Wer ist schuld, wenn jemand dein Konto phisht?

Dieses Thema im Forum "PC" wurde erstellt von Moogulator, 9. September 2006.

  1. Moogulator

    Moogulator Admin

  2. EinTon

    EinTon Tach

    Aber auch mal den Text ordentlich durchlesen, bevor man gleich lospolemisiert <img src="{SMILIES_PATH}/polizei.gif" alt=":polizei:" title="Forumspolizei? sing "blaulicht", yeah!" /> - die Überschrift ist irreführend:

    Du musst dann zurückzahlen, wenn Du Dein Konto für Überweisungen aus Phishingattacken zur Verfügung stellst, dh wenn Du erlaubst, dass zuvor per Phishing illegal erworbenes Geld dann auf Deinem Konto "geparkt" wird, Du also mit den Phishern zusammenarbeitest - nicht wenn Du Opfer bist und von Deinem Konto per Phishing etwas abgezogen wird!!
     
  3. haesslich

    haesslich Tach

    ja, die frau in dem heise artikel hat 33000 euro auf ihrem konto "gefunden", die durch phishing rangeschafft worden sind, das geld abgehoben und irgendwo losgeworden.
    verständlich, dass die das zurückzahlen soll, oder? ;-)
     
  4. Moogulator

    Moogulator Admin

    ja, nur eins: PINS und co sind ja einfach nicht sehr sicher..
    und die banken neigen schon dazu, die beweislast umzudrehen, ich mache das gerne mal auf diese weise.. so muss man sich bescchäftigen, ich finds gut ,das du mitliest.. aber ich finde , man sieht in welche richtung das geht..
     
  5. Kaneda

    Kaneda Tach

    Was ist denn am PIN/TAN Konzept konkret unsicher ?
     
  6. Moogulator

    Moogulator Admin

    nun, ich finde es nicht so wirklich endlos sicher, die karten kann man mit einem normalen lesegerät auslesen und verändern und 4 nummern sind auch nicht der inbegriff von unknackbarkeit..

    siehe CCC und Computerclub, die haben auch einen Podcast, kostnix..
     
  7. EinTon

    EinTon Tach

    PINs fürs Onlinebanking sind idR aber nicht mit den Geheimzahlen für EC- oder Kreditkarten identisch und TANs bestehen nicht immer aus nur 4 Ziffern...
     
  8. Moogulator

    Moogulator Admin

    nein, und sie rotieren auch.. aber unknackbar ist nix, und schon garnicht so kurze nummern.. warum man sein pw am automaten nicht frei bestimmen kann und ändern kann oder auch online mit anderen systemen arbeitet als dem pin und tan rotationssystem?..
     
  9. zid

    zid Tach

    also bei meiner hausbank kann ich die PIN am Geldautomaten jederzeit auf ne eigene Wunsch PIN ändern. Ist aber nach wie vor 4 stellig. Ausserhalb von D gibt es wohl in manchen Ländern auch 6 stellige PINs.

    TANs sind 6 stellig. Und ich geb dir recht, nichts ist unhackbar. Mir ist aber kein Fall bekannt wo die TANs durch Hacking in ein Banksystem oder "Selbstgenerierung" erbeutet/erstellt wurden. Das war meines Wissens bisher immer durch Phishing. Und was hilft dir ein sicheres System wenn du als Anwender nicht sicher mit den Daten umgehst? (Stichwort: deine PIN auf die Karte schreiben oder auf ein Stück Papier, damit du sie nicht vergisst)

    Es gibt auch sicherere Systeme z.B. HBCI. Aber die Kosten dafür will keiner Zahlen, weder Bank noch Kunde. Also bleibt man beim Bewährten...
     
  10. Wesyndiv

    Wesyndiv Tach

    Die Diskussion über unsichere Nummern auf EC und der Umgang an Bankautomaten, ist ja schon älter. Darum gehts ja auch nicht so sehr über die Knackbarkeit. Es reicht ja schon der alte Mitlesetrick(direkt daneben, oder Fernglas) in Verbindung mit Taschendiebstahl. Auch recht populär war das Anbringen von Lesegeräten und Kamera direkt am Automaten.

    In diesen Fällen, so darf man Moogulators Meinung auslegen, neigte die Bank dazu, dem Kunden einen unsachgemäßen Umgang mit seinen empfindlichen Daten zu unterstellen.

    Ich weiß allerdings nicht wie es mittlerweil aussieht. Es ist schon einige Zeit her, das sich die Banken wehrten diese Kriminalität als Grund für Kontoplünderungen zu akzeptieren. Durch entsprechenen Berichte im Fernsehen dürfte das aber passé sein.

    Heute hat man die Sorgen, das selbt ein normales Geschäft unwissend an einem Betrug teilnimmt, wenn ihm manipulierte EC-Karten-Lesegeräte für Electronic-Cash untergejubelt werden.

