Wie sicher ist Online-Banking?

cujo

Bloody Newbie

Registered: Dec 2013
Location: Wien
Posts: 23

09.02.2014 - 21:10

Ich glaub, wenn das Geld bereits am anderen Konto gutgeschrieben ist, geht eine Stornierung nur mit Zustimmung beider Seiten, was in so einem Fall schwer möglich sein dürfte

walters

Little Overclocker

Registered: Feb 2011
Location: Wien
Posts: 53

09.02.2014 - 23:14

Ich glaub, das geht nur kurz nach der überweisung aber soweit sollte es gar nicht kommen.

TOM

Elder
Oldschool OC.at'ler

Registered: Nov 2000
Location: Vienna
Posts: 7422

10.02.2014 - 08:39

Nope, nicht seitens Dieben... seitens Bank

Die Bank will ja, dass Ihr Online-Banking einen sicheren Anschein versprüht... da kommen solche Situationen ganz schlecht. Von dem her ist mir eine sehr hohe Kulanz bekannt, solange man sich nicht grob fahrlässig aufführt...

Habe allerdings niemanden im Verwandten/Bekannten-Kreis, dem sowas je passiert ist... deswegen würde es mich interessieren, was da rauskam (im direkten Zusammenhang und nicht vom Hören-Sagen)

COLOSSUS

Administrator
GNUltra

Registered: Dec 2000
Location: ~
Posts: 12125

10.02.2014 - 09:37

Zitat von TOM
Nope, nicht seitens Dieben... seitens Bank

Das sind Synonyme.

daisho

Vereinsmitglied
SHODAN

Registered: Nov 2002
Location: 4C4
Posts: 19784

10.02.2014 - 13:42

Zitat von GrandAdmiralThrawn
Ich hatte auf der Arbeit Mal einen Fall einer Mitarbeiterin mit kompromittiertem Notebook und eben solchem Android Handy. Das Handy war SICHER nicht rooted. Die Login Daten (so vermute ich) am Rechner abgegriffen, die Page am Handy faked, MobileTAN intercepted, und 10k€ weg. Die war ein BISSL fertig, weil das Konto war LEER!

Grade eben hat z.B. die Bank Austria ein 1.500€ Limit für MobileTAN-signierte Überweisungen eingeführt. Sicher NICHT umsonst.

Das System ist bei weitem nicht so sicher, wie einem vorgegaukelt wird. Da bleibe ich lieber bei meinen iTANs, denn an die kommst nur, wennst meinen Rechner komplett den ***** aufreißt, oder in meine Wohnung einbrichst..

Sorry, aber was hat das jetzt mit Mobile-TAN zu tun? Das kann dir genauso mit den normalen Papier-TANs passieren (Phishing-Seite) :confused:

/Edit:
btw, im Fall von mobile-TAN müsste der Angreifer gleich zwei unabhängige Geräte kompromittieren und nicht nur eines.
In deinem Fall reicht es wenn man deinem Rechner "den Ar... aufreißt" - klar passiert einem erfahrenen User sowas halt nicht (kaum), aber um die gehts ja gar nicht ...

Bearbeitet von daisho am 10.02.2014, 13:45

walters

Little Overclocker

Registered: Feb 2011
Location: Wien
Posts: 53

10.02.2014 - 20:47

Zitat von GrandAdmiralThrawn
Die Login Daten (so vermute ich) am Rechner abgegriffen, die Page am Handy faked, MobileTAN intercepted

Wenn sie sms und login daten abgehört haben, dann waren sie keine Anfänger.

Das würde man doch merken wenn die Website am Handy fake ist, meint ihr nicht? (andere Domain-Adresse)

spunz

Elder
Elder

Registered: Aug 2000
Location: achse des bösen
Posts: 11287

10.02.2014 - 21:32

Zitat von daisho
btw, im Fall von mobile-TAN müsste der Angreifer gleich zwei unabhängige Geräte kompromittieren und nicht nur eines.
In deinem Fall reicht es wenn man deinem Rechner "den Ar... aufreißt" - klar passiert einem erfahrenen User sowas halt nicht (kaum), aber um die gehts ja gar nicht ...

