber der schickt nun jedem seine Daten, das hat er dann davon [ - Antworten - Zitieren - Direktlink - ] |
|
01.12.2005, 00:08 Uhr pixl Posts: 2581 Nutzer |
@Wolfman: Besonders Lustig wird es dann wenn man ein Schreiben von einer Bank bekommt bei der man gar nicht Kunde ist. Nochmal zu Thema: Ich denke auch das das Thema so sicher wie möglich ist und der Fehler in den meisten Fällen eher beim Benutzer zu suchen ist. Was mich an der Plusminus sendung geärgert hat ist, daß einem suggeriert wird das wenn man eine Überweisung tätigt da jemand sitzt und diese Umleitet. Sicherlich zeigt der Test das das möglich ist aber dieser Test wurde unter sogenanten Laborbedingungen durchgeührt, das heisst als dem Hacker waren der rechner , die Ip Nummer, der Online Zugang bekannt. Ob das unter normalen Umständen so möglich wäre wird verschwiegen. Genauso wird verschwiegen das eine Bank niemals über E-Mail den Kunden auffordert sensible Daten auf einer ebstimmten Webseite einzugeben. Das diese Seiten zwar täuschend echt sind mag unbestritten sein , ich selber habe mal so eine Seite besucht und auch mal Spasseshalber rein fiktive daten eingegeben . Also wirklich sowas wie Hein Blöd Kontonummer : 123456 Pin 1234 Tan 1234 das wurde anstandslods akzeptiert ( hätte mich gewundert wenn es nicht so wäre ) Was mir aber an der Seite auffiel war das das kleine Icon unten rechts ( dieses gelbe Schloss für SSL verschlüsselte Seiten ) einfach fehlte , genauso war das Fesnter für die webadresseneingae strahlend weiss und nicht wie sonst gelb. Diese kleinigkeiten sagen mir klar das ich sensible Daten auf einer unverschlüsselten seite eingebe. Und Banken haben Ihre Kontro seiten immer verschlüsselt. das sind kleinigkeiten die aber sehr nützlich sein können wenn man sie weiss. Was auch verschwiegen wurde ist das zumindest die Postbank keine zeitversetzte Überweisung wie vor einigen Jahren durchführt, das heisst die Beträge iner Überweisung wwerde direkt vom konto abgebucht. . Man also gelich nach der überweisung den kontostand abfragen und nachprüfen ob auch wirklich der Betrag abgebucht wurde den man eingegeben hat. Gibt es differenzen so kann man die 24 Stunden hotline anrufen und das klären lassen. Solche informatonen würden das Bankverhalten des Kunden um einiges sicherer machen. -- http://www.pixlmedia.de/ http://www.pixlmedia.de/forum Jetzt neu: Pixlmedia.de das Forum uber Pixeln, Grafik, Animation und mehr mfg Pixl [ - Antworten - Zitieren - Direktlink - ] |
|
01.12.2005, 00:21 Uhr pixl Posts: 2581 Nutzer |
@AC-Pseudo: lol da war ich also nicht der einzige der da mal Tans weitergegeben hat. -- http://www.pixlmedia.de/ http://www.pixlmedia.de/forum Jetzt neu: Pixlmedia.de das Forum uber Pixeln, Grafik, Animation und mehr mfg Pixl [ - Antworten - Zitieren - Direktlink - ] |
|
01.12.2005, 00:22 Uhr Wolfman Posts: 3669 Nutzer |
Zitat: yupp, so wars bei mir auch (mal wars die Postbank, mal afair die Citibank) Weniger witzig ist, dass es wohl auch schon Fakeseiten gab, die als "sicher" ("Schloss" verriegelt) erschienen und wo nur noch das holprige Deutsch auffällig war. -- Bild: http://home.arcor.de/the_wolf/Bilder/wolfman.jpg rock down and roll when you're ready I can't take that DJ thing [ Dieser Beitrag wurde von Wolfman am 01.12.2005 um 00:26 Uhr editiert. ] [ - Antworten - Zitieren - Direktlink - ] |
|
01.12.2005, 03:21 Uhr pixl Posts: 2581 Nutzer |
