Die Polizei warnt: So werden Sie um Ihr Geld gebracht

Hallo Leute,

man sollte tatsächlich die Kirche im Dorf lassen! Der Meinung von derdementor2 schließe ich mich an.
Ich nutze seid etlichen Jahren das Online-Banking. Bislang hatte ich nicht eine Fehlbuchung oder gar einen Mißbrauch erlebt. Sicherlich sollte und muß man jedem eine gewisse Sorgfalt unterstellen können, damit solche Sachen nicht passieren. Darauf wird aber bei der Einrichtung mehrfach und auch ausreichend hingewiesen. Schließlich hört beim Geld bei vielen ja bekanntlich der Spaß auf.
Ich selber kontrolliere ca. 1x die Woche meine Kontobewegungen (hier: mit Starmoney) und kann dann immer noch rechtzeitig und ohne Streß mögliche Mißbrauchsfälle korrigieren lassen. Und wenn es dann tatsächlich passieren sollte ist es natürlich logisch, daß man erstmal seine Bank kontaktiert. Nur sie ist auf Grund ihrer Geschäftsordnung berechtigt und logischerweise dazu in der Lage sofort berechtigte Rückbuchungen vorzunehmen.

Die Polizei kann es rein rechtlich und schon gar nicht praktisch bewerkstelligen.
Ein Ermittler (der Polizei) kann, so er sich irgendwann mal zu dem Fall durchgearbeitet hat, nur mit richterlicher Genehmigung Kontoeinsichten bei der Bank anforden. Und ob die dann sofort mitspielt ist dann die andere Sache.

Bis dahin ist viel Zeit vergangen, sind viele Spuren verwischt worden,... und das Geld ist futsch!

 

Wieso? Ich könnte doch (rein hypothetisch) wenn ich Lust hätte, einen Trojaner schreiben, der zum Beispiel die T-Online-Banking-Software anzapft, oder Starmoney. Ich könnte feststellen, dass die Software gestartet wurde, und könnte feststellen, dass jetzt gerade eine Überweisung getätigt werden soll. Mein trickreiches trojanisches Pferd fingiert dann eine Fehlermeldung, die TAN ist ungültig, bitte neue angeben, natürlich in einem eigenen Prozess, aber das sieht ja der ahnungslose User garnicht. Der gibt dann die TAN in das trojanische Pferd ein und selbiges könnte rein theoretisch sogar vollautomatisch eine Überweisung veranlassen und sich dann selbst löschen. Hinfort ist jeder Beweis.

Der einzige wirklich als sicher annehmbare Schutz vor sowas ist HBCI mit Chipkartenleser, der die PIN selbst entgegennimmt und die Überweisungsdaten vor der Signierung auf einem eigenen Display anzeigt. Ein Firmware-Update soll eine Eingabe auf der Tastatur des Lesers erfordern.

Das wäre meiner Meinung nach die einzig richtige Lösung. Stattdessen fangen die Banken an, ihr PIN/TAN-Verfahren zu perfektionieren, mit Bilderübertragungen und nummerierten TAN-Listen usw. Das ist ungefähr so, wie wenn jemand sein Haus mit fortschrittlichen Kerzen beleuchtet.

 

" ... Der einzige wirklich als sicher annehmbare Schutz vor sowas ist HBCI mit Chipkartenleser, der die PIN selbst entgegennimmt und die Überweisungsdaten vor der Signierung auf einem eigenen Display anzeigt. Ein Firmware-Update soll eine Eingabe auf der Tastatur des Lesers erfordern...."

Hm, gehört habe ich von HBCI auch schon. Nur so recht schlau bin ich daraus nicht geworden. Ehrlich gesagt wollte ich nicht etwas ändern,was bislang zur vollsten Zufriedenheit lief ("Never change ...").
Ich werd mal meine Bank anstechen. Mal sehen was wird.

Gibts da irgendwas (kompliziertes) zu beachten?

