Re: Online-Banking-Trojaner hat es auf chipTAN-Nutzer abgesehen
· Gepostet: 08.09.2012 - 09:24 Uhr · #2
Soll ich den Link mal meiner "Sparkasse" schicken?
Die haben mir nämlich noch vorgestern gesagt, wie sicher dieses TAN-Blinklicht-Verfahren sei und darauf geschworen!
Dank dieser Meldung ist man nun auf solche Gaunereien auf der Homebanking Website vorbereitet.
Es stellt sich aber die Frage, sollte man überhaupt noch Homebanking machen.
Ich habe hier einen Link mit der Auswahl von Homebanking Software.
Könnt Ihr mir von dieser Auswahl etwas empfehlen, bis ich ein Linux Gerät habe?
Mein Windows 7 Laptop ist nämlich nicht willens, bei einer eingelegten Linux CD (Linux Mint / Ubuntu) zu starten.
Laut Linux Fachmann soll es an der Grafikkarte liegen.
Ich habe ein HP Compaq Presario cq61 Lptop.
Wäre zudem Homebankin von einem Linux Computer wesentlich sicherer?
Oder könnte da auch ein "Man in the Browser" solche fiese Bankspionage betreiben?
Hier der Link für die Auswahl von Hombanking Software :
http://www.heise.de/download/o…000311037/
Die haben mir nämlich noch vorgestern gesagt, wie sicher dieses TAN-Blinklicht-Verfahren sei und darauf geschworen!
Dank dieser Meldung ist man nun auf solche Gaunereien auf der Homebanking Website vorbereitet.
Es stellt sich aber die Frage, sollte man überhaupt noch Homebanking machen.
Ich habe hier einen Link mit der Auswahl von Homebanking Software.
Könnt Ihr mir von dieser Auswahl etwas empfehlen, bis ich ein Linux Gerät habe?
Mein Windows 7 Laptop ist nämlich nicht willens, bei einer eingelegten Linux CD (Linux Mint / Ubuntu) zu starten.
Laut Linux Fachmann soll es an der Grafikkarte liegen.
Ich habe ein HP Compaq Presario cq61 Lptop.
Wäre zudem Homebankin von einem Linux Computer wesentlich sicherer?
Oder könnte da auch ein "Man in the Browser" solche fiese Bankspionage betreiben?
Hier der Link für die Auswahl von Hombanking Software :
http://www.heise.de/download/o…000311037/
Benutzer
Geschlecht:
Herkunft: Korschenbroich
Alter: 53
Beiträge: 6167
Dabei seit: 02 / 2003
Herkunft: Korschenbroich
Alter: 53
Beiträge: 6167
Dabei seit: 02 / 2003
Re: Online-Banking-Trojaner hat es auf chipTAN-Nutzer abgesehen
· Gepostet: 08.09.2012 - 10:22 Uhr · #4
Hallo Holger,
wie genau schafft dies der "Tatanga" Trojaner?
Wie kommt er an der Sicherheits Software des PC vorbei?
Diese sollte schon beim Download(Drive by) Alarm schlagen.
Beim Installationsversuch sollte er ebenfalls blockiert werden wenn er keine gültige digitale Signatur eines anerkannten Softwareherstellers mitbringt.
Wie kommuniziert der Trojaner mit seinem Control Server durch 2 Firewalls
(Software und Router?)
Es heißt,dass der Trojaner auf eine gefälsche Bank Seite umleitet ?
Trägt diese dann auch den Original Bank Sha 1 Fingerprint im Zertifikat?
Das heißt die Vorausssetzungen zum Gelingen wären...
-Keine funktionierende Sicherheits Software auf dem PC
-Keine Kontrolle des Zertifikats am Beginn der Sitzung
-Anfälligkeit des Nutzers für Social Engineering Methoden um an einen angeblich notwendigen Test zu glauben...
Wie viele Nutzer des Online Banking bieten all dies?
