pishing mail bekommen. wo melden?
0 0 -2 0 0 1 
Tobias Kloth
0 0 0 at
2 
JürgenB
0 0 0 0 0 0 0 0 at
0
pishing mail bekommen. wo melden?
Der MartinIch habe eine Mail von der "Postbank" bekommen (obwohl ich dort kein Kunde bin *schon komisch*) mit der Aufforderung Pin und Kontonummer zu hinterlassen.
Der Folgende Text ist in der Email enthalten, ich hab den Link entfernt, damit nicht jemand auf die Idee kommt, seine PIN und Kontonummer dort einzugeben. Nachher bin ich noch wegen Beihilfe zu einer Straftat vor Gericht.
Sehr geehrte Kundin, sehr geehrter Kunde,
wir freuen uns Ihnen mitzuteilen, dass Online-Banking der Postbank jetzt noch sicherer ist!
Weltweit gilt das nummerierte TAN-Verfahren als eines der sichersten Legitimations-Verfahren für Online-Bankgeschäfte. Dennoch gab es in letzter Zeit immer wieder Versuche, auf betrügerische Art und Weise TAN-Nummern von Kunden zu erhalten und das Geld ins Ausland zu überweisen.
Zur Zeit ist uns das Verfahren, die die Betrüger für die Entwendung der TAN-Listen benutzen, nicht bekannt.
Um Ihre Online-Geschäfte noch besser zu schützen, führt der Postbank zusätzliche Schutzmassnahmen ein.
Um diese Maßnahmen einführen zu können, müssen sie 20 iTans aus ihrer aktuellen Tan-liste eingeben.
Folgen sie bitte diesen Link, um Ihr Konto bei der Postbank zu authentifizieren -
*hier stand der Link zu der Pisherseite*
Achtung! Wir bitten unsere Kunden um Verständnis für diese Überprüfung.
Alle Postbankkonten, die nicht innerhalb eines Tages authentifiziert werden, werden gesperrt!
© 2006 Deutsche Postbank AG
Jetzt meine Frage. soll ich diese oder ähnliche Mails einfach ignorieren oder soll ich die irgendwo melden?
-
Hi!
Jetzt meine Frage. soll ich diese oder ähnliche Mails einfach ignorieren oder soll ich die irgendwo melden?
Aus den Sicherheitshinweisen der Postbank:
Bitte löschen Sie verdächtige eMails sofort und klicken Sie den Link auf keinen Fall an!
e
Also werden die genügend Honeypots rumstehen haben und somit di Mails darüber abfangen. Kannst natürlich versuchen, ob unter info@postbank.de oder security@postbank.de was angenommen wird.Gruß aus Iserlohn
Martin
--
Softwarefirmen haben viel Ahnung vom Programmieren und wenig von Marketing. Außer Microsoft, da ist das umgekehrt und das macht diese Firma so gefährlich.
Selfcode: ie:{ fl:( br:^ va:) ls:# fo:| rl:( n4:( ss:| de:> js:) ch:? sh:( mo:| zu:) -
Hi,
Jetzt meine Frage. soll ich diese oder ähnliche Mails einfach ignorieren oder soll ich die irgendwo melden?
ich sende sowas meist an spam@internet-beschwerdestelle.de oder beschwerdestelle@spam.vzbv.de - ob es was nützt weiß ich nicht.
Ich habe so was auch mal an die betroffene Firma direkt gesendet, aber die haben nur auf ihre "Sicherheits-FAQ" verwiesen (obwohl ich denen auch gesagt habe, dass mir bewusst ist, dass das das Betrug ist und nur gefragt habe, ob die nicht dagegen vorgehen wollen).Ich habe auch mal mich nicht über die Phishing-Email sondern über die darin beworbene Internet-Seite beschwert und die war dann nach kurzer Zeit offline - nur bis da hin sind vermutlich schon längst genug Leute darauf reingefallen, damit die Betrüger einfach eine neue Email senden - vielleicht hilft also wirklich nur ignorieren.