"... Das wäre meiner Meinung nach die einzig richtige Lösung. Stattdessen fangen die Banken an, ihr PIN/TAN-Verfahren zu perfektionieren, mit Bilderübertragungen und nummerierten TAN-Listen usw. Das ist ungefähr so, wie wenn jemand sein Haus mit fortschrittlichen Kerzen beleuchtet.[/QUOTE]..."

PS: Der Vergleich ist echt nicht schlecht. lol

 

Gott sei dank funktioniert das ganze nicht so.
Erst einmal ist die Eingabe in einer Software verschlüsselt. Dann kommt noch hinzu, dass dein Trojaner evt. ex wirklich schafft eine Fehlermeldung zu produzieren, dass die TAN Fehlerhaft war, aber er kann eins nicht... Die Kommunikation mit dem Banksystem unterbrechen und das darauffolgende Fehlerprotokoll manipulieren. Darin würde nämlich stehen :
Entweder:
Auftrag erfolgreich durchgeführt - oder
Verbindung unterbrochen. Auftrag konnte nicht gesendet werden.

Die Eingabe einer neuen TAN wäre in diesem Falle Sinnlos. Ausserdem sollte der Kunde immer !! wenn wirklich mal ein Problem auftritt sich mit der Serviceline der Bank in Verbindung setzen. Dafür sind wir da. (Unser Service ist kostenlos)

Das stimmt ebend nicht. Die handelsüblichen Chipkartenleser werden entweder parallel angeschlossen und zwischen den Tastaturstecker und den PC angeschlossen oder über USB. Der Klasse 1 und Klasse 2 Leser überträgt seine Daten unverschlüsselt an den Rechner. Das kann ich genauso auslesen wie eine direkte Tastatureingabe. Nur ein Klasse 3 Chipkartenleser wäre hiervor sicher. Der kostet jedoch ab 80 EUR aufwärts und kaum ein Kunde ist bereit so viel Geld zu investieren. Ausserdem muss man einfach sagen, wenn es wirklich jemanden gelingen sollte, die HBCI Kodierung zu knacken, die SSL Verschlüsselung zu knacken, dann ist dieser auch sicher in der Lage deinen Chipkartenleser zu knacken.

Problem bei der Geschichte... Es hat noch nie einer geschafft.

Nein ist es nicht.
Die Banken machen viel mehr, was aber dem Normaluser nicht auffällt. Und das soll es auch nicht. Es gibt noch einige Hindernisse zu überwinden, die ich aus "Sicherheitsgründen" nun mal nicht aufzählen will, die genau solche Sachen verhindern, die du gerade erwähnt hast. Glaub mir. Aus deiner normalen Kerze haben wir ein Holobild einer Kerze gemacht... Du glaubst nur noch, es sei eine normale Kerze. :p

 

Ich kann doch einen Keylogger installieren, und die Eingabe abgreifen, bevor sie die Software erreicht.

Muss er doch garnicht. Es reicht doch, das Fehlerprotokoll automatisch "wegzuklicken" und in einem eigenen Prozess ein eben solches zu präsentieren, im selben look&feel wie das der Software selbst. Hauptsache, der Kunde hat die Fehlermeldung vor der Nase, ob so oder so iss' doch völlig egal. Ganz davon abgesehen: Viele haben diese Fehlermeldung bestimmt noch nie gesehen, weil sie benutzte TANs markieren.

Tut er aber nicht. Er vertraut "seiner" Software.

Ich hab' meine Cashmouse (Klasse 3) neu für die Hälfte bekommen. (Nicht von der Bank)

Ich dachte diese Verfahren gelten als sicher. Bin ich dann gegen sowas unwahrscheinliches nicht versichert? Ausserdem geht's mir ja garnicht darum, das Sicherheitssystem zu überwinden, sondern die Schwachstelle Mensch vor dem PC zu überwinden.

In dem Bericht stand, dass der Betrug durch das Kontolimit verhindert wurde. Es wäre also fast erfolgreich gewesen.

