Phishing/Pharming - Geld weg

Mal was aus der Sicht eines ehemaligen E-Banking Leiters.

Rechtsanwalt nehmen und gegen die Bank vorgehen. Zu 99% bekommt Ihr das Geld wieder. Denn die Beweispgflicht liegt bei der Bank. Und da ein kriminelles Handeln Eurer Seite ausgeschlossen werden kann und der beschriebene Umstand nicht dem Kunden zulaste gelegt werden kann, würde ich sagen das die Bank pech hat.

Das iTan Verfahren ist mit eines der sichereren Verfahren. Klar gibts noch bessere, aber die Bank kann nicht verlangen, dass Ihr diese nutzt.

Zum Thema Firewall und Virenscanner:
Aus langer Erfahrung, auch privater Natur im Bezug auf IT, kann ich sagen, dass in der Regel die anständigen bank Trojaner zu 50% gefunden werden, diese aber zu 99% nicht beseitigt werden.

Firewall hin oder her ist eh egal, da der Trojaner diese umgeht. Zu 99% setzen die Leute eh DSL Router ein, die eine integrierte Firewall haben, die, wie auch die Softwarebasierte auf dem PC, gerade bei diesen Trojanern keine Chance hat.

Zum Thema Erfahrung:
Vor vielen Jahren war es wirklich so, dass Kunden 20 und mehr TAN Nummern eingegeben hatten und man schon wirklich hinterm Berg leben musste, weil die Trojaner so billig gemacht waren.

Heute ist es leider so, dass diese so extrem gut sind, dass es aus Sicht des Kunden nicht mehr möglich ist, zwischen der interaktion von Trojaner oder Bank zu unterscheiden.

Deswegen entscheiden zu99% die Gerichte FÜR die Kunden und gegen die Bank.

Wieso dieses? Wenn ich gezwungen bin, eine BESTIMMTE TAN einzugeben, nützt es mir wenig wenn ich nur eine beliebige kenne. Oder gibt es mittlerweile Verfahren, um die Bank-Software zur Abfrage einer konkreten TAN zu "zwingen"?

Das Problem am TAN und iTAN und auch HBCI-Karten Verfahren ist, dass es bezuglos zur Transaktion ist und damit auf dem Weg zum RZ der Auftrag immer beliebig geändert werden kann vom Man-in-the-middle-Trojaner.
Von billigsten Pharming-Seiten die zur Eingabe von zig TAN-Nummern auffordern braucht man m.E. nicht mehr reden. Wer darauf rein fällt trägt m.E. mindestens die Hälfte der Schuld.

Nur bei chipTAN, smsTAN und Secoder (nur Volksbanken) hat man transaktionsbezogene TAN-Nummern und kann selbst durch Aufmerksamkeit umgeleitetes Geld erkennen und aufhalten.

Das Problem an mTAN ist halt, dass es eine Sicherheit vorgaukelt, die es u.U. gar nicht gibt. Nämlich dann, wenn ich das mTAN-Endgerät auch als Handy verwende. Verliere ich es ohne das es ich es merke, hat der Finder die Möglichkeit nur mit der PIN des Kontos Überweisungen zu tätigen. Noch leichter wird es, wenn es sich um ein Handy mit Browser handelt. Dann kann er es gleich direkt am Gerät machen und muss nicht mal mehr zu einem Rechner mit Browser rennen.

ciao

Christian

Habe ich doch geschrieben. Die PIN braucht man noch, aber der TAN-Schutz ist ausgehebelt.

Ich sehe keinen Unterschied (vorausgesetzt ich habe die PIN nicht hinterlegt) in der Sicherheit bei Verwendung eines Smartphones bzw. bei Verwendung einer Bankingsoftware für Smartphones. Mit dem Verlust des Geräts ist ein Kanal in den Händen potenzieller böser Buben. Und den zweiten Kanal (Browser bzw. Banking-App) können die bösen Buben jederzeit bereitstellen, nur die PIN brauchen die dann noch. Das sollte man halt im Hinterkopf haben, wenn man sein Sicherheitsmedium mit rumträgt.

ciao

Christian

:hbang: :thup:

Das "Problem" wird am Ende immer der Benutzer selbst bleiben. Aber man kann sich einem gewissen Sicherheitsstandard nähern.

mTAN + Banking SW auf einem Gerät is IMHO in etwa das gleiche wi Girokarte + PIN in einem Portemonnaie oder TANs+PIN auf dem Rechner in der Banking Softw. abzuspeichern.
Wer das macht ist selbst Schuld.

:evil: :evil: :evil: :evil: :evil: :evil:




[Ironie AN]

Kein Wunder das Du bei diesen Aussagen ein ehemaliger E-Banking-Leiter bist. Ich würde Dich als Vorgesetzter bei dieser Einstellung fragen, ob Du evtl. Deinen Beruf verfehlt hast.
In welchem Jahrhundert lebst Du bzw. warst Du Leiter? Schon mal etwas von Weiterbildung gehört?
Sowohl auf Deiner Seite als auch auf der Seite der "Bösen"?

[Ironie AUS]

Sorry, aber bei solchen, inzwischen Dummen, Aussagen kann ich nur noch mit dem Kopf schütteln bzw. platzt mir der Kragen. Hier bemühen sich alle echte Hilfen, Lösungsansätze aufzuzeigen und dann kommst Du mit diesen platten "Bild" - "Planetopia" - Parolen = Schlecht recherchiert und reißerisch.


:evil: :evil: :evil: :evil: :evil: :evil:

@klopfer: bitte sachlich bleiben.
hm, bei mir ist die Quote: 99% gefunden, >97% desinfiziert.
meinst du damit, dass es ja sicherlich "exotische" Banken gibt, die ein trojanisches Pferd einfach nicht "drauf hat"? Das glaube ich nämlich auch.

Genau das ist einer der Knackpunkte: was bringt es einer Bank, sichere Verfahren anzubieten, wenn kein (oder nur sehr wenige) Kunden bereit sind, dafür zu bezahlen??? :evil:

Klar, die Bank könnte alle anderen Verfahren abschalten und die Kunden "zwangsumstellen", aber was das bei einer regional agierenden Bank auslösen kann, kann sich wohl jeder ausmalen...

Die Verständigung über die Sicherheit bzw. Risiken beim OnlineBanking zwischen Bank und Kunde sollte eigentlich nicht an einer Preisdiskussion scheitern - dass das aber vorkommt, finde ich persönlich sehr schade
(Wobei man hier auch den Beratern am Markt an die Nase packen muss, die den schmalen Grad zwischen "gut informiert" und "IT-Spezialist" fahren müssen!)