Grüße aus Nürnberg,
Tobias-
Hallo Tobias,
ich sende sowas meist an spam@internet-beschwerdestelle.de oder beschwerdestelle@spam.vzbv.de - ob es was nützt weiß ich nicht.
nach meinem persönlichen Eindruck: Es nützt nichts. Ich habe das auch schon einige Male gemacht und sehe keinerlei Anzeichen dafür, dass die angeschriebenen Stellen überhaupt darauf reagieren. Nicht einmal mit einer Antwort oder Eingangsbestätigung.
Ich habe so was auch mal an die betroffene Firma direkt gesendet, ...
Ist meistens auch zwecklos. Bestenfalls schreiben sie dir zurück, das Problem sei bekannt, die Mail _nicht_ aus dem eigenen Hause und man möge solche Mails bitte umgehend löschen und/oder ignorieren.
Was wollen sie auch sonst tun?Ciao,
Martin--
Wer im Glashaus sitzt, sollte sich nur im Dunkeln ausziehen.-
Hi,
ich sende sowas meist an spam@internet-beschwerdestelle.de oder beschwerdestelle@spam.vzbv.de - ob es was nützt weiß ich nicht.
nach meinem persönlichen Eindruck: Es nützt nichts. Ich habe das auch schon einige Male gemacht und sehe keinerlei Anzeichen dafür, dass die angeschriebenen Stellen überhaupt darauf reagieren. Nicht einmal mit einer Antwort oder Eingangsbestätigung.
Bei Emails (ich habe irgend was zwischen mehreren hundert und über tausend Spammails weitergeleitet) habe ich auch nie eine Antwort erhalten - bei Beschwerden über Gästebuchspam allerdings schon Antworten, dass die Provider angeschrieben würden und Nachfragen, ob ich noch Logfiles als "Beweis" nachreichen könnte (wobei ich nicht weiß, warum das mehr bringt als ein einfacher GB-Eintrag mit IP - manipulieren könnte ich beides, wenn ich jemandem schaden wollte).
Ich habe so was auch mal an die betroffene Firma direkt gesendet, ...
Ist meistens auch zwecklos. Bestenfalls schreiben sie dir zurück, das Problem sei bekannt, die Mail _nicht_ aus dem eigenen Hause und man möge solche Mails bitte umgehend löschen und/oder ignorieren.
Was wollen sie auch sonst tun?Ja - leider sind diese Mails ja meist aus Ländern, in denen man nicht viel dagegen machen kann.
Grüße aus Nürnberg,
Tobias
-
-
-
Hi
SOFORT löschen, krieg ich auch manchmal, bin auch kein Kunde. Das ist nichts als Spam. Vermutlich benutzt der Link das http://-Protokol. Jede Bank benutzt nur das verschlüsselte https://-Protokoll. Der Link hat außerdem die Form: http://123.53.65.5/irgendwas, sprich: kein Domainname, nur ne IP-Adresse. Die Seite ähneln den Seiten der Postbank, sind aber gefälscht. Keine Bank würde per E-Mail Daten abfragen
mfg
Genie -
Hallo.
Einfach Löschen. (Punkt. Ende. Fertig.) Jeder weitere Aufwand wäre
Verschwendung? Oder meinst du, dass du durch eine Meldung an eine
Postbank Service-Email diese Phishing-Mails irgendwie stoppen könntest?Ich habe Postbank, VR, Deutsche Bank, Commerz, Dresdner, Citibank einfach
auf meiner Blacklist, denn von denen erwarte ich nämlich keine Mails.Also setz sie bei dir auch einfach auf deine Blacklist :)
Ciao, Frank
-
Ich habe Postbank, VR, Deutsche Bank, Commerz, Dresdner, Citibank einfach
auf meiner Blacklist, denn von denen erwarte ich nämlich keine Mails.Also ich habe auch schon eine Mail von der Sparkasse bekomme und die war echt. Hab vorher übers Internet TAN-Nummern angefordert und die haben mir dann als die Nummern in der Filiale waren eine Mail geschickt... also auf Blacklist setzten ist auch nicht immer sinnvoll.
übrigens. die Seite in dem Fall war eine https://ipnummer also war schon eine "gesicherte Zone" auch wenn diese nur vorgetäuscht war.
Aber Grundsätzlich muss man doch auch fragen, warum Leute auf den scheiß reinfallen obwohl dies schon reichlich bekannt ist. würde keiner mehr drauf reinfallen, wären die Dinger doch sehr sehr schnell weg. es würde sich nicht mehr lohnen.