 

Leider nicht ganz richtig... Es ist zwar möglich, eine Überweisung zurück zu rufen, so lange diese noch nicht beim Empfänger ist, aber da hat sich in letzter Zeit viel getan. Inzwischen richten wir dierekt eien Anfrage an die Bundesbank, und sobald es da ist, findet kein Rückruf mehr statt.

Und bei der Bundesbank sind die buchungen in sehr kurzer Zeit. Also intern haben wir Real Time buchungen, und extern dauerts meist auch nciht lange.

Von daher kann die Kohle weg sein! Ich versteh das Problem aber trotzdem nciht, da die bank IMMER den schaden ersetzen würde, nur damit es keine negative Presse gibt!

Zudem dürfte es in meinen Augen auch gar keien Fälle geben. Auch der Herr ist selber Schuld! Es weiss ja wohl inzwischen JEDER, das hin und wieder seiten davor geschaltet werden, und die mit ner 2. Eingabe locken, da bricht man sofort ab!

Aber naja, wer in meinen Augen das alte Pin und Tan verfahren nutzt, ist selber schuld!

Greetz Zulfi

 

In der Meldung stand voll net drin, dass er seinen Browser benutzt hat! Es hätte genausogut eine Online-Banking-Software sein können, die er mit PIN/TAN-Verfahren benutzt. Und des weiteren:

Schon bei der 1. Eingabe war es also schon zu spät!

Lesen heißt nicht nur, die Wörter angucken! Ich finde es ja großartig, dass du die Sicherheit von Online-Banking propagierst, aber bitte NICHT mit falschen Tatsachen und Annahmen.

 

Das mit der annahme tut mir leid, auch wenn ich immern och zu 80% davon überzeugt bin :-)

Das es bei der ersten Eingabe schon zu spät war, ist ja nciht schlimm, aber spätestens wenn ich nen 2. Mal eine TAN eingeben soll, rufe ich doch sofort bei meiner Bank an, und kläre das, oder ? Ist meine Meinung, vielleicht bin ich auch ein wenig genervt von der ganzen angelegenheit, weil die Leute alle nur Jammern, wie unsicher das ist, es bisher aber KEINEN Betrugsfall gibt (zumindest kenn ich keinen) wo nicht der Benutzer mindestens 80% Schuld hat! Und wenn man keine Ahnung vom Internet hat soll man es schlichtweg lassen! Ich geh ja auch nciht Fallschirm springen, ohne mich vorher zu informieren, oder nen Kurs zu machen.

Greetz Zulfi

 

Ich finde, der Vorfall zeigt nur, wie die Methoden der Betrüger immer weiter verfeinert werden.

Nehmen wir doch mal an, es war eine Online-Banking-Software. Bisher fühlen sich alle, die eine solche benutzen, wie der King, "Haha, ihr Browser-Typen seid unsicher". Tatsächlich gibt es aber keinen Grund für diese Annahme. Es braucht nur mal jemand einen geeigneten Trojaner zum Beispiel für die T-Online-Software zu schreiben!

In diesem Fall war der Trojaner noch so nett, überhaupt nach einer anderen TAN zu fragen. Er hätte den Vorgang auch einfach abbrechen können, und die TAN selber benutzen, und schon merkst du garnix mehr, weil alles normal aussieht. Erst wenn dein Gläubiger sich beschwert, dass du nix zahlst, merkst du, was vorgefallen ist, und das kann 'ne Weile dauern.

Und ich bin der Meinung, dass keine Homebanking-Software so geschrieben werden kann, dass sie unmanipulierbar ist. Sobald die Daten den PC verlassen mögen sie mit sicheren Verfahren verschlüsselt sein. Ein trojanisches Pferd auf dem PC kann aber die Software auf jeden Fall angreifen.

