Internet Dreiste Räuber
Immer öfter rauben organisierte Banden via Internet Online-Kunden von Banken aus. Die Kreditinstitute schweigen über die Schäden und werben für sicherere Techniken
Die Angriffe aus dem Internet auf die Online-Kunden von Banken nehmen empfindlich zu. Allein die Zahl der so genannten Phishing-Seiten ist im vergangenen Jahr um über 300 Prozent gestiegen. Dabei handelt es sich um Seiten, die den Originalen von Kreditinstituten täuschend ähnlich sehen und auf die die Kunden entweder mit ausgefeilten Tricks gelockt – oder heimlich umgeleitet werden. Mit Hilfe der erbeuteten Pins und Tans, werden dann die Konten abgeräumt.
Die Betrüger seien längst keine Einzeltäter mehr, berichtete Sebastian Gajek vom Horst-Görtz-Institut für IT-Sicherheit an der Ruhr-Universität Bochum während der diesjährigen Fachkonferenz Computas, auf der Datenschutz- und Sicherheitsexperten ihre Erfahrungen austauschen. Es handele sich inzwischen um organisierte Kriminelle. Im Netz hätten sich sogar schon spezielle Anbieter angesiedelt, die Täuschungsangriffe als Dienstleistung anböten, so Gajek. Gerade erst hat das Bundeskriminalamt sieben Mitglieder einer international agierenden Phishing-Gruppierung festgenommen.
Wie hoch die Schäden inzwischen sind, bleibt ein gut gehütetes Geheimnis der Kreditinstitute. Um ihr Image nicht zu beschädigen, regeln sie solche Fälle meist – noch – auf dem Wege der Kulanz. Dabei gäbe es durchaus einen eleganteren Weg, das Problem zu lösen. Seit Jahren verfügt die Kreditwirtschaft über eine Technik namens HBCI, die eine sicherere Verbindung zwischen Kunden und Bank aufbaut.
Die Kunden hätten diese Alternative nur selten nachgefragt, entgegnet eine Sprecherin des Bundesverbandes deutscher Banken. Fraglich ist allerdings, ob sie überhaupt ausreichend informiert waren. Denn HBCI wird innerhalb der Kreditwirtschaft höchst unterschiedlich vermarktet. In Deutschland gibt es rund 33 Millionen Online-Konten. Aber nur 2,5 Millionen Kunden haben sich bislang für das sichere Verfahren entschieden. Ein Grund dafür: So bequem wie die Kommunikation mit Pin und Tan ist HPCI nicht. Man braucht eine spezielle Software, eine Chipkarte und ein Lesegerät. Für diese Ausrüstung nehmen einige Kreditinstitute einmalig bis zu 100 Euro. Manche bieten sie aber auch kostenlos an. Die Technik schützt zudem nur einen einzigen PC vor den elektronischen Dieben. Viele Kunden aber erledigten ihre Bankgeschäfte auch gern vom Arbeitsplatz aus, so die Bankensprecherin. Und manche regelten ihre Geldangelegenheiten sogar vom Internet-Café aus. Davon aber sei nun wirklich abzuraten, warnt sie.
- Datum 05.04.2006 - 13:31 Uhr
- Quelle ZEIT online, 5.4.2006
- Kommentare 10
- Versenden E-Mail verschicken
- Empfehlen Facebook, Twitter, Google+
- Artikel Drucken Druckversion | PDF
-
Artikel-Tools präsentiert von:
Zu einer sachlichen Debatte gehören sachliche Argumente. Da zu den Wertungen keinerlei Bewertungen abgegeben wurden, ist der Beitrag wohl eher als Glaubensbekenntnis zu sehen.
korfstroem
Prüfen daß die Verbindung SSL verschlüsselt ist und wirklich zur Bank geht:
Gehen Sie z.B. auf https://banking.postbank....
Doppelklick auf das Schloss-Symbol, dann sieht man, wer die Sicherheit des Webservers zertifiziert hat. Unter Details erhält man auch einen sogenannten Fingerabdruck. Wenn die Banken diesen auf ihre Briefe und Kontoauszüge drucken würden, könnte man diesen Ausdruck mit dem Fingerabdruck aus der Zertifikatsinformation vergleichen und wäre absolut sicher, daß man mit dem Server der Bank kommuniziert.
Leider ist dies aber keine Abhilfe gegen Trojaner und Keyboard Logger. Wenn diese heimtückischen Programme auf Ihrem Rechner aktiv sind, können sie alle Tastatureingaben mitlauschen, auch PINs und TANs fürs Onlinebanking und diese dann per Internet an die Diebe weitergeben.
Einzige Abhilfe hiergegen ist, vor dem Homebanking von einer Linux-CD aus sauberer Quelle (z.B. aus dem Buchhandel) zu booten, dann ist sehr sicher, daß im Betriebssystem keine Trojaner aktiv sind. Hierfür bietet sich z.B. das Knoppix Linux an (http://www.knopper.net/kn...).
Ich kann nur bestätigen, dass Banken wenig oder nicht an HBCI interessiert scheinen. Die Postbank hat mir auf Anfrage mitgeteilt, dass HBCI zu unsicher sei, das spezielle Verfahren der Postbank sei viel besser. Dort logt man sich mit Benutzername und Passwort ein und benötigt dann nicht einmal TANs um eine Zahlung auszuführen.