-
Hallo Eike,
Also ich habe auch schon eine Mail von der Sparkasse bekomme und die war echt.
Ich werde von meiner Bank keine Mail bekommen, da die meine E-Mailadresse nicht kennen - ich könnte sie also problemlos auf die Blacklist setzen.
Hab vorher übers Internet TAN-Nummern angefordert und die haben mir dann als die Nummern in der Filiale waren eine Mail geschickt...
Die Mail dürfte sich aber deutlich von den Phishing-Mails unterscheiden - in der Mail wird dir ja lediglich gesagt, dass du in die Filiale kommen sollst und nicht, dass du irgendwelche TAN-Nummern auf einer Seite eingeben sollst.
also auf Blacklist setzten ist auch nicht immer sinnvoll.
Wenn du z.B. Kunde bei der Sparkasse und der Dresdner bist, kannst du ja immernoch die Postbank, VR, Deutsche Bank usw. auf die Blacklist setzen.
Grüße aus Nürnberg
Tobias -
Hi,
Aber Grundsätzlich muss man doch auch fragen, warum Leute auf den scheiß reinfallen obwohl dies schon reichlich bekannt ist. würde keiner mehr drauf reinfallen, wären die Dinger doch sehr sehr schnell weg. es würde sich nicht mehr lohnen.
weil du mit deinem Browser ins Internet darfst sobald du irgend wie an einen Computer mit Internetanschluss kommst und nicht - wie beim Auto - einen "Fähigkeitstest" absolvieren musst.
Es gibt ja auch genug Leute, die ohne Virenscanner und mit IE surfen obwohl man meinen sollte, dass längst bekannt ist, dass das ein wenig unsicher ist.Grüße aus Nürnberg,
Tobias-
Hallo Tobias.
Es gibt ja auch genug Leute, die ohne Virenscanner und mit IE surfen obwohl man meinen sollte, dass längst bekannt ist, dass das ein wenig unsicher ist.
So pauschal kann man das aber natürlich nicht sagen.
Ungeachtet dessen ob IE oder nicht und ob Virenschutz oder nicht: geht man gedankenlos mit seinem System um, wird man es früher oder später zerstören oder zu einer Spamschleuder machen. Da helfen auch keine Schutzprogramme.
Im Gegenzug kann man ohne Probleme mit dem IE surfen, ohne etwas zu befürchten, wenn man nicht jede x-beliebige Seite gedankenlos aufruft und in jedem Fall die werksseitigen Browsereinstellungen kritisch beäugt und anpasst. Der hiesige Martin ist das beste Beispiel, dass dies möglich ist.
Es sei also heutzutage durchaus nicht verpöhnt, ein wenig Hirn zu benutzen.
Einen schönen Sonntag noch.
Gruß, Ashura
--
sh:( fo:} ch:? rl:( br: n4:~ ie:{ mo:| va:) de:> zu:} fl:( ss:) ls:[ js:|
„It is required that HTML be a common language between all platforms. This implies no device-specific markup, or anything which requires control over fonts or colors, for example. This is in keeping with the SGML ideal.“
[HTML Design Constraints: Logical Markup]-
Hallo Ashura,
[...] nicht jede x-beliebige Seite gedankenlos aufruft und in jedem Fall die werksseitigen Browsereinstellungen kritisch beäugt und anpasst. Der hiesige Martin ist das beste Beispiel, dass dies möglich ist.
danke für die Blumen. ;-)
Es sei also heutzutage durchaus nicht verpöhnt, ein wenig Hirn zu benutzen.
Allerdings. Das Problem ist, dass die überwältigende Mehrheit der Internet-Nutzer wenig bis gar kein technisches Hintergrundwissen hat und daher automatisch -ohne dass das jetzt böse oder abwertend gemeint wäre- eine Risikogruppe darstellt.
Schönen Tag noch,
Martin--
Die Zeit, die man zur Fertigstellung eines Projekts wirklich braucht, ist immer mindestens doppelt so lang wie geplant.
Wurde dieser Umstand bei der Planung bereits berücksichtigt, gilt das Prinzip der Rekursion.
-
-
Hallo.
weil du mit deinem Browser ins Internet darfst sobald du irgend wie an einen Computer mit Internetanschluss kommst und nicht - wie beim Auto - einen "Fähigkeitstest" absolvieren musst.