Nachdem mobile Banking App´s immer verbreiteter sind, wird es in Zukunft wohl auch entsprechende Angriffe geben. Neben den Zugangsdaten aus der mobile Banking App, kriegt man dann gleich noch die mTAN am selben Gerät.

mr.nice.

differential image maker

Registered: Jun 2004
Location: Wien
Posts: 6550

10.02.2014 - 21:48

Man kann sich verschiedene Schwachstellen zu Nutze machen, eine Möglichkeit ist z.B. dass die Geräte normalerweise die schnellste verfügbare IP-Verbindung verwenden wollen. Mit einem als Proxy-Server fungierenden Rogue Access Point einer bereits gespeicherten Verbindung, kann man versuchen eine sogenannte man in the middle Attacke gegen die Verschlüsselung anzuwenden. Die Installation eines einzigen Zertifikats ist dabei oft ausreichend.

Onlinebanking mache ich kabellos eher gar nicht.

XXL

insomnia

Registered: Feb 2001
Location: /dev/null
Posts: 15703

10.02.2014 - 23:43

Zitat von spunz
Nachdem mobile Banking App´s immer verbreiteter sind, wird es in Zukunft wohl auch entsprechende Angriffe geben. Neben den Zugangsdaten aus der mobile Banking App, kriegt man dann gleich noch die mTAN am selben Gerät.

dazu müssen die leute erst mal die app von wo anders installieren ausser den offiziellen stores, weder auf iphone noch auf android ist das eine ootb funktion ...

ausserdem verbindet sich kein handy von alleine mit irgendeinem offenen wlan, das muss der user machen, womit wir wieder bei der grössten schwachstelle sind, den leuten vor den bildschirmen ...

sry aber wenn leute da draussen glauben sie haben einen reichen erbgrossonkel in afrika aber der anwalt braucht 5000€ um das abzuwickeln und sie zahlen das dann gibts auch leute die auf phshing mails reinfallen und dort ihre daten eingeben, kein mensch braucht sich was technisch ausgeklügeltes ausdenken um irgendwen zu berauben wenn man sich drauf verlassen kann dass es leute gibt die "dumm" sind ....

ich habs alleine letztens wieder mitbekommen wie bei uns einige ihre vodafone rechnung bekommen haben uns aufgemacht haben, wobei es in österreich nicht mal vodafone gibt ....

walters

Little Overclocker

Registered: Feb 2011
Location: Wien
Posts: 53

11.02.2014 - 20:04

Man könnte ein handy ohne internetverbindung benutzen um die mTan zu empfangen und die Limits für MobileTAN-signierte Überweisungen nutzen. Am normalen bankkonto sollte man sowieso nicht so viel geld haben.

spunz

Elder
Elder

Registered: Aug 2000
Location: achse des bösen
Posts: 11287

11.02.2014 - 20:42

Zitat von XXL
dazu müssen die leute erst mal die app von wo anders installieren ausser den offiziellen stores, weder auf iphone noch auf android ist das eine ootb funktion ...

Welche Android Geräte außer der Nexus Serie, werden über 1-4 Jahre mit Sicherheitsupdates versorgt? Da tun sich ganz neue Märkte auf...

XXL

insomnia

Registered: Feb 2001
Location: /dev/null
Posts: 15703

11.02.2014 - 22:15

ja aber welche massiven sicherheitslücken gabs bei android? wenns wirklich so leicht wäre android zu übernehmen dann wär das mehr publik, genauso wie wenn leute die online banking tonnenweise gehackt werden ....

ihr machts euch sorgen wegen szenarien die so unwahrscheinlich sind dass wahrscheinlich nicht mal verbrecher drüber nachdenken würden ....

das szenario ist wahrscheinlich wenn die leute es auf eine person abgesehen haben, die breite masse hast viel schneller mit phising weils genug dumme leute gibt, kein mensch wird eine einzelne person so auspionieren wenn er sich nicht sicher ist dass da geld dahinter steht ....