Die Bank empfindet sich als eine der Besten...
Wann wusste man in der Vor-Internetzeit, daß man in der "echten" Bankfiliale war? Standort, Aufschrift, Bankbeamter den man kannte, falls man in der Stammfiliale war. Dies Fakten waren schwer zu fälschen. Ein Webportal ist verdammt einfach perfekt nachzubauen. Und wer sieht schon auf die Url zum Zeitpunkt wo alles in Ordnung erscheint? HBCI als Allheilmittel anzupreisen wird so lange erfolgen, bis die erste Attacke erfolgt ist, oder war das schon und man erfährt bloss nichts? Wer erinnert sich noch an die Livehacks des CCC? Vielleicht wird es das bald wieder geben.
Die User müssen zu mehr Sorge bei Risikogeschäften wie onlinebanking angehalten werden, ist man sich nicht sicher, lieber abbrechen und nochmal von vorne, mit akribischen Blick auf alles am Bildschirm.
HBCI ist auch nicht sicher, wenn der Rechner von einem Trojaner oder Rootkit infiziert ist. Auch eine digitale Signatur auf einer Chipkarte hilft da gar nix.
Was hilft?
Immer schnellstens die aktuellen Patches des Lieblingsbetriebssystems einspielen.
Nur zu Administrationszwecken einen privilegierten User benutzen.
Nicht auf jeden Bunten Button klicken, der "Klick mich!" ruft.
Am besten Scripting nur für _WIRKLICH_ notwendige _UND_ vertrauenswürdige Seiten erlauben.
Liebe Grüße
Grisu
Diese Abzocke ist immer das Ergebnis von zu viel blindem Vertrauen. Hier in Mexiko sind kaum Faelle bekannt geworden, weil der Mexikaner grundsaetzlich allem und jedem misstraut und selbst kleine Zahlungen oder Transfers persoenlich auf der Bank erledigt. Seine Kontoummer, Codes oder Passwords gibt er noch nicht mal seiner Frau.
...den Link zur Hausbank auf die Favoritenleiste setzt und regelmässig das Antivirenprogramm aktiviert, dann ist die Wahrscheinlichkeit geringer, beklaut zu werden, als von einem Dackel totgebissen zu werden, an einer verschluckten Schachfigur zu ersticken, oder in Upflamör durch eine verirrte Kugel zu sterben.
Also entspannt euch, Leute, und trinkt lieber noch ´ne Tasse Kaffee (aber koffeinfrei!) und denkt darüber nach, dass das letzte Hemd keine Taschen hat.
> Die Politiker sind allen Bekundungen zum Trotz noch lange nicht in der
> Jetzt-Zeit des Internet angekommen.
warum sollten sie da anders sein als die übergrosse mehrheit ihrer wähler?
> 1. Dialer
> Für Abzocker und Betrüger wurde ein rechtsfreier Raum geschaffen. Die
> Erträge und die zu erwartenden Strafen, von der Gefahr erwischt zu
> werden ganz zu scheigen, stehen in krassem Mißverhältnis.
falsch.
> 2. Viren und Trojaner
> Die Schäden werden immer noch als Bagatelldelikte behandelt. Die
> Verursacher geniessen eine gewisse Hochachtung ihrer intellektuellen
> Fähigkeiten. Beispiel: Der Autor des Sasser-Virus richtete
> Millionenschäden an und erhielt zur Belohnung eine Jugendstrafe zur
>Bewährung.
falsch.
> 3. Infrastruktur
> Die Gewährleistung einer reibungslosen Infrastruktur muß wie der
> Straßenbau als eine volkswirtschaftliche Notwendigkeit gesehen werden.
> Obwohl der Anblick unserer Straßen und ihr beklagenswerter Zustand
> nicht beispielhaft sein dürfen.
a) falsch b) unverständlich.
> 4. Frische Politiker
> Wir brauchen Politiker, die in der Lage sind, die Notwendigkeiten zu
> begreifen. Zu häufig sind die Meinungsführer anzutreffen, die bei Software
> an das neueste Spielzeug ihres Enkels denken oder damit kokettieren,
> daß nur die Sekretärin die Mailbox öffnen kann.
unfug.
> 5. Sicherheitsbewußtsein
> Das die Schäden exponentiell wachsen (zunächst langsames, dann
> explosionsartiges Wachstum), werden die Banken viel zu spät reagieren.
> Außer den Sicherheitsbestimmungen zum Online Banking müßte die
> Bedienung der Geldautomaten dringenst überarbeitet werden, um dem
> gegenwärtigen Stand der Technik bei Mißbrauch paroli zu bieten.
falsch.
werter herr, würden sie sich vor dem posten einer solchen kombination aus halbwahrheiten (die bekanntlich schlimmer als ganze lügen sind), an den haaren herbeigezogenen folgerungen und unbewiesenen behauptungen garniert mit populistischen parolen wenigestens _ansatzweise_ informieren?
die it-berichterstattung der zeit ist in keinster weise ausreichend, ein fundiertes urteil abzugeben.
Bitte melden Sie sich an, um zu kommentieren