Urteil zum Online-Banking: Tan-Codes verraten? Selber schuld!

Lieber Sille,

so dumm kann wirklich niemand sein. Aber noch dümmer ist der, der, der einem nichtdeutschen Mitbürger Rechtschreibfehler vorwirft, die sich in seinen eigenen zwei Kommentaren genauso häufen: Ein kleinbürgerlich-deutsches Verhaltensmuster ersetzt keine fundierte Rhetorik.

Danke, Sille.

Was Du eventuell noch erwähnen könntest, ist, daß der Link in der entsprechenden E-Mail folgendem Aufbau ähnelt:

Ein bekanntes Geldinstitut

Der E-Mail-Konsument sieht in diesem Fall nur die Zeichenkette "Ihr bekanntes Geldinstitut", der href führt ihn aber ganz woanders hin. Dazu braucht es keine Host-Dateien, keine Trojaner, keine Manipulation des Zielrechners.

Goerge ich glaube du willst es nicht verstehen oder?

Was hat das ganze mit host-Dateien und sonst was zu tun?

Weißt du was eine Internetseite ist?

Weißt du was ein Eingabeformular ist?

Weißt du was ein Link in einer eMail ist?

Ich erkläre es nochmal gaaaanz langsam für dich, wie das mit dem Tanklau funtioniert.

Also Schritt 1: Der Betrüger, der gerne die Tans haben möchte, registriert eine Domain. Ganz legal, ohne fälschung, wie jede andere Domain auch. Dazu holt er sich einen Webspace (da du ziemlich hochtrabend davon redest wie viel Ahnung du von solchen Dingen hast, gehe ich davon aus, dass du weißt was solche Wörter bedeuten). Auf diesen Webspace läd er ein Eingabeformular hoch, mit den Feldern "Kontonummer", "Login", "Passwort", "Bank", "Name" und "Bestigungstan 1-10". Wenn dieses Formular abgeschickt wird, erhält der Betrüger eine eMail mit den eingetragenen Daten.

Schritt 2: Er schreibt eMails an tausende Leute in der etwa sowas steht:"Sehr geehrte Damen und Herren, leider hatten wir in der Zentrale einen Datenverlust bitte gehen sie auf folgende Internetseite (hier ist der link zu der in Schritt 1 beschriebenen Domain) um ihre Daten zu bestätigen. Dazu halten sie bitte ihre Tanliste Bereit.

Schritt 3: Ein gutgläubiger Mensch geht auf die Seite und trägt seine Daten ein --> Der Betrüger hat die Tans mit Login, Passwort und allem was er brauch.

Keine Trojaner, keine Viren, keine Host-Dateien, kein Schutz durch Linux, keine html-mails und keine Zauberei.

Und das funtioniert auch bei gutgläubigen Menschen, die Linux verwenden. Jetzt kommt, wie ich dich einschätze entweder wieder ein Beitrag wie ich keine Ahnung habe und wie man nicht an das Root-PW von Unix-Systemen rankommt (Was gar nichts mit dem Thema zu tun hat) oder du sagst "Achso.... so dumm kann ja gar keiner sein und außerdem hast du ganz viele Rechtschreibfehler in deinem Kommentar... also lern erstmal schreiben". Aber gut. Das lass ich dir dann.

Liebe Bachsau, dann erkläre mir mal ganz "cool", wie ein "Virus" oder ein "Trojaner" in ein Linux-Betriebssystem eindringen soll, ohne dass ein Administrator seine Zustimmung gegeben hat? Manchmal genügt es eben nicht "$-Jahre an einem Linux-Desktop zu arbeiten", sondern man sollte auch in die Entwicklung des Betriebssystems eingebunden sein.

Mal an alle, die hier was von Linux ablassen, die Eine wie die Anfrage Fraktion: Es ist alles Blödsinn. Ich arbeite seit mehr als vier Jahren mit Linux am Desktop, und das einzige was einen schützt ist, dass es bislang wenig Viren und Trojaner für Linux gibt. Das ganze gerede um "root" klingt zwar "cool", ist aber genau so falsch, wie alle anderen Behauptungen. Richtig ist, dass sich bestimmte Dinge nur mit Admin-Rechten ändern lassen, was bei Windows aber nicht anders ist. Buffer overflows, exploits und so weiter können aber ebenfalls ausgenutzt werden, ebenso wie andere Sicherheitslücken. Und natürlich lassen sich auch ohne root-Rechte Programme, und natürlich können diese auch Schaden anrichten!

Linux ist toll, aber ganz bestimmt nicht das Allheilmittel gegen alles Böse, was euren Computer heimsuchen kann!