Ich nutze ChipTan nur für GiroPay.
Ansonsten gibt mir StarMoney mit HBCI Chip noch immer das sicherste Gefühl...
kragenbär
wie genau schafft dies der "Tatanga" Trojaner?
Wie kommt er an der Sicherheits Software des PC vorbei?
Diese sollte schon beim Download(Drive by) Alarm schlagen.
Beim Installationsversuch sollte er ebenfalls blockiert werden wenn er keine gültige digitale Signatur eines anerkannten Softwareherstellers mitbringt.
Wie kommuniziert der Trojaner mit seinem Control Server durch 2 Firewalls
(Software und Router?)
Es heißt,dass der Trojaner auf eine gefälsche Bank Seite umleitet ?
Trägt diese dann auch den Original Bank Sha 1 Fingerprint im Zertifikat?
Das heißt die Vorausssetzungen zum Gelingen wären...
-Keine funktionierende Sicherheits Software auf dem PC
-Keine Kontrolle des Zertifikats am Beginn der Sitzung
-Anfälligkeit des Nutzers für Social Engineering Methoden um an einen angeblich notwendigen Test zu glauben...
Wie viele Nutzer des Online Banking bieten all dies?
Ich nutze ChipTan nur für GiroPay.
Ansonsten gibt mir StarMoney mit HBCI Chip noch immer das sicherste Gefühl...
kragenbär
Re: Online-Banking-Trojaner hat es auf chipTAN-Nutzer abgesehen
· Gepostet: 08.09.2012 - 13:01 Uhr · #6Zitat geschrieben von Holger Fischer
Zitat geschrieben von Platinenwurm
Soll ich den Link mal meiner "Sparkasse" schicken?
Die haben mir nämlich noch vorgestern gesagt, wie sicher dieses TAN-Blinklicht-Verfahren sei und darauf geschworen!
Dank dieser Meldung ist man nun auf solche Gaunereien auf der Homebanking Website vorbereitet.
Es stellt sich aber die Frage, sollte man überhaupt noch Homebanking machen.
Die haben mir nämlich noch vorgestern gesagt, wie sicher dieses TAN-Blinklicht-Verfahren sei und darauf geschworen!
Dank dieser Meldung ist man nun auf solche Gaunereien auf der Homebanking Website vorbereitet.
Es stellt sich aber die Frage, sollte man überhaupt noch Homebanking machen.
Hallo Platinenwurm,
deine Sparkasse hat immer noch recht.
Alle modernen PIN\TAN Verfahren haben einen Zweck. Sie sollen verhindern, dass ein von Dir erfasster Auftrag manipuliert wird und Du diesen frei gibst.
Der Angriff hier ist ein klassischer Social Engineering Angriff, der mit deinem Vertrauen spielt.
Bei diesem Angriff, wird dein PC manipuliert. Jemand erstellt eine Überweisung und lässt sich genau diese Daten von dir bestätigen. Dagegen hilft kein Verfahren.
Übertragen auf die nicht Onlinewelt ist das ungefähr so:
Du stehst vor der Bank, ein netter Herr im Anzug kommt aus der Bank und erzählt Dir, dass die ihre Systeme gerade überprüfen und du ihm dazu bitte deien Girocard und Pin geben sollst, da er testen muss, ob der Gelautomat sicher ist. Er geht mit deiner PIN und Karte rein, räumt dein Konto leer, kommt wieder raus und sagt Dir alles in Ordnung.
So blöd ist keiner?