@Maja: >>>Wer sich nicht mal die Mühe macht, die Hinweise und Warnungen auf der Webseite der Bank seines Vertrauens auch mal zu lesen, der darf sich hinterher nicht wundern.<<< Tja das ist m.E. das grösste Problem an der ganzen Sache, aber wieso zum Kuckuck weist eine Sendung wie Plusminuns nicht darauf hin das man sich als Bankkunde die Sicherheitshinweise der btreffenden Bank durchzulesen. Die Postbank hat zb. eine socle Seite sicherheitshinwiese der Postbank. >>>ich frage mich nur, wie die Leute auf den Gedanken kommen, eine Bank könnte per E-Mail PIN und TAN überprüfen wollen. Wenn da von Seiten der Bank Anlass zu Argwohn herrst, werden die Nummern kurzerhand gesperrt und man bekommt ein Schreiben von der Bank>>> Dise Frage hast du dir mit deinem ersten Satz ja schon selber beantwortet. Die Leute nutzen Online Banking ohne mal die betreffenden Sicherheitshinweise der Banken durchzulesen. oder Sie lesen keine Comperzeitschriften in der Oktober Ausgabe der Chip war zum Beispiel ein interessanter Artikel über Pishing Mails deren Ursprung und wie man sich schützen kann. Wer solche Artikel überliest ist selber schuld. Was mich aber besonders ärgert ist das sogenannte seriöse Mgazine wie Plusminus es nötig haben reisserische Beiträge zu machen wo man ein armes armes Opfer darstellt der ach wie traurig tausende von Euro verloren hat , und der Täter die böse böse Bank ist , anstatt klar zu informieren hintergünde aufzudecken und die Zuschauer zu sensibilisieren bitte auch mal nachzudenken und die netsprechenden Seiten der Bank durchzulesen. Ich persönlich benutze das Online und Telefonbanking Banking schon seit gearumer Zeit, und dasu aus eineme einfachem Grund Überweisungen und Daueraufträge erfolgen in Echtzeit ich gebe den Autrag an und die Sacher ist erledigt. Überweisungen auf dem noramalen Wege dauern an die drei Tage bis sie überhaupt bearbeitet werden. Ausserdem wird mir der Kontostand in echtzeit angezeigt, und ich spare mir den 15 min. Fussweg zu eminer nächsten Bankfiale nur um festzustellen das mein Geld noch nicht drauf ist. Bisher hatte ich kien Probleme damit. -- http://www.pixlmedia.de/ http://www.pixlmedia.de/forum Jetzt neu: Pixlmedia.de das Forum uber Pixeln, Grafik, Animation und mehr mfg Pixl [ - Antworten - Zitieren - Direktlink - ] |
|
01.12.2005, 13:55 Uhr Holger Posts: 8116 Nutzer |
Zitat:Da bekomme ich täglich dutzende von verschiedenen Banken. Zitat:Das ist ein nur marginaler Fehler, zumindest im Vergleich zu den meist schlechten Sprachkenntnissen. Aber so, wie es auch schon Phisher mit guten Deutschkenntnissen (oder einfach auch deutsche Kriminelle) gibt, so ist es kein Problem, eine verschlüsselte Seite anzubieten. Verschlüsselt heißt nur, daß kein Dritter die Verbindung lesen kann. Wenn aber schon die ersten zwei Du und der Phisher sind, dann ist das nutzlos. Mittels Cross-Site-Sktipting kann auch eine verschlüsselte Verbindung zwischen Dir und der Bank abgehorcht werden, weil die Datenerfassung per Java-Skript auf Deinem eigenen Rechner passiert, noch vor der Verschlüsselung. Die Seiten sehen dann nicht nur täuschend echt aus und sind sprachlich hochwertiger, es _sind_ die echten Seiten, nur mit ein paar zusätzlichen unsichtbaren Skripten. Zitat: Es fehlt vor allem am gesunden Menschenverstand, vermutlich weil man schon innerlich vor der "furchtbar komplizierten Computertechnik" kapituliert hat. Wenn jemand an der Wohnungstür klingeln und sagen würde "ich sein von