    Böse Welt da draussen ;-)

    Schönen Gruß
    Wesyndiv
     
  11. Moogulator

    Moogulator Admin

    Ja, denke du hast meine Intention ganz gut mitverstanden..
    Klar, abdecken geht.. aber es gab schon krasse Sachen..

    auch, wenn ich selber auch alles "mitmache", die Computerclub Wolfgangs geben ihre Karte wirklich zurück .. quasi aus ideellen/"politischen" Gründen, nicht ganz zu unrecht..
     
  12. HSP

    HSP Tach

    Ich habe bei diesem Beitrag auch Bauchschmerzen bekommen, aber mal ehrlich immer an den Bankschalter für Bares? Bei den Banköffnungszeiten hat man doch nur als Rentner dafür Zeit, oder wie lauten da die Alternativen?!?

    Gruß...HSP
     
  13. Moogulator

    Moogulator Admin

    banken saugen, wir sind sooo abhängig von denen und bis auf die postbank haben alle zu, wenn normal arbeitende eben arbeiten..

    und nehmen sogar geld dafür!! ansich können sie ja spekulieren und co, schon seltsam..
     
  14. HSP

    HSP Tach


    Bei der Sparkasse nutze ich zur Zeit das iTAN Verfahren. Die TAN Nummern sind durchnummeriert und die Bank bestimmt welche eingegeben werden soll. Die TAN ist dann 15 Minuten gültig und verfällt danach. Wenn der Vorgang abgebrochen wird ist die TAN danach auch ungültig. Ich kann mir nicht Vorstellen wie da eine TAN abgefangen werden soll

    Gruß...HSP
     
  15. Moogulator

    Moogulator Admin

    klar, das haben mittlerweile viele so..
    Aber selbst mit "Brute Force" Methoden kann man im Netz ja immer wieder was losschicken..

    aber es ist natürlich ein Schritt besser als vorher..
    Ist wie der Kopierschutz von JetSet Willy ;-) Da gabs auch sone Tabelle und man musste dann einen dieser Dinger eintippen.. per Zufallsprinzip..
     
  16. Anonymous

    Anonymous Guest

    Wieviele TANs stehen auf deinem Bogen? (Bei mir 75)
    Wieviele davon könnte man in einer Sitzung unaufällig abgreifen (ca. 3)
    Damit hat man bei jedem 25. Versuch einen Treffer.
     
  17. haesslich

    haesslich Tach

    ja, unter der bedingung, dass die gefishten tans auch sofort benutzt werden. bevor sie verfallen und bevor du sie benutzt.
     
  18. Anonymous

    Anonymous Guest

    Nö, Man-in-the-middle Atacke: Kunde *glaubt nur* er hätte eine Verbindung zum Bank-Server. Damit gibt der Kunde dem Angreifer drei beliebige TANs, mit denen der dann beim echten Bank-Server probieren kann.
     
  19. haesslich

    haesslich Tach

    achsooo
    ja das geht natürlich, und führt bei entsprechender wiederholung auch irgendwann zum erfolg.
     
  20. EinTon

    EinTon Tach

    Wieso "irgendwann"?

    Wenn Du Die TANs erstmal hast (einschließlich der PIN, natürlich) führt das doch per se zum Erfolg!
     
  21. haesslich

    haesslich Tach

    nein, beim iTan verfahren ja nicht, da wird ja nach einer bestimmten tan für einen bestimmten transaktionszeitraum gefragt.
    wenn du jetzt dem kunden vorgaukelst, auf einer bankseite zu sein, und forderst eine tan nummer von ihm, und er tippt sie ein, dann heißt das ja noch lange nicht, dass du auch eine bekommst, die die bank anfordert, wenn du dich einloggst um sein konto leer zu räumen ;-)
     
  22. Kaneda

    Kaneda Tach

    Nachdem das Todschlagargument "nichts ist unknackbar" gebracht wurde sind ja alle weiteren Argumente eh hinfällig.

    Sicherlich, aus diesem Blickwinkel betrachtet möchte man eine Absicherung gegenüber der Bank, das dieselbige für alles aufkommt was mit meinen Transaktionen geschieht (unabhängig davon ob ich mit meinen PIN/TANs auch richtig umgehe).....

    ....da aber auch mein Auto nicht unknackbar ist, müsste ich das aber auch von meinem Autohersteller/Lieferanten erwarten....

    ... da meine Wohnung auch nicht 100% Einbruchssicher ist, müsste ich auch von meinem Vermieter erwarten das er für alles aufkommt, im Falle eines Einbruchs....

    Ist denn der Kunde wirklich für gar nichts verantwortlich ?
     
  23. marv42dp

    marv42dp bin angekommen

    Wenn Dich jemand dazu bringt statt Deiner Bankseite eine speziell präparierte Seite aufzurufen (sogenanntes Phishing), dann hat er Deine PIN und eine unbenutzte TAN. Damit kann er eine Überweisung machen.
    iTan ist da schon etwas sicherer, aber man muß eigentlich nur die Phishing-Methode ändern.

    Bruteforce ist im PIN/TAN-Verfahren grundsätzlich kein erfolgreicher Angriffsvektor, da nach drei fehlerhaften TAN-Eingabgen das Konto für Onlinebanking gesperrt wird.
     

Diese Seite empfehlen