Du bist nicht angemeldet.

Stilllegung des Forums
Das Forum wurde am 05.06.2023 nach über 20 Jahren stillgelegt (weitere Informationen und ein kleiner Rückblick).
Registrierungen, Anmeldungen und Postings sind nicht mehr möglich. Öffentliche Inhalte sind weiterhin zugänglich.
Das Team von spieleprogrammierer.de bedankt sich bei der Community für die vielen schönen Jahre.
Wenn du eine deutschsprachige Spieleentwickler-Community suchst, schau doch mal im Discord und auf ZFX vorbei!

Online-Banking Hack (möglich?)

Werbeanzeige

Bösewicht

unregistriert

1

28.07.2016, 09:18

Online-Banking Hack (möglich?)

Guten Morgen,

mein Vater hat mich letzte Woche wegen einer merkwürdigen Überweisung zu sich gebeten. Als ich mir dann den
Kontoauszug genauer anschaute war es schon sehr verdächtig.

  1. Es waren mehrere Überweisungen (4 insgesamt), ~306€, ~50€, ~24€. ~12€
  2. Es wurde kein Unternehmen angegeben, sondern eine Person als Kontoinhaber, dass merkwürdige hieran ist,
    dass ein besonders häufiger deutscher Name gewählt wurde, nachdem sich nur schwer suchen lässt.
  3. Die Verwendungszwecke lassen sehr auf generierte Hashwerte schließen, z.B: e602ddc068847ef8
  4. Wenn man gezielt nach der Kontonummer sucht, landet man größtenteils auf polnischen e-Commerce Seiten.
  5. Die Bank hat bestätigt, dass sich das Konto auf der hessischen Landesbank befindet

Meine Frage also: Haltet ihr es für möglich, dass es so eine Malware gibt, die Überweisungen tätigen kann?
Und was würden euch da für Herangehensweisen einfallen, wie sowas wohl funktioniert?

Von vornherein kann ich sagen: Mein Vater kennt sich so ziemlich überhaupt nicht mit Computern aus, zwar
ist bei ihm NoScript aktiviert und er besitzt einen aktualisierten Virenscanner. Trotzdem schließe ich
es nicht aus, dass er ausversehen irgendeinen eMail Anhang ausgeführt haben könnte oder ähnliches. Allerdings braucht
so ein Programm ja dann immer noch die Rechtebestätigung um auf intime Daten/Funktionen oder das Netzwerk
zugreifen zu können. Außer es hängt sich durch irgendeine Sicherheitslücke an ein Programm mit entsprechenden
Rechten.

Meiner Meinung nach dürfte es sehr sehr schwer sein, so eine Software vollständig zu automatisieren. Nicht
nur weil die TAN-Generierung schwer zu fälschen sein dürfte, sondern es müsste ja auch die Authentifizierung
etc. für das reine OB-Konto durchgeführt worden sein. Natürlich wäre es hier gut zu wissen, von welchem Endgerät
der Auftrag generiert wurde. Es reicht ja theoretisch für so ein Programm zu wissen, wann eine Authentifizierung
zu einem entsprechenden Bankingportal durchgeführt wurde um über dem Gerät weitere Anweisungen im Hintergrund
zu geben. Die TAN-Fälschung könnte dann über Tracken gerader ausgeführter Überweisungsaufträge erfolgen, allerdings
müsste man exakt die Vorgehensweise der Kartenchips kennen um daraus die benötigten Auftragscodes zu berechnen.

Leider habe ich von der Materie nur sehr wenig Ahnung, nur versuche ich nachzuvollziehen, wie das ganze passiert
sein könnte und wer der Hauptverantwortliche ist. Die Bank behauptet natürlich, dass der Rechner nicht richtig gesichert
war. Allerdings nützt auch die beste Sicherung nichts, wenn der Benutzer die Software einlädt sich auf dem System
breit zu machen.

David Scherfgen

Administrator

Beiträge: 10 382

Wohnort: Hildesheim

Beruf: Wissenschaftlicher Mitarbeiter

  • Private Nachricht senden

2

28.07.2016, 09:43

Benutzt dein Vater irgendein Programm für das Online-Banking?
Welches TAN-Verfahren benutzt er?
Sind es wirklich Überweisungen oder vielleicht Lastschriften?
David Scherfgens Website | Konzentrationstest Polizei

Bösewicht

unregistriert

3

28.07.2016, 11:01

Hey David:
1. Ja, SFIRM und das Naspa Online Banking Portal
3. Waren Überweisungen, keine Lastschriften
2. chipTAN mit entsprechendem gerät

Entschuldige die verdrehte Chronologie, ich hasse Handy tippen xD

TGGC

1x Rätselkönig

Beiträge: 1 799

Beruf: Software Entwickler

  • Private Nachricht senden

4

28.07.2016, 11:07

Bei den heutigen Verfahren mit TAN halte ich es fuer sehr unwahrscheinlich, das eine gesamte Ueberweisung automatisch gemacht wird. Eher wird eine Ueberweisung gaendert die der User eingibt (und gehofft das er es nicht merkt) oder der User gibt "freiwillig" diese Ueberweisung ein. Mit einer zweiten Sim Karte und ausgespaehten Passwoertern koennte jemand anders auch manuell was ueberweisen, aber auch sehr unwahrscheinlich.
Tetris Meeting Mainz | WMK Gamesroom | Schau dem neuen Tetris Großmeister zu

Bösewicht

unregistriert

5

28.07.2016, 11:36

Naja, wie gesagt, der HASH Verwendungszweck ist schon sehr komisch. Mein Vater notiert sich zudem
immer die Firma bzw. den Auftrag wenn er eine Überweisung tätigt. Und so viel Geld, dass er sich an knapp 400€
nicht mehr erinnern würde hat er nun auch nicht^^

Mich würde halt wirklich interessieren, wie die das gemacht haben könnten. Um entsprechende Fehler im System beheben
zu können. Sonst packe ich ihm am Ende echt noch Linux drauf.

TGGC

1x Rätselkönig

Beiträge: 1 799

Beruf: Software Entwickler

  • Private Nachricht senden

6

28.07.2016, 11:52

Hab dir ja grad meine Meinung gesagt, wie es wahrscheinlich passiert ist.
Tetris Meeting Mainz | WMK Gamesroom | Schau dem neuen Tetris Großmeister zu

Bösewicht

unregistriert

7

28.07.2016, 12:11

Achso, du meinst praktisch über ne Phishing Seite?
Das kann natürlich sein...

TGGC

1x Rätselkönig

Beiträge: 1 799

Beruf: Software Entwickler

  • Private Nachricht senden

8

28.07.2016, 14:16

Das waere eine theoretische Moeglichkeit diesen Datenverkehr abzugreifen und zu manipulieren.
Tetris Meeting Mainz | WMK Gamesroom | Schau dem neuen Tetris Großmeister zu

Koschi

Alter Hase

Beiträge: 657

  • Private Nachricht senden

9

28.07.2016, 17:16

Zitat von »Bösewicht«

Achso, du meinst praktisch über ne Phishing Seite?

Dann Check dochmal die Chronik vom Browser an den entsprechenden Tagen da müsste ja eine ähnlich (nicht gleiche) Internetseite auftauchen.
Wer aufhört besser werden zu wollen hört auf gut zu sein!

aktuelles Projekt:Rickety Racquet

Werbeanzeige

Ähnliche Themen