bedenkliche Berichterstattung

Du hast ja prinzipiell Recht, aber wenn ich den kurzen Artikel richtig verstehe, kommt der Tipp doch eben nicht von TT sondern von der PC Prof?

Im Übrigen sind User, die wiederum mit allem Schnick-Schnack aktiviert herumsurfen und dann auch noch auf Bankseiten latschen, IMO selbst schuld, aber das ist nur meine pers. Meinung ^.^

Mit freundlichen Grüßen
Telconium

Benutzer Telconium schrieb:
Das sagst Du so...
Was machst Du denn mit Leuten, beispielswese älteren, die sich einen Online-Banking-Zugang haben aufschwatzen lassen, aber von Computern im Allgemeinen und Viren im Besonderen keine Ahnung haben, und vielleicht das Prinzip mit den PINs und TANs auch mal gerade so auf Biegen und Brechen verstehen?
Die fallen da schnell mal drauf rein. Im richtigen Leben ist normalerweise das drin, was außen draufsteht. Hier aber so überhaupt nicht.
Und solange das so ist, ist Online Banking meines Erachtens definitiv nicht massentauglich (wie beispielsweise ein Geldautomat).

Benutzer grafkrolock schrieb:


Da gebe ich Dir vollkommen Recht!

Nur: Solche, bspw. älteren und vollkommen ahnungslosen, Leute lesen nicht so eine News bei TT... :)

MfG
Telconium

Benutzer Telconium schrieb:

Nein, sie lesen sie bei PCP oder Computer Bild. ;)

Benutzer techie schrieb:

ROFL

Naja, wenn überhaupt *g*.

MfG
Telconium

Benutzer grafkrolock schrieb:

Du hast schon irgendwo Recht und ich kann viele Anwender durchaus verstehen, aber um ein Auto zu fahren, muß man eine Prüfung ablegen. Einen Computer kauft man sich bei (ich bin doch nicht blöd) und schließt ihn zuhause einfach so (ganz nach der einfach gehaltenen Installationsanleitung des z.B. DSL Providers) ungefiltert ans öffentliche Netz an.

Dort sind die meisten Nutzer vollkommen naiv, aber wer bitte läßt seine volle Brieftasche offen auf dem Ku'damm liegen?


Willkommen in der heutigen Welt! An jeder Ecke lauert ein Gauner, nur heute sieht man sie nicht mehr, da sie virtuell daher kommen.


Ein ganz großes Problem sprichst Du auch hier an: Der Browser wird für immer mehr vergewaltigt, wofür er eigentlich vollkommen ungeeignet ist. Auch das http-Protokoll ist nur ein Übertragungsprotokoll, das zum Abrufen von Seiten implementiert wurde.

Genau hier müßte das Problem bekämpft werden: Sichere Kommunikation braucht sichere Standards und im Zweifel heißt dies, daß z.B. für Online-Banking ein eigenes, gesichertes Übertragungs- und Authentifizierungsprotokoll entwickelt werden müßte.

Dies würde dann eine eigene Anwendung erfordern und Online Banking würde dann nicht mehr im Browser ablaufen.

Aber an dieser Stelle kommt wieder der "unbedarfte" Nutzer ins Spiel: Er will es alles im Browser haben und akzeptiert keine eigene, sicherere Anwendung. Insofern haben sicher die Anbieter eine Mitschuld, aber genauso der Nutzer, der es möglichst bequem haben will.

Die Vergewaltigung der Protokolle hat uns erst zu den heutigen Problemen gebracht: eMail (SMTP) war z.B. als Nachrichtenübermittlung gedacht und ist niemals dafür konstruiert worden, Dateien (so auch Bilder usw.) zu übertragen. Leider wurde auch das eMail dafür vergewaltigt und so haben wir heute gegen trojanische Pferde und eMail-Würmer zu kämpfen.

Wenn der unbedarfte Nutzer irgendwann mal sagen sollte "das will ich nicht", dann erst werden wir eine reelle Chance haben, diese (Sicherheits-) Probleme sinnvoll zu bekämpfen.

Das sprichts ware Worte :)

MfG
Telconium

Benutzer techie schrieb:
...aber alle Welt erzählt, Computer zu bedienen wäre einfach, und die Banken erzählen - noch schlimmer! - ihre Bankingsoftware wäre sicher.

Würdest Du vermittelt kriegen, daß Deine Brieftasche für alle anderen nutzlos ist, und die wüßten das ja auch, weswegen ja überhaupt keine Gefahr bestehe, daß sie wegkommt, würdest Du vielleicht sogar das tun.

