Betrugsserie beim Online-Banking

[Helios]

Wie die Nachrichten und diverse Medien berichten, fielen unzählige Onlinebanking-Kunden, welche ihre Transfers in den vergangenen Wochen mittels mTAN durchführten und die SIM-Karte von der Telekom besassen, einer Betrugsserie ins Netz.

Kompletter Artikel: Süddeutsche Zeitung - Betrugsserie beim Online-Banking


LG Uwe

 

[hschalt]

Das wundert mich nicht.
Seit vielen Jahren empfehle ich im Bekanntenkreis das HBCI-Verfahren.
Dabei spielt es keine Rolle, daß auch HBCI theoretisch unsicher ist.
Es gibt meines Wissens keinen bekannten Fall, in dem ein nur mit HBCI online geführtes Konto gehackt wurde.
Aber aus unerfindlichen Gründen muß man selbst bei Banken, die HBCI anbieten, regelrecht darum kämpfen.

Erst vor 4 Wochen war ich mit meiner gerade volljährig gewordenen Tochter bei ihrer Bank.
Ein Berater wußte nicht, was HBCI ist.
Die nächste Beraterin dann hat 10 Minuten versucht, uns HBCI auszureden, weil mTAN angeblich genauso sicher sei.

Mir jedenfalls ist es 10 Euro jährlich wert, ein sicheres Gefühl beim Online-Banking zu haben.

 

[Helios]

Verwende ebenfalls ausschliesslich HBCI für das Onlinebanking. Wird kostenlos bei meiner Bank angeboten. Die Kantonalbanken hier in der Schweiz verwenden mTAN.

 

[blafoo]

mTAN ist ein sicheres Verfahren!

Das hat auch nicht die Bank verkackt sondern die Telekom.

 

[vlooe]

Ist doch fast immer so. Entweder ist etwas sicher oder komfortabel/einfach. Mehr von einem bedeutet weniger vom anderen.
Ich verwende mTan mit einem alten Handy. Ist mir sicher genug und ich bin nicht an 1 Rechner fürs banking gebunden.
Und wenn es unregelmäßigkeiten gibt kommen die nicht von meiner Seite.

Für den hier genannten Raub ist auf jedenfall Wissen zu den Telekom internen Abläufen nötig.

 

[Lokheizer]

Was ist HBCI? Ich persönlich verwende ebenfalls das mTAN verfahren.

 

[Aiphaton]

Ich persönlich sehe mich darin bestätigt, dass Onlinebanking im Endeffekt immer unsicher ist - und im Endeffekt nur "Offlinebanking" vor etwaigen Hacks schützt. Natürlich davon ausgenommen - Hacking der Bank direkt, da kann man sich im Endeffekt eh nicht gegen schützen.

 

[Helios]

Was ist HBCI?

HBCI steht für Homebanking Computer Interface.

 

[mectst]

Man sollte in dem Zusammenhang ("aktueller Fall Telekom") aber auch betonen, dass neben dem Telekom-Mobil-Vertrag auch eine Spähsoftware auf den Rechner der betroffenen Kunden im Einsatz ist/war, womit wir irgendwie wieder beim Nutzer sind. Wenn es soweit gekommen ist, dass sich Spähsoftware auf einem Rechner eingenistet hat, ist jedes Online-Banking unsicher, ganz gleich nach welchem Verfahren!!!

Grüße Thomas

 

[hschalt]

Wenn es soweit gekommen ist, dass sich Spähsoftware auf einem Rechner eingenistet hat, ist jedes Online-Banking unsicher, ganz gleich nach welchem Verfahren!!!

Das genau ist der Irrtum.
Mit HBCI bin ich auf der sicheren Seite, auch wenn Spähsoftware auf meinem Rechner ist.
Bei Verwendung eines externen Kartenlesers mit eigener Tastatur gibt es sowieso kein Risiko.
Selbst wenn ich die PIN nicht extern sondern auf meinem Rechner eingebe, kann ein Hacker ohne meine SmartCard mit den gewonnenen Informationen nichts anfangen. Er müßte in meine Wohnung einbrechen und zusätzlich die Karte stehlen.

 

[laptopheaven]

Wenn es soweit gekommen ist, dass sich Spähsoftware auf einem Rechner eingenistet hat, ist jedes Online-Banking unsicher, ganz gleich nach welchem Verfahren!!!

Bei HBCI wäre ich mir da nicht so sicher, dass es selbst mit Spähsoftware unsicher wird.
Was bitte wollen die da herausfinden ? Den Verkehr mit der Bank können die gerne mitschneiden, da dieser verschlüsselt wird.
Die Pin für die Karte wird direkt am Kartenleser eingegeben (Wenn man einen entsprechenden benutzt) und ist somit auch nicht auf dem Rechner lesbar.

Und blafoo hat es ja oben schon erwähnt: das mTAN Verfahren selber war ja auch nicht kompromittiert, sondern wurde durch Social Engineering umgangen und einfach eine zweite andere SIM Karte angefordert mit der dann der eigentliche Missbrauch betrieben wurde.

Nachtrag: Wer ein bisschen zu FinTS HBCI wissen möchte kann gerne hier weiter lesen

 

[cyberjonny]

Das genau ist der Irrtum.
Mit HBCI bin ich auf der sicheren Seite, auch wenn Spähsoftware auf meinem Rechner ist.
Bei Verwendung eines externen Kartenlesers mit eigener Tastatur gibt es sowieso kein Risiko.
Selbst wenn ich die PIN nicht extern sondern auf meinem Rechner eingebe, kann ein Hacker ohne meine SmartCard mit den gewonnenen Informationen nichts anfangen. Er müßte in meine Wohnung einbrechen und zusätzlich die Karte stehlen.

