Online-Banking gehackt - Systemwiederherstellung?

[Brutto]

Wie ich schon geschrieben habe, geschieht dies durch Unerfahrenheit der User.
Wer solche Formulare ausfüllt:
https://www.commerzbanking.de/P-Por...se/warnhinweise/contentseite_demotrojaner.htm

dem ist nicht zu helfen.

Wenn ich mich bei meinen Konto einbuche, sehe ich doch sofort, ob ich mich an Ort und Stelle und mich im verschlüsselten Bereich befinde.

Mir ist keine Spähsoftware bekannt, die sich von selbst auf einem Mac ohne Sicherheitsabfrage von selbst installiert und meine Passwörter ausspäht.
Und ich benutze keinen Router, der Sicherheitslücken hat.

Und selbst mal angenommen, jemand hat sich meine Passwörter angeeignet, wird ihm die Bank keine Tanliste an irgendeine Adresse schicken.

Das ist im Fall mit der Partnersimkarte ganz anders, da es den Telekommunikation Betreibern egal ist, Hauptsache bestellt und Gebühren verdienen. (Versprochen haben sie ja mittlerweile, die Authentizität des Bestellers zu überprüfen)

Ich bleibe dabei, wenn ich mich im sicheren Kontobereich meiner Bank befinde und eine Überweisung tätige, kann die nicht umgeleitet werden.

 

[maecimacmac]

Wie ich schon geschrieben habe, geschieht dies durch Unerfahrenheit der User.

Du baust deine Argumentation auf dieser Annahme auf, und die ist leider falsch. Angriffe müssen nicht derart einfach zu durschauen sein.

Mir ist keine Spähsoftware bekannt, die sich von selbst auf einem Mac ohne Sicherheitsabfrage von selbst installiert und meine Passwörter ausspäht.
Und ich benutze keinen Router, der Sicherheitslücken hat.

Es geht nicht zwangsläufig um die Integrität deiner Geräte, der Geräte deines legitimen Gegenübers oder um die Sicherheit deiner ausgedruckten TAN Liste. (Auch wenn alle diese Punkte wichtig sind! Sollten sie nicht gegeben sein, wird eine potenzielle Kompromittierung natütlich erleichtert!) Das ist ja gerade das Gemeine. Es geht um die Daten, die du in die Welt hinaus sendest, und diese Datenpakete enthalten ja deine Zugangsdaten und deine TANs. Diese Datenpakete können unter Umständen umgeleitet werden. Wie und unter welchen Umständen? Das beschreiben verschiedene Abwandlungen von man in the middle attacks und dazugehörige Techniken (bspw verschiedene Spielarten von DNS Manipulationen)

Nachtrag: Heise hat heute einen Artikel zum Thema veröffentlich. Darin ist ein Link zu einem ENISA Bericht, der einen Ueberblick bietet. Es gibt noch andere ENISA Berichte, die potentielle Gefahren näher schildern.

 

[Brutto]

.......wird eine potenzielle Kompromittierung natütlich erleichtert

Genau darum geht's ja.
Der Rechner muss kompromittiert sein, durch Trojaner, Malware, etc. oder was auch immer Stand der Dinge ist.
Bin ich mit Zertifikat und SSl auf meinen Bankserver ohne vorherige (d.h. vor dem Sicherheitsserver) Umleitung, kann keiner meine Buchungen Umleiten.

Beispiel: http://www-ti.informatik.uni-tuebingen.de/~borchert/Troja/downloads/MitM-iTAN.pdf

Natürlich ändert sich jeden Tag, der Stand der Technik und man soll niemals nie sagen.
ZTIC z.b. würde ich mir schon zulegen

 

[SonOfNyx]

Du kannst auf den ersten Blick nur nicht erkennen, dass du umgeleitet wurdest und deine Kommunikation kompromittiert ist, wenn z.B. ein falscher DNS Server eingetragen wurde o.ä.

 

[Brutto]

Da stimme ich überein, nur, wie gesagt, muss der Rechner dazu kompromittiert sein.

 

[SonOfNyx]

Da stimme ich überein, nur, wie gesagt, muss der Rechner dazu kompromittiert sein.

Wobei hierfür nicht zwangsläufig Schadsoftware notwendig ist. Gut, du verwendest keinen Router im Gegensatz zur breiten Masse. Plugins stellen ebenfalls potenzielle Sicherheitslecks dar und selbst Javascript & Co kann auf einem Mac sicherheitsrelevante Lücken öffnen. Beim Papier-TAN-Verfahren gibt es nur einfach keine letzte Kontrolle über einen zweiten Kanal und das ist einfach bedauerlich und schlicht nicht so sicher wie modernere Verfahren.

 

[maecimacmac]

Bin ich mit Zertifikat und SSl auf meinen Bankserver ohne vorherige (d.h. vor dem Sicherheitsserver) Umleitung, kann keiner meine Buchungen Umleiten.

Genau darum drehen sich ja solche Attacken! in Angreifer steht vor 2 Problemen: er muss deinen Traffic abfangen und die Verschlüsselung umgehen. Gelingt das nicht, hast du gewonnen.

Der Rechner muss kompromittiert sein, durch Trojaner, Malware, etc. oder was auch immer Stand der Dinge ist.