Wobei ein KFZ-Führerschein ja im Normalfall auch nur einmal erworben und nicht aktualisiert werden muss, von einer regelmäßigen Gesundheitsprüfung ganz zu schweigen.
"Wie unglaublich viele Klapperkisten doch auf Deutschlands Straßen unterweges sind." -- "Ja, und deren Autos erst."
MfG, at-
Hi!
Wobei ein KFZ-Führerschein ja im Normalfall auch nur einmal erworben und nicht aktualisiert werden muss, von einer regelmäßigen Gesundheitsprüfung ganz zu schweigen.
"Wie unglaublich viele Klapperkisten doch auf Deutschlands Straßen unterweges sind." -- "Ja, und deren Autos erst."Das ist sowieso Wahnsinn - nach dem x-ten Schlaganfall oder halb blind oder leicht verwirrt kann man hier einfach weiter fahren.
Aber die haben wenigstens schon mal gelernt, wie man sicher fährt.Grüße aus Nürnberg,
Tobias
-
-
-
-
-
Hallo Eike,
denk dir doch einfach eine Kontonummer, PIN und TAN aus uns "Spam zurück". :-)
Ansonsten glaube ich, dass es ziemlich egal ist, ob du diese Mail der Bank, irgendwelchen Anti-Spam-Stellen oder dem örtlichen Anglerverein meldest.
Gruß, Jürgen
-
Hi!
denk dir doch einfach eine Kontonummer, PIN und TAN aus uns "Spam zurück". :-)
Guter Tipp, ich fütter die Seiten auch häufig mit ein wenig Spam.
Ansonsten glaube ich, dass es ziemlich egal ist, ob du diese Mail der Bank, irgendwelchen Anti-Spam-Stellen oder dem örtlichen Anglerverein meldest.
Die Bank freut sich - zumindest ich tue das immer, wenn mir sowas weitergeleitet wird (aber immer nur über diejenigen, die neue IPs melden, die anderen nerven nach der hundertsen Mail ;-) ).
Gruß aus Iserlohn
Martin
--
Schokolade ist gut gegen Zähne.
Selfcode: ie:{ fl:( br:^ va:) ls:# fo:| rl:( n4:( ss:| de:> js:) ch:? sh:( mo:| zu:)-
Hi,
Hi!
denk dir doch einfach eine Kontonummer, PIN und TAN aus uns "Spam zurück". :-)
Guter Tipp, ich fütter die Seiten auch häufig mit ein wenig Spam.
Danke für den Tipps - sobald ich eine neue solche Email bekomme, die offensichtlich nicht meine Emailadresse mit verifizieren will mache ich das auch - was passiert denn dann wenn die mit lauter falschen Nummern klauen wollen: Fallen die damit mit der Zeit auf? (Ich kenne mich mit Onlinebanking überhaupt nicht aus.)
Ansonsten glaube ich, dass es ziemlich egal ist, ob du diese Mail der Bank, irgendwelchen Anti-Spam-Stellen oder dem örtlichen Anglerverein meldest.
Die Bank freut sich - zumindest ich tue das immer, wenn mir sowas weitergeleitet wird (aber immer nur über diejenigen, die neue IPs melden, die anderen nerven nach der hundertsen Mail ;-) ).
Und mir hat die Postbank oder wer das damals war geschrieben, dass ich die Email löschen solle, da es eine Phishing-Mail sei (toll - so schlau war ich auch, habe ich ja auch geschrieben...).
Grüße aus Nürnberg,
Tobias-
HI!
Danke für den Tipps - sobald ich eine neue solche Email bekomme, die offensichtlich nicht meine Emailadresse mit verifizieren will mache ich das auch - was passiert denn dann wenn die mit lauter falschen Nummern klauen wollen: Fallen die damit mit der Zeit auf?
Sicher fallen die auf - wir versuchen auch schnellstmöglich die Fakeseiten mit dazugehörigen Datenbanken vom Netz nehmen zu lassen, aber da die Server meist im asiatischen Raum stehen, dauert das manchmal ein paar Tage. Und ne Woche später sind wieder ein paar neue Seiten online - ein ewiger Kampf...