Flatto, Hans Dampf und Sille haben leider keine Ahnung: Ohne Manipulation der Host-Datei ist ein "Pharming"-Angriff nicht möglich, da die IP-Adresse nur dann nicht richtig ankommen kann, wenn die interne Liste, z. B. die Datei "hosts", durch eine Virenattacke manipuliert wurde (selber editiert ja kein Mensch eine bestehende Liste mit falschen Angaben). Daher nochmals: wie bitte soll es sonst technisch möglich sein, bei bloßem anklicken einer E-Mail eine falsche "Website" aufzurufen?

Aber bitte, liebe Leute: Erklärt eure Behauptungen mit technischen Erläuterungen .Es reicht nicht zu schreiben, dass man eine E-Mail anklickt und dann auf einer gefälschten "Website" landet, sondern man sollte erklären, wie so etwas funktionieren soll. Alle die oben beschriebenen Dinge machen nämlich den Unterschied zwischen "Linux" und kommerziellen Betriebssystemen ("Windows", "Macintosh", etc.).

"Da bei den sogenannten "Pharming"-Attacken stets ein "Trojaner" zuvor den Rechner infizieren muss"

Genau das, Herr Oberle, ist eben nicht der Fall. Sie haben das Prinzip nicht erfasst. Genau wie Flatto es bereits beschrieben hat: Dazu ist noch nicht einmal ein Mailanhang oder eine versuchte Website nötig - und es funktioniert sogar mit Gast-Rechten.

Bitte informieren Sie sich. Genau solche Leute wie Sie sind die Ziele.

George, George....

Du redest komplett am Thema vorbei.

Das mit den Tans funktioniert ohne Trojaner, ohne irgendwelche exe-Dateien und auch, man mags kaum glauben, ohne Zauberei.

Ich erklärs dir mal wie das funktioniert (anstatt auf irrelevante wiki-seiten zu verweisen).

Der Gauner stellt eine Website, z.B. unter www.ichklaudeinetans.de online. Dann schickt er dir ne eMail, dass dein Konto gesperrt wird, wenn du nicht auf den Link klickst und deine Identität bestätigst. Für diese bestätigung sind natürlich 10 TANS nötig, um ganz sicher zu gehen.

Der naive User führt das jetzt durch. Schwupps ist das Konto geplündert.

Jetzt erklär mir mal bitte wie dein hochgelobtes Linux das verhindert?

Ok Linux verhindet das vielleicht, weil es so kompliziert ist, dass kein älterer Herr, wie er betroffen war damit umgehen kann. Somit kann er auch kein Onlinebanking betreiben wenn er Linux benutzt und ist damit ziemlich sicher. Aber das ist nicht wirklich ein Schutzmechanismus

Herr Dampf, hätten Sie geschwiegen, wären Sie Philosoph geblieben! Aber im Ernst: bitte erst überlegen und dann schreiben. Beim "Linux"-Betriebssystem können Sie 1000-mal eine "verseuchte" Website anklicken oder auch eine "verseuchte" E-Mail empfangen: es passiert dabei gar nichts, da sich die Software bei "Linux" nicht ohneweiteres als Programm auf den Rechner aufspielen lässt. Hierzu benötigt es, selbst wenn es sich um ein "Linux"-Paket handelt, der manuellen Freigabe durch eine Person mit "Root"-Rechten (Administrator-Rechten).

Da bei den sogenannten "Pharming"-Attacken stets ein "Trojaner" zuvor den Rechner infizieren muss (siehe "Wikipedia, wenn Sie es noch nicht wissen sollten) und es sich bei diesem Trojaner stets um ein Miniprogramm handelt, dass eine ".exe"-Endung hat, können diese (Mini)Programme bei "Linux" keinen Schaden anrichten.

Herr Oberle, Ihre Äußerungen sind Unsinn. Erst wenn Sie auf E-Mail und den besuch von Webseiten verzichten, kann der beschriebene Fall ausbleiben. Der Empfang von E-Mail und der Besuch von Webseiten ist aber nicht vom Betriebssystem abhängig.

Da hat der Geschädigte einen virenverseuchten Rechner und stellt sich danach geradezu satiremäßig blöd an, ist sich aber keiner Schuld bewusst. Willkommen in Deutschland.

Auch wenn die Bank dafür nichts kann, sollte das System an sich schon robuster werden. Warum gibt es nur eine Kategorie von TANs? Warum kann man mit jeder TAN hohe Beträge überweisen, warum mit jeder ins Ausland, obwohl beides beim Normalkunden selten nötig ist? Pro 100 EUR eine normale TAN, dazu ein paar "Super-TANs", für deren unbeabsichtigte Eingabe man wirklich nicht mehr alle Latten am Zaun haben kann. Das würde den Gewinn der Gauner dramatisch schmälern. Irgendwann wird's uninteressant.