Nein, muss er nicht. Ich habe geschrieben, dass eine lokale Komprimittierung die Sache erleichtert, sie ist aber keine Voraussetzung. Dein Beispiel deckt einen konkreten Fall ab: Trojaner+MitM beim iTan Verfahren. Wie gesagt, es gibt verschiedene Variationen solcher Angriffe. Um aber nicht lange um den heissen Brei zu reden: Eine lokale Kompromittierung zählt zu den häufigsten Fällen.
Wie könnte es sonst gehen? TLS verwendet eine Authentifizierung durch Zertifikate. Woher kommen diese Zertifikate? Von einer sogennanten certificate authority (CA), der man vertraut. Zertifikate können gestohlen oder erschlichen werden. In deinem Browser merkst du dann... gar nichts! Das Zertifikat ist nicht gefälscht, sondern echt! Es ist für dich nicht feststellbar, dass dieses Zertifikat nicht rechtmäßig ausgestellt wurde.
Und wie kommt man überhaupt auf die - mit einem echten Zertifikat ausgestatten - Webseite, wenn weder Computer noch Router komprommitiert sind? Eine mögliche Antwort liegt im Aufbau des Internets, es gibt verschiedene nameserver. Die ähneln Telefonbüchern. Es werden der Name einer Website und deren IP Adresse verknüpft. Tippst du macuser.de in den Browser ein, dann muss erst nachgesehen werden, welche IP Adresse du aufrufen möchtest. Kann ein nameserver mit deiner Anfrage nichts anfangen, wendet er sich an einen anderen. Ergebnisse werden zwischengespeichert (cache), d.h. müssen ggfs. in 5 Minuten nicht nocheinmal erfragt werden, sondern stehen gleich bereit. Wird nun ein nameserver kompromittiert, d.h. wird einem Eintrag eine falsche IP Adresse zugewiesen, dann gibt der diese an andere nameserver weiter, die speichern das (falsche) Ergebnis für bestimmte Zeit und geben es ihrerseits wieder weiter... . Das ganze nennt sich DNS cache poisoning.
Die Vorbereitung für den Angriff findet also in den Weiten des Netzes statt.
Wie wahrscheinlich ist solch ein Szenario? Unwahrscheinlich, es ist zu aufwending. Es ist um Welten simpler den Router (häufig wird der von den Anwendern komplett übersehen) oder das Betriebssystem zu infizieren. (Ein Einfallstor ist der Browser, sogar wenn der User nicht falsch macht!) (Stichwort: drive by infection) Noch einfacher sind Phising-Mails, die den Benutzer auf die vermeindlich sichere Seite leiten. Dort angekommen würde nur noch ein Blick auf das Zertifikat nützen. Ich möchte aber gar nicht wissen, wieviele Benutzer darauf nicht achten (also auch das Fehelen eines Zertifikates gar nicht bemerken würden), sich mit irgendeinem Zertifikat zufriedengeben, oder sogar die Warnhinweise ignorieren. Diese Warnhinweise sind aber der einzige Schutz!

Bin ich mit Zertifikat und SSl auf meinen Bankserver ohne vorherige (d.h. vor dem Sicherheitsserver) Umleitung, kann keiner meine Buchungen Umleiten.

Wenn man sich das nocheinmal ansieht, dann gibt es einige Möglichkeiten der Umleitung. Wahrscheinlicher als obiges Szenario ist bspw drive by pharming, d.h. deinem Router (und nur dem) wird ein gefälschter DNS Eintrag untergejubelt. Du rufst also macuser.de auf, und landest auf einer anderen Seite. Jetzt hilft nur noch ein Blick auf das Zertifikat, und wenn das echt (aber gestohlen) ist, dann kannst du den Angriff nicht erkennen.

 

[Brutto]

@maecimacmac, schönen Dank für Dein Posting, dass war jetzt mal sehr schön verständlich.

Wie wahrscheinlich ist solch ein Szenario? Unwahrscheinlich, es ist zu aufwending.

Eben, und solange man nicht blindlings den Versprechen der jeweiligen Herstellern in Puncto Sicherheit vertraut (um mal die These vom dummen User abzumildern, Lateinisch fällt mir grad nich' ein ) ist man zumindest auf der "haben" sein.
Aber Du musst schon zugeben, wenn Leute 200.000 €uronen auf dem Girokonto haben, die man (wie jetzt auch immer) abzocken kann, ist das schon dämlich, oder?


Apropos Router, dass ist doch die Schwachstelle im System Schlechthin, ich logge mich mich hier in meiner Umgebung locker in den meisten WPA2 Wlan Netzwerken ein, ohne Hack, ohne Tools, etc. - Bisschen Phantasie und schon bin ich drin.
Grad mal schauen: 17 visible und ich hab' für 5 locker die Passwörter.
Keine Angst, ich bin ein ganz verträglicher Mensch und füge keinem Schaden zu, frotzle nur ganz gerne, um die Leute aus der Reserve zu locken.

Und wie man sieht, kommt ja auch manchmal etwas positives raus.

 

[David X]

Mir ist keine Spähsoftware bekannt, die sich von selbst auf einem Mac ohne Sicherheitsabfrage von selbst installiert und meine Passwörter ausspäht.

Was verstehst Du unter "Sicherheitsabfrage"? Admin-Account und -kennwort oder diesen Hinweis auf den Download aus dem Internet beim Öffnen einer Datei?

 

[rechnerteam]

AFAIK wäre die einzige MITM-sichere Methode iiTAN.
Da entfällt der 2.Schritt (Kontrolle), die TAN enthält die Zielkontonummer.
Aber das gibt es glaube ich (noch) nicht bei Banken.

Ist zwar schon ein paar Tage alt, aber bei meiner Bank enthält die mTAN Zielkonto und Summe und ist nur fünf Minuten gültig. Wenn man dann ein simples Billighandy mit Prepaidkarte ausschließlich für dieses mTAN-Verfahren nutzt, ist das m.M.n. eine sichere Sache.