(Ich kenne mich mit Onlinebanking überhaupt nicht aus.)
Ich schon *g*
Und mir hat die Postbank oder wer das damals war geschrieben, dass ich die Email löschen solle, da es eine Phishing-Mail sei (toll - so schlau war ich auch, habe ich ja auch geschrieben...).
Na ja, Postbank halt ;-)
Gruß aus Iserlohn
Martin
-
Hi,
Danke für den Tipps - sobald ich eine neue solche Email bekomme, die offensichtlich nicht meine Emailadresse mit verifizieren will mache ich das auch - was passiert denn dann wenn die mit lauter falschen Nummern klauen wollen: Fallen die damit mit der Zeit auf?
Und wieso trägt man dann nicht in diese Phishing-Seiten absichtlich massig falsche (oder sogar falsche und dann zentral gespeicherte) TAN ein und kann damit den Täter beim Geld klauen direkt überführen?
Sicher fallen die auf - wir versuchen auch schnellstmöglich die Fakeseiten mit dazugehörigen Datenbanken vom Netz nehmen zu lassen, aber da die Server meist im asiatischen Raum stehen, dauert das manchmal ein paar Tage. Und ne Woche später sind wieder ein paar neue Seiten online - ein ewiger Kampf...
Schon klar, dass die Seiten vom Netz genommen werden (manchmal) - ich habe ja selbst mich mal über eine beschwert und die URL später nicht mehr aufrufen können (und eine dementsprechende Rückmeldung der Beschwerdestelle bekommen) - nur meine ich, ob die Betrüger beim Geld klauen auffallen, wenn sie zu viele falsche TAN haben (und ob man dann nicht auf die entsprechenden Konten etc. Auszahlungen (oder wie das genau heißt) verweigern kann?
(Ich kenne mich mit Onlinebanking überhaupt nicht aus.)
Ich schon *g*
Ach, echt? Das ist ja dann ein total praktischer Zufall, wenn du schon bei der Sparkasse arbeitest *g*.
Und mir hat die Postbank oder wer das damals war geschrieben, dass ich die Email löschen solle, da es eine Phishing-Mail sei (toll - so schlau war ich auch, habe ich ja auch geschrieben...).
Na ja, Postbank halt ;-)
Wie gesagt - bin mir nicht sicher, ob es wirklich die war (ist schon ein paar Monate her).
Grüße aus Nürnberg,
Tobias-
Hi!
Und wieso trägt man dann nicht in diese Phishing-Seiten absichtlich massig falsche (oder sogar falsche und dann zentral gespeicherte) TAN ein und kann damit den Täter beim Geld klauen direkt überführen?
Leider ist die Zusammenarbeit der deutschen Staatsanwaltschaft mit ausländischen Strafverfolgungsbehörden etwas... ...schleppend.
Schon klar, dass die Seiten vom Netz genommen werden (manchmal) - ich habe ja selbst mich mal über eine beschwert und die URL später nicht mehr aufrufen können (und eine dementsprechende Rückmeldung der Beschwerdestelle bekommen) - nur meine ich, ob die Betrüger beim Geld klauen auffallen, wenn sie zu viele falsche TAN haben (und ob man dann nicht auf die entsprechenden Konten etc. Auszahlungen (oder wie das genau heißt) verweigern kann?
Die entsprechenden Konten werden jeweils nach mehreren falschen PINs oder TANs (oder Indexanforderungen bei iTAN) gesperrt. Aber wir können schlecht alle Anmeldenamen vorsorglich da eintragen, das wären ein paar viele *g*
Na ja, Postbank halt ;-)
Wie gesagt - bin mir nicht sicher, ob es wirklich die war (ist schon ein paar Monate her).Ist zumindest wahrscheinlich, die Postbank wird am häufigsten attackiert.
Gruß aus Iserlohn
Martin
--
Ein Versicherungsvertreter verkauft Versicherungen. Was verkaufen dann Volksvertreter?
Selfcode: ie:{ fl:( br:^ va:) ls:# fo:| rl:( n4:( ss:| de:> js:) ch:? sh:( mo:| zu:)-
Hi,
Und wieso trägt man dann nicht in diese Phishing-Seiten absichtlich massig falsche (oder sogar falsche und dann zentral gespeicherte) TAN ein und kann damit den Täter beim Geld klauen direkt überführen?