Hansmaulwurf

u wot m8?

Registered: Apr 2005
Location: VBG
Posts: 5639

11.02.2014 - 22:22

Zitat von walters
Das würde man doch merken wenn die Website am Handy fake ist, meint ihr nicht? (andere Domain-Adresse)

Ich würde mich nicht auf die Domain verlassen. Wenn du Schadcode am Handy hast, kann sowas vielleicht geändert werden. Das phishing-Problem wenn du wirklich ungute Software draufhast ist aber am PC genauso gegeben. Aber das Risiko musst sowieso hinnehmen, deswegen gibts ja den zweiten Faktor. Da wär ein Handy ohne Internet zumindest fast unmöglich anzugreifen.

Das allerwichtigste imho:
Getrennte Geräte, und der Betrag bei der mTAN. Wenn der Betrag nicht stimmt, würde ich es niemals wegschicken. (ergo nicht 10k überweisen wenn ich meine amazon Rechnung zahl)

walters

Little Overclocker

Registered: Feb 2011
Location: Wien
Posts: 53

12.02.2014 - 21:25

Aha
Hätte nicht gedacht, dass die Domain-Adresse geändert werden kann. Dafür hat man doch ein Antivirus

Getrennte Geräte find ich auch am sichersten.

cujo

Bloody Newbie

Registered: Dec 2013
Location: Wien
Posts: 23

17.02.2014 - 02:54

Zitat von XXL
Zitat von StrangeStranger
Ja denkst du nicht das der Xeon eben limitieren würde?

Edit: Verlesen, hab 1230 gelesen

Edit vom Edit: Und meine Augen bluten, aber stimmt der 1240 schneidet gar nicht so schlecht ab, komisch warum ich über den heute nicht gestolpert bin :/

Irgendwann sind wir alle wegen Beihilfe dran, weil wir irgendwen auf blöde Ideen bringen hier

