Aktuelle Sicherheitswarnung

C_Punkt · 21. Oktober 2004 um 00:26

Hallo,

derzeit geht ein Trojaner um, der bei der Eingabe von TAN beim Online-Banking diese Daten abfängt. Die Folge können ungewollte Überweisungen erheblichen Umfangs nach Osteuropa sein.

Sobald beim Online-Banking Unstimmigkeiten auftreten, wie z.B. fehlerhafte Seitenaufrufe, fehlende BestätigungsTAN oder Zugangsbeschränkungen sollte unmittelbar die jeweilige Bank kontaktiert und das Konto gesperrt werden.

Im Normalfall gibt es keine Chance, eine derartige Überweisung zurückzuholen. Im Bekannten- und Kundenkreis gab es nennenswerte Fälle. Der Schaden belief sich jeweils auf einen krummen Betrag jenseits der 5000 Euro.

Einzelheiten gern per Rückfrage.

Gruß,
Christian

fds_kmsbgihoihopijh_ce1987 · 21. Oktober 2004 um 08:11

Hi, wie heisst denn der Trojaner? Wird er von den gängigen Scannern erkannt?

A.

Patrick1_0_fd3534 · 21. Oktober 2004 um 09:41

Der koennte gemeint sein:

http://www.heise.de/newsticker/meldung/50793

„…dazu nutzen sie Schwachstellen im Internet Explorer. Die
Zeitschrift Internet World berichtet in einer Mitteilung von
einem Fall, in dem der Trojaner TR/small.az3 (alias Bizex-E)
beim Versuch einer Online-Überweisung eines Dresdner-Bank-Kundens
die PIN- und TAN-Eingabe weiterleitete…“

Ist aber auch schon wieder einen Monat alt.

Gruss, Patrick

Stefan_Dewald_34b81b · 21. Oktober 2004 um 09:48

Info dazu
http://www.postbank.de/sicherheitshinweis/

C_Punkt · 21. Oktober 2004 um 16:52

Hi, wie heisst denn der Trojaner? Wird er von den gängigen
Scannern erkannt?

Nach dem, was mir bekannt ist, ja. Den Namen habe ich leider nicht parat, was daran liegt, daß Menschen zwar in der Lage sind, die Anwesenheit eines Problems zu beschreiben, auf das Aufschreiben von PC-Meldungen und ähnlichem aber konsequent verzichten.

Gruß,
Christian

Anonym_7874b15a7aee · 21. Oktober 2004 um 18:03

Tach,

Im Normalfall gibt es keine Chance, eine derartige Überweisung
zurückzuholen.

Typisch Bank, ich biete dem Kunden eine unsichere Lösung an und lassen ihn dann noch allein die Risiken tragen. Wie sagte Brecht so schön: " Bankraub: eine Initiative von Dilettanten. Wahre Profis gründen
eine Bank."

Einzelheiten gern per Rückfrage.

Wie sicher ist HBCI eigentlich? Hast du da Infos aus erster Hand?

Gruss Jan

C_Punkt · 21. Oktober 2004 um 23:49

Hi,

Im Normalfall gibt es keine Chance, eine derartige Überweisung
zurückzuholen.

Typisch Bank, ich biete dem Kunden eine unsichere Lösung an

wieso unsichere Lösung? Wenn der Kunde so dämlich ist, daß er Dinge wie fehlende Bestätigungstan, Virenscanner etc. ignoriert, kann die Bank nix dafür.

und lassen ihn dann noch allein die Risiken tragen.

Überweisungsrückruf ist schon in Deutschland praktisch nicht möglich. FAQ:504

Einzelheiten gern per Rückfrage.

Wie sicher ist HBCI eigentlich? Hast du da Infos aus erster
Hand?

In der Hand von Stümpern wahrscheinlich auch nicht sicherer als alles andere, aber das ist nur eine Vermutung. Von Berufs wegen habe ich mit der Thematik nichts zu tun.

Gruß,
Christian

Livia_0cd89a · 22. Oktober 2004 um 08:59

derzeit geht ein Trojaner um, der bei der Eingabe von TAN beim
Online-Banking diese Daten abfängt. Die Folge können
ungewollte Überweisungen erheblichen Umfangs nach Osteuropa
sein.

Ähm, verwendet ihr immer denselben TAN? Ich krieg von meiner Bank eine TAN-Liste und jeder TAN kann nur ein einziges Mal verwendet werden. Da können die abfangen so viel sie wollen, es wird ihnen nix nutzen.

Livia

Joshua · 22. Oktober 2004 um 09:40

Moin allerseits.

Ähm, verwendet ihr immer denselben TAN? Ich krieg von meiner
Bank eine TAN-Liste und jeder TAN kann nur ein einziges Mal
verwendet werden. Da können die abfangen so viel sie wollen,
es wird ihnen nix nutzen.

Livia

TANs kann man nur einmal verwenden. Wenn du die Tan eingegeben hast, und die Überweisung an die Bank sendest, fängt der Trojaner diese Übertragung ab und zeigt dir eine Fehlermeldung an. Die Verbindung zur Bank wird getrennt und Pin und TAN an den bösen Kontenabräumer gesendet. Der hat dann eine Tan und deine Pin, und das reicht normalerweise um das Konto abzuräumen!

Grüße

Joshua

Uwe_Graudegus · 22. Oktober 2004 um 18:50

Hi.

