eines der vielen Tipps zur online-banking + Sicherheit ist ja, dass man auf der Webseite der Bank immer nach „https“ und den „Schloss“ achten muss. Wenn das der Fall ist, dann kann man davon ausgehen, dass man auf der richtigen sicheren Seite landet.
Da frage ich mich: Die Kriminellen können doch auch sowas programmieren und durch Umleitung auf ihrem Server auch mit „https“ anzeigen/simulieren, oder ?
Wie darf ich das zu verstehen ? Oder ist das so, dass die Bank bei einem Institut Ihren Webserver „anmelden“ muss, damit sie dieses Zertifikat erhält, also „HTTPS“ ? (Die Kriminellen wagen natürlich nicht ihren gefakten Server dort anzumelden). Das ist nur eine Vermutung von mir, ob das stimmt ?
Kann jemand etwas dazu äussern bzw. mich aufklären ?
HTTPS dient einzig und allein der Verschlüsselung zwischen dem Server und deinem Browser. So sind die Daten, die du übersendest, nicht im Klartext lesbar für denjenigen, der Zugang zum Netz hat.
Sicher bist du nicht bei HTTPS. Sicher bist du NIE, noch nicht einmal, wenn du persönlich dein Geld zum Empfänger bringst…
HTTPS Server können von jedem eingerichtet werden. Es gibt zwar Voraussetzungen, aber keine, die ein Krimineller nicht umgehen bzw. einrichten könnte.
Voraussetzungen für HTTPS Server:
Software (Bsp. OpenSSL - kann jeder herunterladen)
Digitales Zertifikat. Hier werden die Adressdaten geprüft! Es gibt aber auch die Möglichkeit selber Zertifikate zu erstellen, die dann aber manuell bestätigt werden müssen. Hier kann es leicht zum Janusangriff kommen.
Ich bin kein Hacker und kann dir deshalb die Frage nicht wirklich beantworten. Aber normalerweise kann nichts passieren, wenn man die Seite selber eingibt bzw. seinen eigenen Link aus den Favouriten nimmt. Das Problem des Phishing entsteht (glaube ich zumindest) nur, wenn man Links anklickt, die ganz normal aussehen (z. B.: www.postbank.de) aber nicht dahin verweisen, sondern auf eine Hacker-Seite, die genauso aussieht. Gibt man die Seite selber ein, kann eigentlich nichts passieren.
Also niemals einen Link per Email klicken, der auf eine Banking-Homepage verweist. Und vielleicht einen Phishing-Filter benutzen. Der InternetExplorer7 bietet sowas an. Gibts das bei Firefox auch?
Außerdem sollte man das Überweisungslimit für OnlineBanking möglichst gering auswählen, so dass man bei einem Hacker „nur“ bspw. 200,-EUR verliert als wenn nachher 2000,-EUR weg sind.
Noch etwas zur Sicherheit:
Möglichst verwirrende Kennwörter benutzen. Wenn möglich mit Sonderzeichen (!"§$%&/#*.), Zahlen, Klein- und Großschreibung und möglichst sinnlos
AntiSpy Programme wie z. B. SpyBot
kein WLAN oder nur gesichert mit WPA2
Wenn TAN eingegeben und du dir 100%ig sicher bist, dass die richtig war, aber als falsch angezeigt wird: sofort der Bank bescheid sagen. Kann Trojaner sein, der die TAN abgefangen hat. Der Angreifer kann damit zumindest eine Überweisung an sich tätigen.
Es gibt Banken die mit Dongles arbeiten. Die Variante ist zusätzlich zu einem Kennwort noch sicherer!
Wenn etwas komisch erscheint (z. B. verrutschtes Firmenlogo der Bank, etc.) lieber bis zum nächsten Tag warten oder Email an die Bank schreiben, ob das zur Zeit ein fehler von denen ist oder Cache/Tmp löschen und die Homepage erneut eingeben.
Also ich nutze auch Online Banking. Bei der Bank habe ich aber nur immer etwas Geld drauf und nicht mein richtiges Konto. So ist es zwar super ärgerlich, wenn mich jemand hackt und das Geld klaut, jedoch kann ich überleben, da er nicht alles von mir hat und der Monat ist gesichert *grins*… Ist die einzige Möglichkeit, wie ich OnlineBanking nutze und ruhig schlafen kann.
Ich hebe ja auch nicht mein ganzes Geld vom Konto ab, stecke es in die Hosentasche und gehe jeden Tag damit spazieren. Viel zu gefährlich heutzutage.