Genau. Aber das scheitert wohl weniger an den Benutzern, als an den Banken!
Ich war damals bei der Advance Bank. Man mag von der Software gehalten haben, was man wollte, aber eins konnte sie: HBCI-Banking über Karte.
Als die Advance Bank von der Dresdner übernommen wurde, kommte man als Bestandskunde weiterhin HBCI nutzen, aber die DB bote es für Neukunden nicht mehr an.
Dieser Standard hat sich also nicht durchgesetzt. Aber an den Kunden wird's kaum gelegen haben, oder ist jemand ernsthaft spitz auf das Hantieren mit einer TAN-Liste?

Dazu muß er aber auch erstmal wissen, daß es besser geht.
Solange ihm sein "Händler", also die Bank, erzählt, alles ist gut, wird der nichts unternehmen.

Benutzer grafkrolock schrieb:

1:0 für Dich - wahrscheinlich wäre dies so.

Ich finde es einfach nur mist das Leute versuchen so Geld zu machen. So welche Leute gehören hinter gitter. Hoffentlich hat das langsam ein Ende

Benutzer Genion1975 schrieb:

Jawoll! Ich finde es auch ganz großen Mist, daß Leute andere ausrauben, ermorden oder gar totschießen. Die gehören für mich auch hinter Gitter! Warum tut niemand was dagegen? Ist doch so, oder nicht?

Naja... ich habe da eine etwas andere Sichtweise. Ich gehe zwar mit deinem späteren Gedanken konform, das SMTP für binäre Datenübertragung vergewaltigt wird, aber die Ansicht, das HTTP für Dinge wie Online-Banking ungeeignet ist, kann ich nicht teilen.

Der Vorteil des Online-Banking liegt für mich genau darin, das ich nur einen Browser brauche, um meine "Geschäfte" zu erledigen. Diese propietäre Software, welche du dir wünscht gab es schon früher und sie tat nur das, was sie versprach: "Home-Banking", also zu Hause.

HTTP ist ein einfaches, quasi zustandsloses Übertragungsprotokoll und daher für eine Vielzahl von Anwendungen geeignet.

Darüber hinaus beherscht es verschlüsselte und auch authentifizierte Verbindungen.

Und der unbedarfte Nutzer, von dem du meinst, das er lieber "nur" ein Programm haben will, den kenne ich eher als Jemanden, der für jeden (Un-)sinn eine eigene Applikation hat: Statt Bilder von der Kamera auf die Festplatte über den Explorer oder einen anderen Dateimanager zu kopieren, macht er das mit der Super-Duper-Kamera-Übertragungssoftware.

Ich würde daher eher meinen Wunsch an die Banken richten, einfach eine spezielle Version von Opera zu liszensieren, oder auf Basis von Mozilla oder Safari einen eigenen "Banking-Browser" zu entwickeln (bzw. zu lassen).

Den gibt man dann dem DAU mit. Dieser "Spezial"-Browser kann dann nur Verbindungen mit den Bank-Seiten aufbauen. Der DAU ist glücklich, weil er kein unsicheres Online-Banking mehr macht, sondern jetzt die Super-Duper-Banking-Software hat, und der erfahrene Anwender kann weiter wie bisher das Online-Banking nutzen.

Und das für die Banken wichtige Cross-Selling würde auch nicht eingeschränkt werden.

Aber ich träume ja immer noch von einer Art Wallet-Anwendung auf jedem Mobil-Telefon, die meine Bankgeschäfte macht, mir meine Umsätze anzeigen kann, etc. pp.

Benutzer grafkrolock schrieb:


Ich kenne keine genauen Zahlen - wäre aber nicht überrascht, wenn der Schaden durch Missbrauch von Zahlungskarten am Geldautomaten weiterhin deutlich über dem Schaden durch Phishing&Pharming liegt. Grund: Auch am Geldautomaten sind Manipulationen möglich, beispielsweise durch von den Ganstern manipulierte Kartenleser an der Tür oder gar direkt am Automaten, und geeigneten Methoden (etwa Spionage-Kameras) zum ermitteln der PIN. Mit den Daten der Kunden, die an der manipulierten Bankfiliale Geld abheben werden Blanko-ec-Karten oder gestohlene, aber mangels PIN nutzlose ec-Karten beschrieben, und mit den so geklonten Karten dann das Geld von den Konten abgeräumt. Wenn der Kunde es nicht rechtzeitig merkt, wird hier bis ans Limit des Dispos gegangen.

Die Banken sprechen nicht über das Problem, weil sie ihre Kunden nicht verunsichern wollen. Die Kunden, die nachweisen können, dass sie ihr Konto nicht selber leergeräumt haben, bekommen das von der Bank dann i.d.R. auch erstattet, sprechen also zumindest vor den Medien auch nicht mehr groß drüber.