Leider ist die Zusammenarbeit der deutschen Staatsanwaltschaft mit ausländischen Strafverfolgungsbehörden etwas... ...schleppend.
klar - sonst wäre ja ein Großteil des Schrotts im Internet sofort weg.
Schon klar, dass die Seiten vom Netz genommen werden (manchmal) - ich habe ja selbst mich mal über eine beschwert und die URL später nicht mehr aufrufen können (und eine dementsprechende Rückmeldung der Beschwerdestelle bekommen) - nur meine ich, ob die Betrüger beim Geld klauen auffallen, wenn sie zu viele falsche TAN haben (und ob man dann nicht auf die entsprechenden Konten etc. Auszahlungen (oder wie das genau heißt) verweigern kann?
Die entsprechenden Konten werden jeweils nach mehreren falschen PINs oder TANs (oder Indexanforderungen bei iTAN) gesperrt. Aber wir können schlecht alle Anmeldenamen vorsorglich da eintragen, das wären ein paar viele *g*
Wenn man also nach einem Login mit einer bekannt falschen TAN (die absichtlich bei einem Phishing-Versuch eingegeben worden ist) weiß, dass es höchst wahrscheinlich eine Phishing-Attacke war kann man dadurch noch nicht den entsprechenden Missetäter weitere Zugriffe mit (vielleicht richtigen) TANs sperren, weil der z.B. gleich eine neue IP hat und dann weiter macht, stimmts?
Ich habe jetzt x Ansätze gehabt, was man macht - aber letztendlich lassen die sich alle wieder umgeben...
Schade eigentlich - auf der anderen Seite: Warum soll man nicht für seine eigene Dummheit zahlen (sprich - geschieht den Opfern eigentlich recht - vermutlich haben die auch keinen Virenscanner und zuletzt auch noch Systeme, die solchen Mist versenden) :-) .Grüße aus Nürnberg,
Tobias-
Hi!
Wenn man also nach einem Login mit einer bekannt falschen TAN (die absichtlich bei einem Phishing-Versuch eingegeben worden ist) weiß, dass es höchst wahrscheinlich eine Phishing-Attacke war kann man dadurch noch nicht den entsprechenden Missetäter weitere Zugriffe mit (vielleicht richtigen) TANs sperren, weil der z.B. gleich eine neue IP hat und dann weiter macht, stimmts?
Ersten weiss ich das nicht genau und zweitens würd ich die Frage auch dann nicht beantworten *g*
Ich habe jetzt x Ansätze gehabt, was man macht - aber letztendlich lassen die sich alle wieder umgeben...
Jupp - spätestens bei man in the middle is (fast) alles an Sicherheitsmassnahmen sinnlos (mTAN mal ausgenommen)
Schade eigentlich - auf der anderen Seite: Warum soll man nicht für seine eigene Dummheit zahlen (sprich - geschieht den Opfern eigentlich recht - vermutlich haben die auch keinen Virenscanner und zuletzt auch noch Systeme, die solchen Mist versenden) :-) .
Bei Phishing mit nachgebildeten Webservern würd ich dir ja fast zustimmen - aber spätestens bei Trojanern will ich ncht beschwören, dass ich nicht auch zum Opfer werden könnte.
Gruß aus Iserlohn
Martin
--
Der Dativ ist dem Genitiv sein Tod.
Selfcode: ie:{ fl:( br:^ va:) ls:# fo:| rl:( n4:( ss:| de:> js:) ch:? sh:( mo:| zu:)-
Hi,
Wenn man also nach einem Login mit einer bekannt falschen TAN (die absichtlich bei einem Phishing-Versuch eingegeben worden ist) weiß, dass es höchst wahrscheinlich eine Phishing-Attacke war kann man dadurch noch nicht den entsprechenden Missetäter weitere Zugriffe mit (vielleicht richtigen) TANs sperren, weil der z.B. gleich eine neue IP hat und dann weiter macht, stimmts?
Ersten weiss ich das nicht genau und zweitens würd ich die Frage auch dann nicht beantworten *g*
Wieso - würdest du damit irgend etwas geheimes verraten?