Die Methoden sind vielfältig. Ich könnte die Banking-Software zum Beispiel auch einfach patchen, bevor sie vom User geöffnet wird. Ist überhaupt kein Problem. Ich kann sämtliche Anzeigen auf dem Bildschirm verändern, erzeugen, auslesen oder sonstwas, wie ich Lust dazu habe, und ich kann sämtliche Eingaben direkt oder indirekt mitloggen und auswerten. Wenn man geschickt programmiert kann man auch beliebigen Speicher auslesen, Eingaben des Users simulieren, das Netzwerk anzapfen, usw. usw. Alle Werkzeuge, die man dazu braucht, sind da. Und User zu verarschen ist kein Problem, wenn man ein guter Programmierer ist. Alles könnte für dich normal aussehen, und doch ist es ein Fake. Wenn man dann noch das Glück hat, dass der Trojaner neu ist und nicht von Virenscannern entdeckt wird, kann man bei entsprechend geschickt eingefädelter Verbreitung einen ganz schönen Batzen Geld ergaunern.

 

Und wo willste das geld hintranportieren
ohne erkant zu werden ?

 

Das ist doch ein ganz anderes Problem! Darum ging's doch garnicht. Es funktioniert doch auch schon beim Phishing seit längerem. Das Geld fließt irgendwohin, in's Ausland, sonstwo, hauptsache weg. Wenn das noch nie geklappt hätte, dann gäbe es schlicht und einfach kein Phishing.

Ich will ja auch nicht behaupten, dass ich sowas machen will. Ich wollte nur erläutern, warum und wie es gemacht werden könnte, weil ich einfach nicht der Meinung bin, dass auf einem PC eine sichere Umgebung erzeugt werden kann. Wie soll das gehen?

Deswegen ja auch die Empfehlung, sich mit der Bank in Verbindung zu setzen. Aber wenn alles normal aussehen würde, würde keiner auf die Idee kommen, sich einfach mal so mit der Bank in Verbindung zu setzen, erst zu spät. Selbst wenn man das Geld wieder bekommt, aus welchen Gründen auch immer: Der Betrug war erfolgreich, und so kann man diese Art der Kriminalität einfach nicht loswerden.

 

Jo, das Phishing funktioniert, liegt aber nicht an der Bank oder sonst einem Sicherheitssystem! Phishing wird IMMER funktionieren, allein so lanege die Leute auf E-Mails antworten, die nur ne ähnlichkeit mit Ihrer Bank haben.. ÜBERALL steht: Die Forma fragt nicht nach Daten, die Bank darf dies nicht wissen, oder Wir würden Sie niemals nach vertraulichen Daten fragen, und trozdem antworten die Leute.

Es gibt sicherlich auch ausnahmen, wo es richtig kriminell ist, aber das sehe ich als super kleinen verschwindenden Prozentualen anteil! Es wird im Bezug eh viel Heisser gekocht als gegessen! Es regen sich auch alle über angeblichen Flaschgeldumlauf auf, und was ist: Ich habe erst einen falschen Schein gesehen, und der war zu hause ausgedruckt worden, auf normalem Papier :-)

Greetz Zulfi

 

Es gibt auch Falschgeld mit Mikeymaus-Köpfen drauf, und die werden auch von Geschäften genommen.

Mag sein, dass das da steht. Aber wenn ICH eine Überweisung per PIN/TAN-Verfahren gemacht habe, hat mich meine Bank IMMER nach meiner PIN und einer TAN gefragt.

(Nur mal so, zum genaueren darüber nachdenken).

 

Klar das die Bank da einmalig nach fragt, für Transaktionen, ich wollte jetzt auf die Phishing mails hinaus, wo auch ziemlich viele drauf rein sind....

EDIT: und zu der Aussage, das ich ncoh nie Falschgeld gesehen habe, sollte ich vielelciht noch sagen, das ich seit Jahren inner Bank arbeite, und auch noch nie von gtuem Falschgeld gehört habe! Zumindest nciht das es jemand in die Finger bekommen hat!

Greetz Zulfi