>> da zuerst ein "Trojaner" auf die Festplatte des

>> Betrogenen geschmuggelt werden musste

Nein. Kein Trojaner nötig. Einfach nur eine Mail mit einem Link zu der betrügerischen Webseite. Link anklicken, auf der Webseite die TANs eingeben. Funktioniert auch unter Linux.

Das ist unglaublich.

Wenn Banken - die es besser wissen sollten - mit ihrem Tun eine weltweite Krise fabrizieren, wird ihnen Steuergeld in rauen Mengen hinterher geworfen.

Aber der Bürger - der mit seinen Steuern Polizei und Gerichte dafür bezahlt, ihn zu schützen - muss jetzt zum Computerfachmann umschulen, damit er informiert genug ist, um eine Banktransaktion durchführen zu können.

Und wo bitte bleiben die Pflichten der Bank hier - nur weil banken mittlerweile automatisiert arbeiten, ist das nicht zumutbar?

Sorry - aber wenn die Bürger eh alles alleine machen müssen - und selbst für alles sorgen müssen dann brauchts auch keinen teuren aufgeblasenen Staatsapparat mehr.

Wenn es nur noch ein Nachtwächterstaat ist, geht das auch billiger!

Allein schon mit einem "Windows"-Betriebssystem (oder auch "Apple Macintosh"-Betriebssystem) Onlinebanking zu betreiben ist sträflicher Leichtsinn. Mit "Linux" wäre es sicherlich nicht passiert, da zuerst ein "Trojaner" auf die Festplatte des Betrogenen geschmuggelt werden musste und man nur bei "Linux"-Betriebssystemen Herr seiner Festplatte ist (keine "exe"-Software verbreitet sich dort bei "Maus"-Klick).

Endlich mal eine sinnvolle Entscheidung zu dem Thema. Ich war immer sehr zufrieden mit dem iTan-Verfahren, was nicht nur bequem, sondern auch sicher ist. Jetzt muss ich meine Karte in so ein dämliches Gerät und schieben, und einen Code mit blinkenden Balken vom Bildschirm abscannen, oder massig Zahlen eintippen, um eine TAN zu bekommen. Und das nur, weil einige nicht in der Lage sind ihren Computer Virenfrei zu halten, oder beim Online-Banking das Hirn einzuschalten.

Wer zu blöd ist einen Computer zu benutzen, ist selber schuld, und das ist völlig richtig. Wenn ich einen Kran bediene, ohne es gelernt zu haben, und mir deshalb damit die Rübe weghaue, bin ich ja auch selbst schuld.

Endlich mal eine sinnvolle Entscheidung zu dem Thema. Ich war immer sehr zufrieden mit dem iTan-Verfahren, was nicht nur bequem, sondern auch sicher ist. Jetzt muss ich meine Karte in so ein dämliches Gerät und schieben, und einen Code mit blinkenden Balken vom Bildschirm abscannen, oder massig Zahlen eintippen, um eine TAN zu bekommen. Und das nur, weil einige nicht in der Lage sind ihren Computer Virenfrei zu halten, oder beim Online-Banking das Hirn einzuschalten.

Wer zu blöd ist einen Computer zu benutzen, ist selber schuld, und das ist völlig richtig. Wenn ich einen Kran bediene, ohne es gelernt zu haben, und mir deshalb damit die Rübe weghaue, bin ich ja auch selbst schuld.

Was lernen wir daraus?

1. Wenn es geht nur Bar zahlen und das Geld zu den Öffnungszeiten am Schalter abheben wie früher. Denn inzwischen werden auch Geldautomaten manipuliert.

2. Das Konto, das man für Zahlungsgeschäfte verwendet muss immer ein nicht überziehbares Konto sein, auf dem sich nur so viel Geld befindet, wie man vorhat auszugeben. So laufen unberechtigte Lastschriften ins Leere oder der Schaden wird wenigstens begrenzt. Und Banken müssen ein solches Konto zur Verfügung stellen.

wer aber auch 10 iTANs auf 1 Website eintippt,

dem ist nicht zu helfen. Spätestens bei der Frage

nach der 2. iTAN eines Zahlungsauftrages muss der

Benutzer bemerken, dass etwas nicht stimmt und

abbrechen. Und mit 1 oder 2 iTANs kann ein Betrüger

selten was anfangen.

Freundliche Grüße

MW