Frage an Bankexperten - Wie geht sowas?

Registrierte und angemeldete Benutzer sehen den BMW-Treff ohne Werbung
Hier registrieren oder anmelden!
Auch aufgrund massiver Botzugriffe limitieren wir eventuell die Anzahl der eingeblendeten Beiträge für Gäste.

    Hi,

    gestern abend meldet sich ein Arbeitskollege ganz aufgeregt. Er hat im Online-Banking festgestellt, von seinem Konto wurde eine "EU-Überweisung" getätigt im 4-stelligen Bereich. OK, klingt nach Hacking oder sowas, aber jetzt gehts erst los:

    Als TAN ist in seinem Banking eine TAN aufgeführt, die er um den 20.April verbraucht hat, und die auch so im Banking bei der Buchung vom 20.4. auftaucht.
    Buchungsdatum der "gehackten" Überweisung ist der 14.5.2007
    Heut war er bei der Bank, und folgendes wurde festgestellt: Die EU-Überweisung taucht bei denen mit einer anderen TAN (die er auch auf seiner Liste hat, aber noch nicht verbraucht hat) auf, und mit Buchungsdatum 20.4.2007 :eek:

    Da auch die Banker noch keine Erklärung hatten frag ich mal hier.

    Wie kann es sein, dass er auf seinem rechner im Onlinebanking falsche Daten angezeigt bekommt? Er benutzt keinen Link sondern geht immer über die Hauptseite der Bank rein.
    Wie kann eine TAN seiner Liste verbraucht werden, die er selbst noch nicht verbraucht und nirgends eingegeben hat. Die Bank benutzt das iTAN-Verfahren, also müsste der hacker ja die komplette Liste vor sich liegen haben?!
    Er kennt sich recht gut im Netz und alles aus, hat auch keine Anhänge benutzt, wo er evtl. seine Angaben auf einer falschen Seit eingegeben hätte. OK, Keylogger is möglich (ein Virenscan hat auch was gefunden), aber dann bleibt ja immer noch die Sache mit der TAN und der gefälschten Bank-Homepage.

    Jetzt kann er erstmal hoffen, dass er schnell sein Geld wiederbekommt. Polizei ist informiert, evtl. wird sein Rechner auch mal noch zu Untersuchungszwecken benötigt.

    Also klärt uns auf, wo existiert da eine Sicherheitslücke???

    Gruss, Jürgen

    EDIT: Die von ihm getätigte Überweisung hat seinen Empfänger auch erreicht.

    Fragen gehören NICHT in mein Postfach, sondern sollten im Forum gestellt werden! Dann hat jeder was davon.
    ----------------
    530i. Aus Freude am Fahren...

    Hmm, sehr komische Geschichte. Die Frage ist jetzt, wie schaut sein Online-Konto auf nem anderen PC aus? Taucht dort die gehackte Überweisung am 14.05. (falsch) oder am 20.04. (richtig) auf? Vermute eher, dass das Problem bei der Bank liegt, dass dort irgendwas gehackt wurde.

    Tauchen andere Überweisungen / Abbuchungen auf seinem Konto richtig auf oder ist dort seit 20.04. Stillstand?

    Nene, lag sicher an seinem PC. Bei der Bank und in den Auszügen taucht es mit Datum vom 20.4. auf. Auch danach sind noch Daueraufträge und Auszahlungen ganz regulär aufgeführt, also stimmt es soweit schon. Lag also nur an der Anzeige in seinem PC. Lässt sich jetzt aber auch nicht prüfen, da die Bank gleich mal vorsorglich den Home-Banking-Zugang deaktiviert hat, bevor noch Schlimmeres passiert.