Doch, alles schon geschehen. Beim Internetbanking ist das Vertrauen noch größer aber das Verständnis dafür, welche Situation seltsam ist deutlich kleiner (Es gibt keine Bank, die im produktiven System einen Test mit einem Kunden durchführt, bei dem Transaktionsdaten erzeugt und abgefragt werden)
Die ganzen Sicherheitsverfahren sind nur Hilfsmittel, nicht mehr und nicht weniger. Ich habe mal eine krasse Formulierung von einem Sicherheitsexperten gelesen:
Der KundenPC ist Kriegsgebiet........
das Problem dabei ist, dass dem normalen Anwender das nicht bewußt ist und er sich mit einer Naivität (das ist nicht abwertent gemeint) bewegt, als ob er im Garten Eden unterwegs ist. Und die Schlangen warten überall auf dem PC
Banking Produkte sind sicherlich ein gutes und geeignetes weiteres Hilfsmittel zur Risikominimierung. Aber auch hier gilt, einen absoluten Schutz gibt es nicht (auch wenn die Softwareprodukte da ein paar Möglichkeiten mehr haben)
Einen Rat für ein Kundenprodukt gibt es hier allerdings nicht, wenn es nicht gerade um sehr spezielle Anforderungen geht.
Viele Grüße
Holger
--------------
Hallo, Holger !
Das Tatanga mit dem Vertrauen des Homebankingnutzers spielt und hofft, dass er auf seinen äußerst fiesen Trick rein fällt, das habe ich mir ja auch in "dem" Moment "auch schon" gedacht. :?
Man sucht halt bloß immer gleich sofort nach nem Schuldigen und Verantwortlichen (hier: DIE BANK), wo man fälschlicherweise meint, dass "diese" einen Fehler gemacht hat und nicht man selbst.
ops:
Bei "der" zugenommenen Gefahrenlage im Internet dürfte man ja eigentlich gar net mehr ins Netz. :shock:
Aber da man sich "den" Spaß einfach net nehmen möchte von solchen fiesen Gauern, muss man halt dieses Risiko in Kauf nehmen. :hbang:
Es gibt ja demgegenüber auch schon seit längerem Überfälle an Geldautomaten am hellichten Tag. So gesehen sind weder das Homebanking im Internet noch das normale Geld abheben im realen Leben ohne Gefahr.
Verrückt, so was.
(Nehmt das Leben nicht so ernst, wir kommen sowieso nicht lebend da raus). :popworm:
In diesem Sinne, ein schönes Wochenende ohne fiese Überraschungen.
Herzlichst, PLATINENWURM :winke:
Re: Online-Banking-Trojaner hat es auf chipTAN-Nutzer abgesehen
· Gepostet: 11.09.2012 - 14:30 Uhr · #7Zitat geschrieben von kragenbär
Hallo Holger,
wie genau schafft dies der "Tatanga" Trojaner?
Wie kommt er an der Sicherheits Software des PC vorbei?
Diese sollte schon beim Download(Drive by) Alarm schlagen.
Beim Installationsversuch sollte er ebenfalls blockiert werden wenn er keine gültige digitale Signatur eines anerkannten Softwareherstellers mitbringt.
Wie kommuniziert der Trojaner mit seinem Control Server durch 2 Firewalls
(Software und Router?)
Es heißt,dass der Trojaner auf eine gefälsche Bank Seite umleitet ?
Trägt diese dann auch den Original Bank Sha 1 Fingerprint im Zertifikat?
...
kragenbär
wie genau schafft dies der "Tatanga" Trojaner?
Wie kommt er an der Sicherheits Software des PC vorbei?
Diese sollte schon beim Download(Drive by) Alarm schlagen.
Beim Installationsversuch sollte er ebenfalls blockiert werden wenn er keine gültige digitale Signatur eines anerkannten Softwareherstellers mitbringt.
Wie kommuniziert der Trojaner mit seinem Control Server durch 2 Firewalls
(Software und Router?)
Es heißt,dass der Trojaner auf eine gefälsche Bank Seite umleitet ?
Trägt diese dann auch den Original Bank Sha 1 Fingerprint im Zertifikat?
...
kragenbär
Was diese Fragen betriff kannst Du Dir mal folgenden Artikel durchlesen:
http://www.heise.de/security/a…37160.html
Geschrieben wie zufällig von einem Mitarbeiter der GAD.