deutsches bank und musse überprüfen deine Konto. ich brauchen Deine ec-kart und pin-nummer und bin dann gleich in eine halbes Stunde zuruck", dann würde niemand darauf eingehen (oder fast niemand, vielleicht ein alter Rentner, der dann noch sagt, dann nimm doch gleich die zehntausen EUR hier mit, die wollte ich eh einzahlen...) Aber warum klappt das, wenn es per E-Mail passiert? mfg -- Good coders do not comment. What was hard to write should be hard to read too. [ - Antworten - Zitieren - Direktlink - ] |
|
01.12.2005, 14:16 Uhr pixl Posts: 2581 Nutzer |
@Holger: >Mittels Cross-Site-Sktipting kann auch eine verschlüsselte Verbindung zwischen Dir und der Bank abgehorcht werden, weil die Datenerfassung per Java-Skript auf Deinem eigenen Rechner passiert, noch vor der Verschlüsselung. Die Seiten sehen dann nicht nur täuschend echt aus und sind sprachlich hochwertiger, es _sind_ die echten Seiten, nur mit ein paar zusätzlichen unsichtbaren Skripten.<<< Nun technisch gesehen ist alles machbar , keine Frage. Wobei es jetzt interessant wäre unter welchen vorausetzungen jemand dieses verfahren anwenden kann. Mit anderen Worten was muss ich falsch machen damit der hacker oder Pisher mittels Cross-Site-Skipting sich dazwischenschalten kann. -- http://www.pixlmedia.de/ http://www.pixlmedia.de/forum Jetzt neu: Pixlmedia.de das Forum uber Pixeln, Grafik, Animation und mehr mfg Pixl [ - Antworten - Zitieren - Direktlink - ] |
|
01.12.2005, 16:08 Uhr Holger Posts: 8116 Nutzer |
Zitat: Im Wesentlichen muß JavaScript aktiviert sein. Nun sei zum Beispiel auf einer EBay-Seite, EBay erlaubt den Kunden ja so ziemlich alles in den Webseiten, Du liest das Angebot, schon ist das Skript aktiv. Danach wechsle zur Seite Deiner Bank, um dem Anbieter Geld zu überweisen. Das funktoniert entweder, wenn Du einem Link auf der Seite folgst, oder wenn das Skript auf das Verlassen der Webseite reagiert. Im letzteren Fall müßte der Autor allerdings raten, auf welche Seite Du gehen wirst, um den präparierten content zu erstellen. Das ist eher unwahrscheinlich, das Folgen eines Links klappt da schon eher, insbesondere, weil man per JavaScript die Statuszeile manipulieren kann, so daß das Verweisziel korrekt aussieht, und wie schon gesagt, da Du hinterher auch auf der richtigen Seite bis, stimmt auch die Adresszeile. Im Zweifelsfall helfen deaktiviertes JavaScript und keinen Links folgen, sondern Adresse selber eingeben, bzw. aus Bookmarks aufrufen. mfg -- Good coders do not comment. What was hard to write should be hard to read too. Nachtrag: häufiger ist allerdings die Anwendung als html-mails, die den Inhalt der Bank-Seite einbinden. Dann braucht der Anwender keinem Link zu folgen, sondern muß nur noch PIN/TAN eingeben. [ Dieser Beitrag wurde von Holger am 01.12.2005 um 16:10 Uhr editiert. ] [ - Antworten - Zitieren - Direktlink - ] |
|
01.12.2005, 16:57 Uhr Maja Posts: 15429 Nutzer |
@Holger: > Aber warum klappt das, wenn es per E-Mail passiert? Die Frage ist wohl eher, warum klappt das bei dir und mir nicht, bei vielen anderen aber sehr wohl. [ - Antworten - Zitieren - Direktlink - ] |
| -1- | [ - Beitrag schreiben - ] |
| amiga-news.de Forum > Get a Life > Plusminus Sendung über onlinebanking | [ - Suche - Neue Beiträge - Registrieren - Login - ] |
|
|
Impressum |
Datenschutzerklärung |
Netiquette |
Werbung |
Kontakt
Copyright © 1998-2024 by amiga-news.de - alle Rechte vorbehalten. |
|