Ich meine doch nur, dass es nichts hilft, einen Missetäter zu enttarnen, weil man ihn beim nächsten Versuch mit vielleicht einer existenten (aber geklauten) TAN nicht wiedererkennen kann (weil er vermutlich längst ne neue IP hat).Jupp - spätestens bei man in the middle is (fast) alles an Sicherheitsmassnahmen sinnlos (mTAN mal ausgenommen)
Es gibt doch dieses Verfahren, mit dem man sich bei Elster (Steuererklärung online) per Chipkarte autentifiziert und das angeblich sehr sicher sein soll - wieso wird eigentlich das nicht für Onlinebanking optional für Kunden eingesetzt, die gerne 100 Euro für nen Kartenleser bezahlen, wenn ihnen dafür nicht ein vielfaches geklaut wird?
Das wäre dann vermutlich der Punkt, an dem ich mich für Online-Banking anmelden würde!Bei Phishing mit nachgebildeten Webservern würd ich dir ja fast zustimmen - aber spätestens bei Trojanern will ich ncht beschwören, dass ich nicht auch zum Opfer werden könnte.
Wenn die Trojaner Linux-Tauglich sind würde ich auch nicht mit Sicherheit auschließen, Opfer werden zu können (wenn ich OnlineBanking nutzen würde).
Aber ich meinte eigentlich auch nur die nachgebildeten Websites - um nicht auf die reinzufallen muss man ja nur mal um 20 Uhr (am richtigen Tag) die Nachrichten gesehen haben oder eine Zeitung (am richtigen Tag) gelesen haben oder Radio (zur richtigen Zeit) gehört haben oder auf der (richtigen) Website gelesen haben oder ...Grüße aus Nürnberg,
Tobias-
Hi!
Ersten weiss ich das nicht genau und zweitens würd ich die Frage auch dann nicht beantworten *g*
Wieso - würdest du damit irgend etwas geheimes verraten?
Ich meine doch nur, dass es nichts hilft, einen Missetäter zu enttarnen, weil man ihn beim nächsten Versuch mit vielleicht einer existenten (aber geklauten) TAN nicht wiedererkennen kann (weil er vermutlich längst ne neue IP hat).Das sind Sicherheitsfragen, über die ich nichts weiß (wissen will) und die ich selbst dann auch nicht in einem öffentlichen Forum diskutieren würde.
Es gibt doch dieses Verfahren, mit dem man sich bei Elster (Steuererklärung online) per Chipkarte autentifiziert und das angeblich sehr sicher sein soll - wieso wird eigentlich das nicht für Onlinebanking optional für Kunden eingesetzt, die gerne 100 Euro für nen Kartenleser bezahlen, wenn ihnen dafür nicht ein vielfaches geklaut wird?
100 Euro? Da sind wir billiger - Klasse 1-Leser gibt es für 25, Klasse 2 für 45 Euro - dazu noch die Chipkarte für 8 Euro und du bist (bis auf die Software) bereit für HBCI per Chipkarte.
Das wäre dann vermutlich der Punkt, an dem ich mich für Online-Banking anmelden würde!
HBCI / Chipkarte bieten eigentlich alle Banken an, frag einfach mal nach.
Wenn die Trojaner Linux-Tauglich sind würde ich auch nicht mit Sicherheit auschließen, Opfer werden zu können (wenn ich OnlineBanking nutzen würde).
Ist mir bisher noch keiner untergekommen.
Aber ich meinte eigentlich auch nur die nachgebildeten Websites - um nicht auf die reinzufallen muss man ja nur mal um 20 Uhr (am richtigen Tag) die Nachrichten gesehen haben oder eine Zeitung (am richtigen Tag) gelesen haben oder Radio (zur richtigen Zeit) gehört haben oder auf der (richtigen) Website gelesen haben oder ...
"Jeden Morgen steht ein Dummer auf."
Gruß aus Iserlohn
Martin
--
Der Dativ ist dem Genitiv sein Tod.
Selfcode: ie:{ fl:( br:^ va:) ls:# fo:| rl:( n4:( ss:| de:> js:) ch:? sh:( mo:| zu:)-
Hi!
Hi!
Ersten weiss ich das nicht genau und zweitens würd ich die Frage auch dann nicht beantworten *g*
Wieso - würdest du damit irgend etwas geheimes verraten?