Am Ende bleibt nur jedem smartTAN, chipTAN-Nutzer zu raten: Vertraue nur den Angaben im TAN-Generator und bestätige nur eigene Zahlungen. Alles was auf dem Monitor erscheint und geschrieben steht _kann_ gefälscht sein.
Re: Online-Banking-Trojaner hat es auf chipTAN-Nutzer abgesehen
· Gepostet: 12.09.2012 - 18:55 Uhr · #9Zitat geschrieben von Zecher_Hitman
Am Ende bleibt nur jedem smartTAN, chipTAN-Nutzer zu raten: Vertraue nur den Angaben im TAN-Generator und bestätige nur eigene Zahlungen. Alles was auf dem Monitor erscheint und geschrieben steht _kann_ gefälscht sein.
Hallo,Zecher_Hitman,
bei Giropay muß ich mich leider auf die Kontonummer verlassen welche am Bildschirm angezeigt wird...
Bei Sparkassenseitig initiierten Umstellungen welche mit TAN bestätigt werden müssen, wird auch die zu kontrollierende Nummer nur am Schirm angezeigt.
In beiden Fällen könnten diese Angaben durch einen Trojaner verfälscht worden sein - oder liege ich da falsch?
Ist ein Rechner der mit Security Suite geschützt wird wirklich so hilflos einem Trojaner ausgeliefert?
Mein Kaspersky Internet-Security z.B. verspricht beim Installationsversuch eines Programmes...
Mit digitaler Signatur eines bei Kasp. anerkannten Softwareherstellers gibt es sofort grünes Licht.
Ohne Signatur wird die Reputation der exe. Datei in der Cloud (KSN) abgefragt und dann entschieden.
Ohne Info von KSN wird von KIS eine eigene Analyse erstellt und ein Risikoprofil angefertigt.
Dann wird der Nutzer gefragt ob er der Installation zustimmt wenn dies nicht eindeutig gefährlich ist.
Heuristik,Verhaltensbasierte Analyse,Suche nach Rootkit Funktionen etc. sollten es doch fast unmöglich machen sich einen Trojaner einzufangen...
Mein Rechner jedenfalls (XP SP3) ist schon seit 2004 täglich im Netz und es hat noch nie einen sicherheitsrelevanten Vorfall gegeben.
Auch mein StarMoney mit HBCI Chip wurde noch nie kompromittiert...
Freundliche Grüße
kragenbär
Re: Online-Banking-Trojaner hat es auf chipTAN-Nutzer abgesehen
· Gepostet: 12.09.2012 - 19:29 Uhr · #11
Hallo Obnutzer,
bei meiner Sparkasse (Nürnberg) wurde der el. Kontoauszug bisher manuell abgerufen.
In Zukunft wird er in das el. Postfach eingestellt und der Kunde auf Wunsch per Mail über die Ankunft benachrichtigt.
Die Aktivierung des Postfaches und die Mail Ben. mußten mit Eingabe einer TAN (ChipTan Optik) bestätigt werden.
Und ja - es war tatsächlich die Sparkassenseite - jedenfalls trug sie den richtigen Fingerprint im Zertifikat.
gruß
kragenbär
bei meiner Sparkasse (Nürnberg) wurde der el. Kontoauszug bisher manuell abgerufen.
In Zukunft wird er in das el. Postfach eingestellt und der Kunde auf Wunsch per Mail über die Ankunft benachrichtigt.
Die Aktivierung des Postfaches und die Mail Ben. mußten mit Eingabe einer TAN (ChipTan Optik) bestätigt werden.
Und ja - es war tatsächlich die Sparkassenseite - jedenfalls trug sie den richtigen Fingerprint im Zertifikat.
gruß
kragenbär
Re: Online-Banking-Trojaner hat es auf chipTAN-Nutzer abgesehen
· Gepostet: 13.09.2012 - 09:16 Uhr · #12Zitat geschrieben von kragenbär
Hallo Obnutzer,
bei meiner Sparkasse (Nürnberg) wurde der el. Kontoauszug bisher manuell abgerufen.