cujo Bloody Newbie Registered: Dec 2013 Location: Wien Posts: 23	09.02.2014 - 21:10 Ich glaub, wenn das Geld bereits am anderen Konto gutgeschrieben ist, geht eine Stornierung nur mit Zustimmung beider Seiten, was in so einem Fall schwer möglich sein dürfte
walters Little Overclocker Registered: Feb 2011 Location: Wien Posts: 53	09.02.2014 - 23:14 Ich glaub, das geht nur kurz nach der überweisung aber soweit sollte es gar nicht kommen.
TOM Elder Oldschool OC.at'ler Registered: Nov 2000 Location: Vienna Posts: 7422	10.02.2014 - 08:39 Nope, nicht seitens Dieben... seitens Bank Die Bank will ja, dass Ihr Online-Banking einen sicheren Anschein versprüht... da kommen solche Situationen ganz schlecht. Von dem her ist mir eine sehr hohe Kulanz bekannt, solange man sich nicht grob fahrlässig aufführt... Habe allerdings niemanden im Verwandten/Bekannten-Kreis, dem sowas je passiert ist... deswegen würde es mich interessieren, was da rauskam (im direkten Zusammenhang und nicht vom Hören-Sagen)
COLOSSUS Administrator GNUltra Registered: Dec 2000 Location: ~ Posts: 12125	10.02.2014 - 09:37 Zitat von TOM Nope, nicht seitens Dieben... seitens Bank Das sind Synonyme.
daisho Vereinsmitglied SHODAN Registered: Nov 2002 Location: 4C4 Posts: 19784	10.02.2014 - 13:42 Zitat von GrandAdmiralThrawn Ich hatte auf der Arbeit Mal einen Fall einer Mitarbeiterin mit kompromittiertem Notebook und eben solchem Android Handy. Das Handy war SICHER nicht rooted. Die Login Daten (so vermute ich) am Rechner abgegriffen, die Page am Handy faked, MobileTAN intercepted, und 10k€ weg. Die war ein BISSL fertig, weil das Konto war LEER! Grade eben hat z.B. die Bank Austria ein 1.500€ Limit für MobileTAN-signierte Überweisungen eingeführt. Sicher NICHT umsonst. Das System ist bei weitem nicht so sicher, wie einem vorgegaukelt wird. Da bleibe ich lieber bei meinen iTANs, denn an die kommst nur, wennst meinen Rechner komplett den ***** aufreißt, oder in meine Wohnung einbrichst.. Sorry, aber was hat das jetzt mit Mobile-TAN zu tun? Das kann dir genauso mit den normalen Papier-TANs passieren (Phishing-Seite) /Edit: btw, im Fall von mobile-TAN müsste der Angreifer gleich zwei unabhängige Geräte kompromittieren und nicht nur eines. In deinem Fall reicht es wenn man deinem Rechner "den Ar... aufreißt" - klar passiert einem erfahrenen User sowas halt nicht (kaum), aber um die gehts ja gar nicht ... Bearbeitet von daisho am 10.02.2014, 13:45
walters Little Overclocker Registered: Feb 2011 Location: Wien Posts: 53	10.02.2014 - 20:47 Zitat von GrandAdmiralThrawn Die Login Daten (so vermute ich) am Rechner abgegriffen, die Page am Handy faked, MobileTAN intercepted Wenn sie sms und login daten abgehört haben, dann waren sie keine Anfänger. Das würde man doch merken wenn die Website am Handy fake ist, meint ihr nicht? (andere Domain-Adresse)
spunz Elder Elder Registered: Aug 2000 Location: achse des bösen Posts: 11287	10.02.2014 - 21:32 Zitat von daisho btw, im Fall von mobile-TAN müsste der Angreifer gleich zwei unabhängige Geräte kompromittieren und nicht nur eines. In deinem Fall reicht es wenn man deinem Rechner "den Ar... aufreißt" - klar passiert einem erfahrenen User sowas halt nicht (kaum), aber um die gehts ja gar nicht ... Nachdem mobile Banking App´s immer verbreiteter sind, wird es in Zukunft wohl auch entsprechende Angriffe geben. Neben den Zugangsdaten aus der mobile Banking App, kriegt man dann gleich noch die mTAN am selben Gerät.
mr.nice. differential image maker Registered: Jun 2004 Location: Wien Posts: 6550	10.02.2014 - 21:48 Man kann sich verschiedene Schwachstellen zu Nutze machen, eine Möglichkeit ist z.B. dass die Geräte normalerweise die schnellste verfügbare IP-Verbindung verwenden wollen. Mit einem als Proxy-Server fungierenden Rogue Access Point einer bereits gespeicherten Verbindung, kann man versuchen eine sogenannte man in the middle Attacke gegen die Verschlüsselung anzuwenden. Die Installation eines einzigen Zertifikats ist dabei oft ausreichend. Onlinebanking mache ich kabellos eher gar nicht.