    Wobei, das mit der Anzeige könnte ich mir ja noch erklären, dass dem PC irgendwie ne Umleitung auf ne nachgemachte gefakte Seite untergejubelt wurde. Aber wie zum Henker kommen der/die Hacker an seine TAN-Liste. Denn es wird ja bei der gehackten Überweisung auf dem Auszug eine TAN angezeigt, die auf seiner Liste steht und noch nicht von ihm verwendet wurde. Also nicht die, die er auf seinem PC mit Datum 14.5. gesehen und selbst aber schon für was anderes am 20.4. verbraucht hat, sondern eine unverbrauchte. Bei iTAN wird ja immer nach einer ganz bestimmten TAN gefragt, mit Brute Force oder so kommt man ja da net weit. Oder lässt sich sowas irgendwie berechnen??? Denn online gestellt hat er seine Liste ganz sicher net. :D

    Bank gehackt hätte ich auch gesagt, aber er ist der soweit ich weiss der einzige, der gerade betroffen ist.
    Komisch das Ganze...

    Gruss

    Fragen gehören NICHT in mein Postfach, sondern sollten im Forum gestellt werden! Dann hat jeder was davon.
    ----------------
    530i. Aus Freude am Fahren...

    moin,


    bei welcher bank geht denn das?

    ich bin bei mittlerweile 5 banken mit 'nem olinekonto dabei, aber auf den hardcopy kontoauszügen steht keine tan ... :confused:


    so long,

    the.daywalker | Öl | $ | Keep The Streets Empty For Me

    "What we are dealing with here is a total lack of respect for the law!" - The Prodigy | "Zwei Dinge sind unendlich, das Universum und die menschliche Dummheit, aber beim Universum bin ich mir nicht ganz sicher." - Albert Einstein (1879-1955)

    Zitat

    Original geschrieben von the.daywalker
    ...auf den hardcopy kontoauszügen steht keine tan ... :confused:


    so long,

    Ist mir auch nur so bekannt. Bestenfalls wird auf der Website der Kasse/Bank die letzte verbrauchte TAN angezeigt.

    Dieses Problem wie von Jürgen beschrieben höre ich aber auch zum erstenmal.
    Ich beschwöre das gute alte BTX herauf. Da war so etwas nicht möglich.

    Wenn's nicht rußt, hat's keine Leistung.

    Ich fahr Benziner. Ist halt günstiger und riecht besser...

    Ich weis zumindest von der Sparkasse, daß da die verwendete TAN im Verwendungszweck auftauchte. In der zweiten Zeile, die man im Banking Programm normalerweise nicht sieht (nur durch extra aufklappen).
    Keine Ahnung, ob das immernoch so ist.

    Ich kann auch ohne Alkohol Spass haben!
    Aber sicher ist sicher. ;)

    Also bei mir bei der Sparkasse steht die verwendete TAN im Verwendungszweck bei meinen Auszügen immer (noch?) drin. Wohlgemerkt, in meinen Auszügen, sie kommt aber nicht im Verwendungszweck beim E,pfänger an!
    Mein Kollege ist bei der Volksbank und da isses wohl auch so.
    Finde ich an sich auch kein Problem dabei. Erstens sieht ausser mir niemand die Auszüge und zweitens is die TAN ja dann eh schon verbraucht und nützt niemand mehr was. Es sei denn, es liesse sich anhand ein paar TANS doch irgendwie die gesamte TAN-Liste errechnen? :scared: Das würde bei meinem Kumpel dann wohl schnell alles erklären.
    Aber glauben tu ich das mal nicht, würde ja wohl das sofortige Ende des Online-Bankings bedeuten.

    Etwas OT: Da gibts doch mittlerweile anstatt dem TAN-Verfahren auch die Möglichkeit, sowas mit so nem Gerät (Kartenleser) und evtl. sogar extra Software (Starmoney?) zu machen. Ist das dann sicherer, oder gibts da auch Schlupflöcher und Lücken?

    BTW, BTX das waren noch Zeiten...... :)

    Gruss

    Fragen gehören NICHT in mein Postfach, sondern sollten im Forum gestellt werden! Dann hat jeder was davon.
    ----------------
    530i. Aus Freude am Fahren...