In Zukunft wird er in das el. Postfach eingestellt und der Kunde auf Wunsch per Mail über die Ankunft benachrichtigt.
Die Aktivierung des Postfaches und die Mail Ben. mußten mit Eingabe einer TAN (ChipTan Optik) bestätigt werden.
Und ja - es war tatsächlich die Sparkassenseite - jedenfalls trug sie den richtigen Fingerprint im Zertifikat.
gruß
kragenbär
bei meiner Sparkasse (Nürnberg) wurde der el. Kontoauszug bisher manuell abgerufen.
In Zukunft wird er in das el. Postfach eingestellt und der Kunde auf Wunsch per Mail über die Ankunft benachrichtigt.
Die Aktivierung des Postfaches und die Mail Ben. mußten mit Eingabe einer TAN (ChipTan Optik) bestätigt werden.
Und ja - es war tatsächlich die Sparkassenseite - jedenfalls trug sie den richtigen Fingerprint im Zertifikat.
gruß
kragenbär
Und was wurde da im Tan-Generator angezeigt und wann war das?
Re: Online-Banking-Trojaner hat es auf chipTAN-Nutzer abgesehen
· Gepostet: 15.09.2012 - 21:47 Uhr · #16
Hallo Zecher_Hitman,
ja,natürlich habe ich den Vorgang selbst angestossen der dann letztlich mit einer TAN legitimiert wurde.
Die auf das Display des Generators durch den Flickercode übermittelte Zahlenfolge wurde im Dialog mit dem Sparkassen System am Bildschirm vorgegeben.
Auf die Korrektheit dieser Angaben muß ich mich einfach verlassen wenn ich laut sha 1 Fingerprint definitiv mit dem Sparkassenserver verbunden bin.Wirklich überprüfen kann ich sowas jedoch nicht - genauso wie die angegebene Kontonummer bei einem Giropay Vorgang.
Wirklich überprüfen kann ich nur Kontonummer und Summe die ich selbst von einer Rechnung übernommen habe.
Nur dann bin ich durch die Auftragsgebundenheit der ChipTAN selbst dann sicher wenn mein System durch Trojaner kompromittiert worden sein sollte - was noch nie vorgekommen ist.
Dennoch nutze ich wie gesagt am liebsten StarMoney mit HBCI Chip.
Sollte dies System eines Tages kompromittiert werden, wird es schnellstens Zeit für die durchgehende Implementierung des "Secoder" durch Banken,Softwarehersteller und Kartenleseranbieter.
Dann ist auch HBCI auftragsgebunden und des Restrisiko eines Trojaners wäre gebannt...
Gruß
Kragenbär
ja,natürlich habe ich den Vorgang selbst angestossen der dann letztlich mit einer TAN legitimiert wurde.
Die auf das Display des Generators durch den Flickercode übermittelte Zahlenfolge wurde im Dialog mit dem Sparkassen System am Bildschirm vorgegeben.
Auf die Korrektheit dieser Angaben muß ich mich einfach verlassen wenn ich laut sha 1 Fingerprint definitiv mit dem Sparkassenserver verbunden bin.Wirklich überprüfen kann ich sowas jedoch nicht - genauso wie die angegebene Kontonummer bei einem Giropay Vorgang.
Wirklich überprüfen kann ich nur Kontonummer und Summe die ich selbst von einer Rechnung übernommen habe.
Nur dann bin ich durch die Auftragsgebundenheit der ChipTAN selbst dann sicher wenn mein System durch Trojaner kompromittiert worden sein sollte - was noch nie vorgekommen ist.
Dennoch nutze ich wie gesagt am liebsten StarMoney mit HBCI Chip.
Sollte dies System eines Tages kompromittiert werden, wird es schnellstens Zeit für die durchgehende Implementierung des "Secoder" durch Banken,Softwarehersteller und Kartenleseranbieter.