XXL insomnia Registered: Feb 2001 Location: /dev/null Posts: 15703	10.02.2014 - 23:43 Zitat von spunz Nachdem mobile Banking App´s immer verbreiteter sind, wird es in Zukunft wohl auch entsprechende Angriffe geben. Neben den Zugangsdaten aus der mobile Banking App, kriegt man dann gleich noch die mTAN am selben Gerät. dazu müssen die leute erst mal die app von wo anders installieren ausser den offiziellen stores, weder auf iphone noch auf android ist das eine ootb funktion ... ausserdem verbindet sich kein handy von alleine mit irgendeinem offenen wlan, das muss der user machen, womit wir wieder bei der grössten schwachstelle sind, den leuten vor den bildschirmen ... sry aber wenn leute da draussen glauben sie haben einen reichen erbgrossonkel in afrika aber der anwalt braucht 5000€ um das abzuwickeln und sie zahlen das dann gibts auch leute die auf phshing mails reinfallen und dort ihre daten eingeben, kein mensch braucht sich was technisch ausgeklügeltes ausdenken um irgendwen zu berauben wenn man sich drauf verlassen kann dass es leute gibt die "dumm" sind .... ich habs alleine letztens wieder mitbekommen wie bei uns einige ihre vodafone rechnung bekommen haben uns aufgemacht haben, wobei es in österreich nicht mal vodafone gibt ....
walters Little Overclocker Registered: Feb 2011 Location: Wien Posts: 53	11.02.2014 - 20:04 Man könnte ein handy ohne internetverbindung benutzen um die mTan zu empfangen und die Limits für MobileTAN-signierte Überweisungen nutzen. Am normalen bankkonto sollte man sowieso nicht so viel geld haben.
spunz Elder Elder Registered: Aug 2000 Location: achse des bösen Posts: 11287	11.02.2014 - 20:42 Zitat von XXL dazu müssen die leute erst mal die app von wo anders installieren ausser den offiziellen stores, weder auf iphone noch auf android ist das eine ootb funktion ... Welche Android Geräte außer der Nexus Serie, werden über 1-4 Jahre mit Sicherheitsupdates versorgt? Da tun sich ganz neue Märkte auf...
XXL insomnia Registered: Feb 2001 Location: /dev/null Posts: 15703	11.02.2014 - 22:15 ja aber welche massiven sicherheitslücken gabs bei android? wenns wirklich so leicht wäre android zu übernehmen dann wär das mehr publik, genauso wie wenn leute die online banking tonnenweise gehackt werden .... ihr machts euch sorgen wegen szenarien die so unwahrscheinlich sind dass wahrscheinlich nicht mal verbrecher drüber nachdenken würden .... das szenario ist wahrscheinlich wenn die leute es auf eine person abgesehen haben, die breite masse hast viel schneller mit phising weils genug dumme leute gibt, kein mensch wird eine einzelne person so auspionieren wenn er sich nicht sicher ist dass da geld dahinter steht ....
Hansmaulwurf u wot m8? Registered: Apr 2005 Location: VBG Posts: 5639	11.02.2014 - 22:22 Zitat von walters Das würde man doch merken wenn die Website am Handy fake ist, meint ihr nicht? (andere Domain-Adresse) Ich würde mich nicht auf die Domain verlassen. Wenn du Schadcode am Handy hast, kann sowas vielleicht geändert werden. Das phishing-Problem wenn du wirklich ungute Software draufhast ist aber am PC genauso gegeben. Aber das Risiko musst sowieso hinnehmen, deswegen gibts ja den zweiten Faktor. Da wär ein Handy ohne Internet zumindest fast unmöglich anzugreifen. Das allerwichtigste imho: Getrennte Geräte, und der Betrag bei der mTAN. Wenn der Betrag nicht stimmt, würde ich es niemals wegschicken. (ergo nicht 10k überweisen wenn ich meine amazon Rechnung zahl)
walters Little Overclocker Registered: Feb 2011 Location: Wien Posts: 53	12.02.2014 - 21:25 Aha Hätte nicht gedacht, dass die Domain-Adresse geändert werden kann. Dafür hat man doch ein Antivirus Getrennte Geräte find ich auch am sichersten.
cujo Bloody Newbie Registered: Dec 2013 Location: Wien Posts: 23	17.02.2014 - 02:54 Zitat von XXL Zitat von StrangeStranger Ja denkst du nicht das der Xeon eben limitieren würde? Edit: Verlesen, hab 1230 gelesen Edit vom Edit: Und meine Augen bluten, aber stimmt der 1240 schneidet gar nicht so schlecht ab, komisch warum ich über den heute nicht gestolpert bin :/ Irgendwann sind wir alle wegen Beihilfe dran, weil wir irgendwen auf blöde Ideen bringen hier

Wie sicher ist Online-Banking?

Forum Index > Digital Life > Internet & Provider

cujo

walters

TOM

COLOSSUS

daisho

walters

spunz

mr.nice.

XXL

walters

spunz

XXL

Hansmaulwurf

walters

cujo