Hoffe das hat dir etwas geholfen. Es gibt zwar auch viele in meinem Bekanntenkreis, die das nicht so eng sehen und bis jetzt ist ja auch noch nichts passiert. Was ist aber, wenn mal was passiert???
Zu https: jede https-Verbindung erfolgt über ein Zertifikat. Der öffentliche Schlüssel in diesem Zertifikat muss mit dem Schlüssel der Bank übereinstimmen. Das kann man i.d.R. bei der Bank abfragen. Die Schlüssel sind eindeutig und ein Hacker kann die nicht fälschen.
Wenn sich einer zwischen dich und die Bank schaltet kommt eine Meldung im Sinne: „das Zertifikat hat sich geändert, trauen sie diesem neuen Zertifikat?“. Wer da einfachso Ja klickt hat schon verloren. Name, Firma, Adresse,… kann alles frei erfunden sein. Nur der öffentliche Schlüssel ist nicht einfachso nachbaubar. Nur der und die Zertifizierungsstelle zählen wirklich.
Aber i.d.R. wenn ich mir den Domain selber eingebe, z.B. www.citibank.de , dann gelange ich schon auf die richtige
Seite, oder ?
Nein. Es laufen genug gehackte DNS-Server und Viren rum die ins DNS-System eingreifen. Da kann dein Rechner so sicher sein wie er will, wenn es jemand schafft ins DNS-System einzugreifen (z.B. in den DNS-Server in deinem Router oder einen der DNS-Server deines ISP) kann er dich auf jede beliebige Seite schicken.
Wenn der Fall eintritt kommt aber wieder die Zertifikat-Meldung von oben. Man hat also eine Chance es zu bemerken. Aber eben nur eine.
Was ist denn, wenn man sich das 1. Mal einloggt? Dann kommt ja keine Meldung, dass sich das Zertifikat geändert hat, da man ja das erste Mal versucht sich einzuloggen, oder?
Der Browser erkennt das Zertifikat nicht und fragt halt nach. Der Dialog fragt nach „diesem Zertifikat vertrauen/annehmen“. Und auch da ist der öffentliche Schlüssel wichtig.
neben dem bisher besagtem sollte man aber auch andere Aspekte nicht ausser acht lassen.
Ich habe gerade letzte Woche einen PC von einem Bekannten mit einem Trojaner gehabt. Aufgefallen ist ihm das nur, weil das Online-Banking nicht mehr funktionierte und ebay ihn ausgesperrt hat.
Er hat doch tatsächlich auf diesen Anhang der gefakten Pay-Pal Rechnung geklickt http://www.postbank.de/privatkunden/pk_gefaelschte_p…
Dagegen hilft nun garnichts. Also die besten Sicherheitseinrichtungen greifen nicht wenn der Schädling vom User quasi eine Einladung bekam.
Ich habe mir mal Eure Antworten zu dem Thema durchgelesen und ich vermisse den konkreten Ansatz helfend „Seinen“ Computer abzusichern.
Punkt 1: Welcher Computer/Performance etc.
Punkt 2: Router ? Hardware Firewall inkl. ? eingerichtet ? Passwortgesichert ?
Punkt 3: Welche Sicherheitsmaßnahmen sind auf dem Pc durchgeführt ?
Punkt 4: Browsersicherheit - von Java bis Flashplayer von "welcher Browser bis hin zu den Plug-ins wie Skript-Blocker.
Punkt 5:Bietet die Bank die Möglichkeit am HBCI Verfahren teilzunehmen
und welche Software ? Es ist bereits die 2.Generation der Geräte aktuell. >http://de.wikipedia.org/wiki/HBCI
Punkt 6: Falls über den Browser Kontakt aufgenommen werden muß,
bitte über Online Armor, die einzige Firewall mit Homebanking-Mode
nachlesen, sowie über die zwei-Browser-Variante/sprich Opera wird
als „NUR-Browser“ mit eingegebener Startseite deiner Bank - verwendet,
nur diese Adresse ! , sonst benutzt du für alles Andere zb.FireFox. mit NoScript Blocker, bitte.
Das Konstruktum PC-Sicherheit umfasst alle Bereiche und nicht bloß den Viren und Spywareschutz.
Als letztes noch nutze das Bordmittel unter XP-die Bildschirm-Tastatur,
diese ist richtig benutzt, nämlich immer wieder verschoben vor jeder Eingabe ein richtiger Hackerschreck.
Außerdem mal den Security-Task-Manager anschauen, dieser kann in der Kaufvariante etliche Keylocker und Makro-Maus Aktivitäten verschleiern.
So bei weiteren und ausführlicheren Tips bitte über meine PN.
[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]