Typisch Bank, ich biete dem Kunden eine unsichere Lösung an
und lassen ihn dann noch allein die Risiken tragen. Wie sagte
Brecht so schön: " Bankraub: eine Initiative von Dilettanten.
Wahre Profis gründen

Sorry, aber die Bemerkung ist nicht wirklich hilfreich.
Sollen jetzt Autohersteller darauf hinweisen, dass man mit den Teilen jemand umfahren kann, PVC-Bodenhersteller auf die Gefahren statischer Ladung und Besteckhersteller auf die Gefahr von Brotmessern?

Es wird niemals ein 100% sicheres Verfahren für irgendeine menschliche Tätigkeit geben, Unsicherheiten im Promillebereich sind möglich, theoretisch könnte ich z.B. die gleiche PIN an meiner Bankkarte haben wie Du, und mit Deiner Karte Geld bekommen, aber die Chance bei 10000 verschiedenen Kombinationen in 3 VErsuchen die richtige zu raten ist gering genug, dass der Gesetzgeber bisher davon ausgeht, dass das System ausreichend sicher ist.

Wem Internetbanking nicht geheuer ist, muss es doch nicht machen, wer aber ins Internet geht, sollte um die Gefahren wissen und sich bei den Jungs von Symantec, McAffee und wie sie alle heissen mit entsprechendem Schutz ausstatten.

Das Verfahren ist in der Tat mehr als ausreichend sicher, den Trojaner wird sich keiner einfangen, der über aktuelle Virensoftware und die entsprechenden Virendefinitionen verfügt, Du kannst also beruhigt sein.

Uwe

Anonym_7874b15a7aee · 22. Oktober 2004 um 19:33

Hi,

Es wird niemals ein 100% sicheres Verfahren für irgendeine
menschliche Tätigkeit geben, Unsicherheiten im Promillebereich
sind möglich, theoretisch könnte ich z.B. die gleiche PIN an
meiner Bankkarte haben wie Du, und mit Deiner Karte Geld
bekommen, aber die Chance bei 10000 verschiedenen
Kombinationen in 3 VErsuchen die richtige zu raten ist gering
genug, dass der Gesetzgeber bisher davon ausgeht, dass das
System ausreichend sicher ist.

Das Pin System ist schon seit Jahren unsicher, ok es wurden nach langen hin und her wenigstens die gröbsten Fehler behoben. Die Pin wurde früher mit Hexzahlen ermittelt
0 wurde zur 1
1-9 blieben wie sie waren
10 wurde zur 1
11 wurde zur 1
12 bis 15 wurde eben immer -10 gerechnet
Das ist erst seit ein paar Jahren endlich anders.

Die Banken stellen sich aber hin und sagen, pahh das System ist sicher x Tausend Möglichkeiten gibt es. Wer seine EC Karte verliert und es wird Geld abgehoben - der _muss_ seine Pin auf der Karte notiert haben oder irgendwo anderes für den Dieb erreichbar. Folge die Bank zahlt nicht für Schäden. Es wurden in D aber schon genug Geldautomaten gestohlen und mit dennen kann man, wenn genug Know How da ist einiges anfangen. Der http://www.CCC.de hat sich mit dem Thema schon öfters auseinander gesetzt. http://www.ccc.de/updates/2004/eckarten Aber das hat mit Online Banking nichts zu tun.

Wem Internetbanking nicht geheuer ist, muss es doch nicht
machen, wer aber ins Internet geht, sollte um die Gefahren
wissen und sich bei den Jungs von Symantec, McAffee und wie
sie alle heissen mit entsprechendem Schutz ausstatten.

das ist Unsinn, solange der Virus/Trojaner nicht bekannt ist gibt es auch kein Gegenmittel. Symantec etc. kann auch nicht zaubern, 2-3 Tage kannst du schon rechnen bis der Virus in der Datenbank ist.

Das Verfahren ist in der Tat mehr als ausreichend sicher, den
Trojaner wird sich keiner einfangen, der über aktuelle
Virensoftware und die entsprechenden Virendefinitionen
verfügt, Du kannst also beruhigt sein.

Nein kann ich nicht, deiner Logik nach dürfte ich mir auch keine Virusgrippen einfangen können wenn ich geimpft bin. Dumm nur das in der Spritze der Virus vom letzten Jahr war und jetzt ein neuer umgeht.

Was ich vermisse sind klare Hinweise der Banken für die Benutzer. Gibt doch genug hochbezahlte Leute da, einen Flyer erstellen mit Informationen wie man den Computer sicher machen kann und an alle Online Banking User verschicken wäre eine Idee - oder eine Knoppix CD die für Online Banking optimiert ist. Warum gehen die Banken nicht an die Medien? Wie ich falsche Geldscheine erkenne wird mir erklärt, das es gefälschte Online Banking Seiten gibt wird öffentlich nicht so bekannt gemacht - naja bei der Volksbank gibts einen klitzekleinen Hinweis.

Die Pin beim Onlinebanking ist ein Witz, 5 Zeichen alles Zahlen. Ein sicheres Passwort hat deutlich mehr Zeichen und besteht aus Zahlen, Buchstaben(Gross/Kleinschreibung) und Sonderzeichen. Sag mir mal einen vernüftigen Grund warum die Banken nicht fähig sind da was zu ändern? Brauchen sie ja nicht, das Risiko trägt der Kunde.

Gruss Jan