Dann ist auch HBCI auftragsgebunden und des Restrisiko eines Trojaners wäre gebannt...
Gruß
Kragenbär
Re: Online-Banking-Trojaner hat es auf chipTAN-Nutzer abgesehen
· Gepostet: 16.09.2012 - 15:25 Uhr · #18
Hallo obnutzer,
ich denke,die Haftung sollte schon verschuldensabhängig bleiben.
Die Ansprüche an das Sicherheitsbewußtsein der Kontoinhaber sind allerdings in letzter Zeit schon recht hoch geworden.
Wenn ich bedenke was ich so fast täglich allein an meinem XP Desktop am patchen bin (OS,Java,Flash,Adobe Reader,Vier verschiedene Browser etc)
Wöchentliche komplette Festplatten Images usw.
Gegen Social Engineering Methoden ist man wohl auch nur geschützt wenn man sich immer wieder mit diesen Dingen beschäftigt.
Doch was passiert,wenn sich der Anteil der Smartphone Nutzer die darüber Banking betreiben drastisch erhöht .
Ich werde das Gefühl nicht los,dass viele Smartphone Nutzer sich nicht unbedingt den ganzen Tag darüber Gedanken machen wie Ihre Plattform hinreichend sicher gehalten wird um guten Gewissens Banking zu betreiben.Da gibt es ja mittlerweile Angriffsszenarien in deren Schilderung ich mich erstmal eine Weile vertiefen mußte um überhaupt zu verstehen was dort geschieht.
Dagegen finde ich StarMoney mit HBCI Chip geradezu "narrensicher" - jedenfalls solange die Star Finanz und Kaspersky Labs es schaffen gefährliche Trojaner von der Banking Anwendung fernzuhalten.
Das all diese Komponenten (StarMoney,Klasse 3 Leser,Sicherheitssoftware)
Geld kosten finde ich in diesem Rahmen OK.
Beim Autofahren zahlt man ja auch für Airbag und teure Sicherheitselektronik um selbst kritische Situationen unbeschadet zu überstehen.
Es grüßt kragenbär
ich denke,die Haftung sollte schon verschuldensabhängig bleiben.
Die Ansprüche an das Sicherheitsbewußtsein der Kontoinhaber sind allerdings in letzter Zeit schon recht hoch geworden.
Wenn ich bedenke was ich so fast täglich allein an meinem XP Desktop am patchen bin (OS,Java,Flash,Adobe Reader,Vier verschiedene Browser etc)
Wöchentliche komplette Festplatten Images usw.
Gegen Social Engineering Methoden ist man wohl auch nur geschützt wenn man sich immer wieder mit diesen Dingen beschäftigt.
Doch was passiert,wenn sich der Anteil der Smartphone Nutzer die darüber Banking betreiben drastisch erhöht .
Ich werde das Gefühl nicht los,dass viele Smartphone Nutzer sich nicht unbedingt den ganzen Tag darüber Gedanken machen wie Ihre Plattform hinreichend sicher gehalten wird um guten Gewissens Banking zu betreiben.Da gibt es ja mittlerweile Angriffsszenarien in deren Schilderung ich mich erstmal eine Weile vertiefen mußte um überhaupt zu verstehen was dort geschieht.
Dagegen finde ich StarMoney mit HBCI Chip geradezu "narrensicher" - jedenfalls solange die Star Finanz und Kaspersky Labs es schaffen gefährliche Trojaner von der Banking Anwendung fernzuhalten.
Das all diese Komponenten (StarMoney,Klasse 3 Leser,Sicherheitssoftware)
Geld kosten finde ich in diesem Rahmen OK.
Beim Autofahren zahlt man ja auch für Airbag und teure Sicherheitselektronik um selbst kritische Situationen unbeschadet zu überstehen.
Es grüßt kragenbär
Gewählte Zitate für Mehrfachzitierung: 0