Kai

Benutzer Kai Petzke schrieb:
Nunja, andererseits glaube ich schon, daß das Problem bekannt werden würde, würde es in größerem Umfang vorkommen.
Zudem ist es ja so, daß Banken eher ungerne für selbsverbockten Mist aufkommen, und man hätte sicherlich schon von dem Einen oder Anderen gehört (wie beim Phishing), dem die Bank den Schadensersatz verweigert. Beispielfall: Jemand kopiert den Magnetstreifen der Karte und ergaunert sich irgendwie die PIN. Wie sollte da der Kunde Mißbrauch nachweisen können?
Falls es für die Banken doch signifikant wäre, wäre vermutlich schon lange der Umstieg auf Chipkarten im Gange.
Insofern ist meine persönliche Ansicht, daß durch Phishing beim Online Banking das Risko höher ist, als an einen fingierten Geldautomaten zu geraten.

Benutzer grafkrolock schrieb:

Hm, also soooo selten kann es nicht sein, da ich alleine in diesem Monat drei oder vier Beiträge dazu in Panorama, Akte07 und ähnlichen (reißerischen) Magazinen sehen durfte... das wird schon öfters behandelt - und diese Manipulationen von Geldautomaten sind offenbar nicht sooo selten.

MfG
Telconium

Benutzer Telconium schrieb:

Stimmt, Du hast Recht! Vom Niveau her paßt das auch zur PCP. Aber man sollte die Dummheit anderer nicht unreflektiert und unkommentiert weiterreichen.


Du hast zwar Recht, aber ich fürchte, daß das eher die Realität ist (contra jeder Weisheit).

Benutzer techie schrieb:

Das sehe ich anders. Begründung folgt.


Das wäre dann so.


Richtig.


Im Artikel wird nur behauptet: "Erscheint [nach der Eingabe von Fantasiedaten] keine Fehlermeldung [...], ist etwas faul". Der Umkehrschluss steht nicht im Artikel.


Dieses Skript würde aber von einer anderen Site geladen, als der "überwachte" Frameinhalt, und damit müssten eigentlich die aktuellen Browser Events des eingebetten Frames vom umgebenden Fenster verstecken. Der von Dir spezifizierte Angriff wird ja unter dem Oberbegriff "Cross-Site-Scripting" allgemein diskutiert, und die Browser-Programmierer versuchen, dieses zu unterbinden.

Statt der embedded-Frame-Variante gibt es aber immer auch den "man-in-the-middle"-Angriff, bei dem die Daten vom einem zwischengeschalteten Server mitgeschnitten werden.


Das sehe ich persönlich anders. Praktisch jede Sicherheitsempfehlung, die man in den Medien liest, ist unter gewissen Umständen kontraproduktiv. Oft wird empfohlen, "alternative Browser wie Firefox zu verwenden". Sicherlich richtig. Nur was ist, wenn man eine kompromittierte virenverseuchte Version des Browsers erwischt, weil man die falsche Download-Site wählt? Also müsste der Hinweis lauten: "Laden und installieren Sie alternative Browser wie den Firefox von einer vertrauenswürdigen Site herunter." Bleibt dann wieder die Frage, welche Site vertrauenswürdig ist. Dank DNS-Spoofing, Provider-Chaos oder Hacking der Original-Site kann auch auf der Original-Domain kompromittierte Software liegen. Selbst google.de war jüngst ja unfreiwillig umgezogen. Also müsste der Hinweis lauten: "Laden Sie Firefox Version X.Y.Z von a.b.c herunter, und prüfen sie anschließend, ob die SHA1-Prüfsumme dem hier abgedruckten Wert entspricht". Es folgen dann noch etliche Absätze darüber, was SHA1 ist, welche Programme diese Prüfsumme ermitteln können, und dass man nach dem Download den Firefox sich dann auch noch gleich selber updaten lassen soll (wo er dann die Prüfsumme des Updates automatisch prüft).

In dieser "Langversion" beachten dann aber noch genau 0 Leser die Sicherheitsempfehlung. Es ist somit oft besser, die weniger genaue Empfehlung zu geben, mit dem Ergebnis, dass mehr Leser sie beachten, und dadurch insgesamt die Sicherheit zunimmt, selbst dann, wenn in der "Kurzversion" ein paar wesentliche Sonderfälle nicht abgedeckt sind.


Ich werde den Artikel am Anfang dahingehend optimiert, dass klarer wird, dass nicht alle Betrugsseiten mit diesem Trick entlarvt werden.


Kai

Benutzer Kai Petzke schrieb:

Selbst das fände ich nicht wirklich nötig :), schließlich sind wir hier nicht in Amerika, wo man für jede Eventualität und Ausnahme einen extra Satz abdrucken muss, oder? Wie Du schön aufzeigst, gerät man ansonsten schnell in eine fatale Kette aus gegenseitigen Bedingungen oder davon wiederum abhängigen Zusatzinfos, an deren Ende niemand mehr Lust hat, dem Kern - der eigentlich eben doch in 95% der Fälle hilft - zu folgen.

MfG
Telconium