    Zitat

    Original geschrieben von Jürgen


    BTW, BTX das waren noch Zeiten...... :)

    Gruss


    ..... und bei mir erst, wenn ich meinen Überweisungsträger persönlich bei der Sparkasse abgebe ...... :D

    Copdland

    Zitat

    Original geschrieben von Jürgen
    Etwas OT: Da gibts doch mittlerweile anstatt dem TAN-Verfahren auch die Möglichkeit, sowas mit so nem Gerät (Kartenleser) und evtl. sogar extra Software (Starmoney?) zu machen. Ist das dann sicherer, oder gibts da auch Schlupflöcher und Lücken?

    Da meinst Du vermutlich HBCI.
    Details dazu findest Du hier: http://de.wikipedia.org/wiki/HBCI

    Bei uns haben letztens irgendwelche Nichtsnutze mal eine Menge Überweisungsbriefkästen geklaut und Überweisungen gefälscht und umgeleitet. Wurde aber schnell reagiert, gab angeblich keinen Schaden.
    Wie die auf die TAN kommen ist mir auch schleierhaft. Vielleicht den Brief abgefangen und irgendwie gelesen ?

    Grüße, Thomas.

    Wir sind jung, weiß und ledig. Also!
    Userpage

    HBCI ist ein Protokoll und ist unabhängig von der Implementierungsart, sprich es gibt/gab auch Lösungen ohne Chip (SW-basiert).

    Generell ist Chip das sicherste, es handelt sich dabei um Verfahren mit hybriden Verschlüsselungsverfahren, Chip enthält einen privaten Key und die Gegenseite hat den öffentlichen in nem Zertifikat.

    Leider hat sich das bis heute nicht durchgesetzt, da nicht überall ein Kartenleser steht. TAN und iTAN ist more convenient;)

    Von öffentlich gewordenen Probs der oben beschriebenen Art habe ich nie gehört, die Banken sind in solchen Fällen sehr generös, wenn Schäden entstehen.

    Ja, das HBCI mit Chip war wohl das, was ich meine. Mal bei meiner Bank nachfragen. Schliesslich benutze ich momentan auch noch iTAN, dachte immer, dass das sicher sein muss, solange keiner meine Liste mit den TANs sieht. Das dem nicht so ist, steht ja in meinem ersten Beitrag. Wobei ich echt gepsannt bin, wie es ausgeht. Vieleicht erfährt mein Kollege ja dann, wie der / die Hacker zu der TAN gelangt ist.

    Gruss

    Fragen gehören NICHT in mein Postfach, sondern sollten im Forum gestellt werden! Dann hat jeder was davon.
    ----------------
    530i. Aus Freude am Fahren...

    interessiert mich auch, was die Bank da als Erklärung rausgibt

    da sind die hypersensibel, wenn sowas an die Presse kommt, gibt es ein riesen Geschrei. Es ist ein Thema was sich gerade andersherum verhält als das allseits bekannte 'Nassbremsproblem vom e46'. Da können x betroffen sein und nix passiert... bei so einem Bank-Issue reicht ein Fall und die Welt geht unter... da hat der Kunde alle Hebel in der Hand...

    BTW: nicht jede Bank bietet HBCI an und es hat halt auch den Nachteil, dass man es nicht überall anwenden kann (unterwegs ohne Kartenleser), da es mittlerweile immer per Chip läuft, die SW-Lsgen sind verschwunden

    daher: TAN ist immer noch das praktischste

    Zitat

    Original geschrieben von scam2000
    ...
    BTW: nicht jede Bank bietet HBCI an und es hat halt auch den Nachteil, dass man es nicht überall anwenden kann (unterwegs ohne Kartenleser), da es mittlerweile immer per Chip läuft, die SW-Lsgen sind verschwunden

    daher: TAN ist immer noch das praktischste

    :confused: du hast deine tan-liste(n) immer dabei? also eher würde ich den chip mit mir rumschleppen als die zettel mit den nummern drauf, aber dann stellt sich wieder das prob mit dem reader ...