Das würde ich so nicht unbedingt sagen. HBCI (allgemein) und HBCI mit Chipkarte sind z.B. schonmal zwei verschiedene paar Schuhe. HBCI mit Chipkarte (!) gilt aktuell als eine der sichersten Methoden. Dafür sind meines Wissens bisher keine erfolgreichen Angriffe bekannt. Allerdings gibt es sehr wohl theoretische Angriffsszenarien. Erst für HBCI mit Chipkarte und Kartenleser nach Secoder-Standard gelten auch diese theoretischen Angriffsszenarien nicht mehr. Das müssen aber alle Glieder in der Kette unterstützen (viele Banken tun das nicht).

Mit HBCI ist es eher wie mit Linux: HBCI ist vor allem deshalb (noch) so sicher, weil es nicht so verbreitet ist und weil es sehr viel einfacher ist, Angriffe zu fahren, die z.B. auf veralteten OS und Browsern mit Sicherheitslücken etc. basieren. Angriffe auf HBCI lohnen sich da vergleichsweise einfach nicht. Aber wie immer gilt: Wenn es wirklich jemand gezielt auf mich und mein Geld abgesehen hat, dann würde ich mich aus gutem Grund auch nicht mit HBCI sicher fühlen.

Trotzdem auch von mir ein :thumbup: für HBCI. Sicherer geht es im Moment wohl kaum und bestenfalls ist man tatsächlich auch mit Schadsoftware auf dem System noch hinreichend geschützt.

 

[e550]

Wäre eine Prepaid-Kreditkarte nicht das sicherste?

 

[cyberjonny]

Wäre kein Online-Banking nicht das sicherste?
Wäre kein Konto nicht das sicherste?
Wäre kein Geld nicht das sicherste?



Es geht hier ja primär um die Technik beim Online-Banking, insofern trifft deine Frage nicht das Thema. Aber ja, natürlich: Je nachdem, wieviele Einschränkungen und Komfortverlust du bereit bist in Kauf zu nehmen, bleiben dir verschiedene Wege, um die Sicherheitsrisiken klein(er) zu halten.

 

[laptopheaven]

Wäre eine Prepaid-Kreditkarte nicht das sicherste?

Noch sicherer ist ein leeres Konto.....kennen einige bestimmt aus langjähriger persönlicher Erfahrung

 

[gestern]

Mit HBCI bin ich auf der sicheren Seite, auch wenn Spähsoftware auf meinem Rechner ist.

mit einer man in the middle attack schützt dich auch HBCI nicht.

 

[Helios]

Noch sicherer ist ein leeres Konto.....kennen einige bestimmt aus langjähriger persönlicher Erfahrung

Auch nicht. Könnte ja unter Umständen noch etwas einbezahlt werden ...

 

[gerli09]

Noch sicherer ist ein leeres Konto.....

aber nur dann, wenn du den Dispo noch nicht voll ausgeschöpft hast .

Leider ist es so, dass das Verfahren mit Chipkarte und entsprechendem Lesegerät doch relativ umständlich ist, speziell wenn du auf mehreren Geräten arbeitest und es außerdem nicht von allen Geldinstituten unterstützt wird. Etwas mehr Sicherheit bringt auch eine vernünftige Banking-Software, weil dann der Überweisungsvorgang nicht im Browser stattfindet sondern in der Software und am Ende nur die Daten übertragen werden.

 

[gestern]

Noch sicherer ist ein leeres Konto.....kennen einige bestimmt aus langjähriger persönlicher Erfahrung

genau, die muss ich nun alle kündigen wegen dem negativ zinssatzt. *nachdenklich am kopf kraz*

 

[Koile]

mTAN ist ein sicheres Verfahren!

Wenn man nicht ein Android-Phone mit falscher Android-Version nutzt. Gab da mal so eine nette Malware, die selbständig Bankbuchungen tätigen und die benötigten TAN-SMS stumm abgefangen hat, ohne dass der Nutzer etwas davon registrierte. Funktionierte damals praktischerweise nur auf (jedem) Android-Phone und nicht auf iOS, WP oder gesandboxten Android-Umgebungen in bspw. BB oder SailfishOS.

Das hat auch nicht die Bank verkackt sondern die Telekom.

genau das... und zwar ganz massiv.

und im Endeffekt nur "Offlinebanking" vor etwaigen Hacks schützt.

I call bullshit on this one. Da mein - inzwischen leider verstorbener Onkel - ziemlich aktiv in der Hackerszene war, erzählte er, dass Offlinebanking die einfachste Art war, um "Data Harvesting" und absichtliche Fehlbuchungen zu erzeugen:
1.) musst du keine Daten umständlich ausspähen, sie liegen meist in ausreichender Zahl in Form von Kontoauszügen und weggeworfenen, fehlerhaft ausgefüllten Überweisungsträgern u.ä. im Papierkorb der Bank
2.) werden von den dann geskimmten Überweisungsträgern, die offline in der Bank eingereicht werden, seltenst die Personalien und/oder die Unterschrift überprüft. Ich zumindest für meinen Teil kann mich nicht erinnern, jemals bei irgendeiner Bank - außer bei Kontoeröffnung - mal einen Perso rausgeholt zu haben!