Warnung vor Internet-Banking

Captain Picard

Captain Picard

Commander
http://www.berlinonline.de/berliner-zeitung/politik/375820.html
BERLIN, 10. September. Angesichts erfolgreicher Attacken von Kriminellen auf
Geheimzahlen von Online-Konten warnen Sicherheitsexperten und Verbraucherschützer
vor Risiken bei Banktransaktionen über das Internet. "Man muss jetzt über die Sicherheit
beim Online-Banking neu nachdenken", sagte die Vorstandsvorsitzende des Verbraucherzentrale
Bundesverbandes (VZBV), Edda Müller, der Berliner Zeitung.
Zum Vergrößern anklicken....

cp
 
BerlinOnline schrieb:
Hintergrund für die Warnungen ist der Fall eines Dresdner Bank-Kunden, dessen Persönliche Identifikationsnummer (PIN) sowie eine nur einmalig verwendbare Transaktionsnummer (TAN) durch einen Computer-Virus beim Online-Banking geklaut worden sind. Das Virusprogramm, ein so genanntes Trojanisches Pferd, hatte sich im Internet Explorer des Bankkunden festgesetzt, Kennwörter und Sicherheitscodes ausspioniert und sie an einen Internet-Rechner in den USA verschickt. Dort nutzten Kriminelle die Daten, um vom Konto des Bankkunden 6 800 Euro nach Lettland zu überweisen. Nur weil der Bankkunde den Raub schnell bemerkte, konnte die Überweisung noch rechtzeitig rückgängig gemacht werden.
Zum Vergrößern anklicken....
Das kann natürlich nur nach einer folgender Alternativen funktionieren:
  • Die TAN wurde benutzt und hierbei ausspioniert - dann kann sie aber nicht erneut genutzt werden, weil die Kreditinstitute eine bereits erfolgte Verwendung prüfen und eine erneute Verwendung ablehnen.
  • Die TAN sollte für Überweisung X genutzt werden - der Trojaner aber nutzte sie für die eigene Überweisung Y - auch dies wird seitens des Kreditinstituts "gemeldet", da die automatische Bestätigung (zum Ausdrucken), welche Überweisung soeben ausgeführt wurde, ja Lettland angegeben habe musste - so genau sollte mal dann schon hinsehen. Und ggf. reagieren (diese Story ist vorliegend am Plausibelsten).
  • Der Nutzer hatte alle unverbrauchten TAN irgendwo als Liste hinterlegt (manche Banking-Programme erlauben so was): "Selbst schuld". Sogar die Kreditinstitute warnen hiervor. Zu Recht (und übrigens unabhängig vom Trojaner dieses Falls).
BerlinOnline schrieb:
Anders als bei den bislang bekannten so genannten Phishing-Attacken, bei dem Betrüger PINs und TANs mit fingierten Mails und gefälschten Web-Seiten erbeuten, könne "die jetzt bekannt gewordene Sicherheitslücke nicht so ohne weiteres vom Verbraucher erkannt werden", sagte Müller. "Die Banken sollten überlegen, ob es nicht an der Zeit wäre, aufwändigere Sicherheitssysteme als PIN und TAN zu verwenden", forderte Müller.
Zum Vergrößern anklicken....
Die Zeit wurde bereits vor längerem genutzt: HBCI wird (außer bei der irgendwie immer anders agierenden Postbank) angeboten und von den Banken (auch der hier betroffenen Dresdner Bank) empfohlen. Die Technik mit Kartenleser und persönlicher Karte als physikalisch notwendiger Signatur ist "trojanerfest". Herr Müller ist also nicht ganz up to date.
 
KatzenHai schrieb:
Die Zeit wurde bereits vor längerem genutzt: HBCI wird (außer bei der irgendwie immer anders agierenden Postbank) angeboten und von den Banken (auch der hier betroffenen Dresdner Bank) empfohlen. Die Technik mit Kartenleser und persönlicher Karte als physikalisch notwendiger Signatur ist "trojanerfest". Herr Müller ist also nicht ganz up to date.
Zum Vergrößern anklicken....
Man muß aber auch bei HBCI aufpassen:
Ich halte Banking per HBCI unter Verwendung einer Schlüsseldiskette (gibts leider immer noch) für nicht tauglich.
Zudem sollte man mindestens einen Leser der Klasse 2 mit eigener Tastatur (Keypad) einsetzen, damit man nicht über die Computertastatur die PIN eingeben muß.
Ansonsten kann man sich IMHO das HBCI-Banking komplett sparen.
 
http://www.spiegel.de/spiegel/0,1518,316561,00.html
BANKEN
Mit gefälschten Web-Seiten und E-Mails versuchen Banden aus Osteuropa, sich die Zugangsdaten zu Bankkonten zu erschleichen - und diese anschließend zu plündern.
.......
.......
Tatsächlich stammt das PIN/TAN-Verfahren aus der Frühzeit der EDV-Geschichte. Als sicherste Lösung gilt heute der elektronische Personalausweis, die Signaturkarte. Die Informationen werden verschlüsselt an die Bank weitergegeben.

Allerdings brauchte dazu jeder Online-Banking-Nutzer ein Lesegerät. Bislang bieten nur wenige Institute, darunter die Deutsche Bank, die Genossenschaftsinstitute sowie verschiedene Sparkassen, dieses Verfahren an. Die Dresdner Bank nahm es wieder aus dem Angebot, ihre Kunden können kleinere Transfers sogar ohne TAN-Codes tätigen.
Zum Vergrößern anklicken....

cp
 
Komisch.

Auf dem in meinem letzten Posting angebenen Link der Dresdner Bank steht noch einiges zur Chipkarte - und die .pdf-Datei, die dort angegeben ist, sagt u.a.:
Bitte senden Sie mir eine Benutzerkennung mit Chipkarte (10,00 EUR)...
Zum Vergrößern anklicken....

Ansonsten habt ihr natürlich Recht.
 
Zurück
Oben