    so long,

    the.daywalker | Öl | $ | Keep The Streets Empty For Me

    "What we are dealing with here is a total lack of respect for the law!" - The Prodigy | "Zwei Dinge sind unendlich, das Universum und die menschliche Dummheit, aber beim Universum bin ich mir nicht ganz sicher." - Albert Einstein (1879-1955)

    Ich denke eher, mal, er meint, dass man mit dem herkömmlichen Banking, sich zumindest unterwegs mit seiner Kontornummer und PIN einloggen kann, und mal nachschauen kann. So wie ichs kapiert habe, braucht man bei HBCI das Gerät ja schon, um sich einzuloggen. oder hab ichs net kapiert?

    Gruss

    Fragen gehören NICHT in mein Postfach, sondern sollten im Forum gestellt werden! Dann hat jeder was davon.
    ----------------
    530i. Aus Freude am Fahren...

    klar habe ich die tan liste immer dabei, schon immer. Ich mache Banking zu Hause, im Büro, auf ner Reise... also ist die Liste im Geldbeutel

    klar schreibe ich nicht auch noch das Passwort mit drauf :D

    die Chipkarte wäre nicht das Problem... wie oben geschrieben ist es der Leser, am besten einer der Klasse drei (Display, Tastatur am Leser), den wirste nirgendwo finden... also ist HBCI mit Chipkarte nur was für zu Hause

    Ja ist dieses HBCI denn wirklich sicherer? Ich meine, das iTAN sollte ja auch sicher sein, solange niemand meine TAN-Liste kennt. Nur gibt es anscheinend doch irgendein Schlupfloch irgendwo.
    Oder ist wirklich noch kein Fall bekannt, wo HBCI geknackt wurde?

    Gruss

    Fragen gehören NICHT in mein Postfach, sondern sollten im Forum gestellt werden! Dann hat jeder was davon.
    ----------------
    530i. Aus Freude am Fahren...

    Die einzige Möglichkeit HBCI anzugreifen sehe ich darin, die PIN abzufangen, wenn der Kartenleser kein eigenes Zahlenfeld hat. Und selbst dann braucht man noch die Karte. Folglich auch kein "Hack"

    alles ist knackbar, meist aufgrund von dummen Usern (kein Witz)

    ja, HBCI ist extrem sicher, da man nicht mit Passwörtern arbeitet (am Leser für den Zugang zur Karte, aber nicht für das Protokoll dahinter via Netz)

    TAN ist ein EINMAL-Passwort, wenn das einer abfängt, kann er einmal was böses machen (daher Itan, das sagt die Bank an, welches sie will..)

    bei den Verfahren wie HBCI ist es so, dass man sich nicht durch die Herausgabe eines Passwortes identifiziert sondern sich authentifiziert indirekt durch den Nachweis, dass man im Besitz des sogenannten privaten Schlüssels ist, der in der Chipkarte steckt. Dieser hat den Chip nie verlassen. Der Gegenpart, der öffentliche Schlüssel, ist in einem Zertifikat eingebettet und jedem bekannt...

    Das nennt man asymmetrisches Verfahren. Das ist langsam. Wird nur zur Authentifikation eingesetzt. Danach läuft es symmetrisch weiter (gleicher Schlüssel auf beiden Seiten). Daher nennt man die Verfahren hybrid.

    Im Prinzip funktioniert so auch SSL/https u.ä. Protokolle, die aber meist SW-basiert laufen ohne Reader.

    Obwohl Tan etwas unsicherer ist, nutze ich es permanent, die Tanliste meiner Bank ist kleiner als jede Chipkarte. Ich bin Trader und drauf angewiesen, immer sofort und überall an jedem Rechner im Notfall handeln zu können :D