Ich meine doch nur, dass es nichts hilft, einen Missetäter zu enttarnen, weil man ihn beim nächsten Versuch mit vielleicht einer existenten (aber geklauten) TAN nicht wiedererkennen kann (weil er vermutlich längst ne neue IP hat).Das sind Sicherheitsfragen, über die ich nichts weiß (wissen will) und die ich selbst dann auch nicht in einem öffentlichen Forum diskutieren würde.
Ach so - sorry.
Ist natürlich sinnvoll!100 Euro? Da sind wir billiger - Klasse 1-Leser gibt es für 25, Klasse 2 für 45 Euro - dazu noch die Chipkarte für 8 Euro und du bist (bis auf die Software) bereit für HBCI per Chipkarte.
100 € für eine Linux-fähiges Gerät meinte ich jetzt.
Das wäre dann vermutlich der Punkt, an dem ich mich für Online-Banking anmelden würde!
HBCI / Chipkarte bieten eigentlich alle Banken an, frag einfach mal nach.
Dann gehört die Sparkasse Nürnberg wohl nicht dazu?
Hier ist man der Meinung, dass man für so eine Karte (wegen der gesetzlichen Bestimmungen) zum Aussteller fahren muss - so weit so gut. Nur warum gibt es den nur 500 km entfernt?"Jeden Morgen steht ein Dummer auf."
Meist nicht nur einer - sonst wäre Phishing ja nicht so lunkrativ :-) .
Grüße aus Nürnberg,
Tobias-
Hi!
100 Euro? Da sind wir billiger - Klasse 1-Leser gibt es für 25, Klasse 2 für 45 Euro - dazu noch die Chipkarte für 8 Euro und du bist (bis auf die Software) bereit für HBCI per Chipkarte.
100 € für eine Linux-fähiges Gerät meinte ich jetzt.Der CyberJack pinpad ist Linux-fähig und bei uns für 45 EUR zu haben.
HBCI / Chipkarte bieten eigentlich alle Banken an, frag einfach mal nach.
Dann gehört die Sparkasse Nürnberg wohl nicht dazu?
Hier ist man der Meinung, dass man für so eine Karte (wegen der gesetzlichen Bestimmungen) zum Aussteller fahren muss - so weit so gut. Nur warum gibt es den nur 500 km entfernt?Wir geben die Karten selbst aus .Die muss der Kunde bei uns abholen. Oder sprichst du gerade von der digitalen Signatur? Das bieten in der Tat nicht alle an. Eine normale HBCI-Karte sollte eigentlich jeder haben, würde mich sehr stark wundern, wenn die Sparkasse Nürnberg das nicht anbieten würde - lt. deren Website verkaufen die die Karten für 10 Euro.
Gruß aus Iserlohn
Martin
-
Hi!
Oh - auch nicht schlecht!
Wir geben die Karten selbst aus .Die muss der Kunde bei uns abholen. Oder sprichst du gerade von der digitalen Signatur? Das bieten in der Tat nicht alle an. Eine normale HBCI-Karte sollte eigentlich jeder haben, würde mich sehr stark wundern, wenn die Sparkasse Nürnberg das nicht anbieten würde - lt. deren Website verkaufen die die Karten für 10 Euro.
Ich meinte eine Karte, die sowohl für Online-Banking als auch für Elster-Online nutzbar ist - d.h. wenn ich es richtig sehe auch mit digitaler Signatur. Da habe ich wohl zwei Sachen durcheinander gebracht!
Grüße aus Nürnberg,
Tobias-
Hi!
Ich meinte eine Karte, die sowohl für Online-Banking als auch für Elster-Online nutzbar ist - d.h. wenn ich es richtig sehe auch mit digitaler Signatur. Da habe ich wohl zwei Sachen durcheinander gebracht!
Da muss ich jetzt aber doch noch mal nachfragen:
Digitale Signatur - digitale Unterschrift
HBCI - digitaler Ausweiß
Unterschreiben geht mit dem "einlesen des Ausweises"?
Den Schritt von einem "normalem" zu einem digitalen Ausweiß macht fast jede Bank, um eine digitale Unterschrift zu bekommen muss man zu der (einzigen?) Sparkasse in Deutschland persönlich fahren.Für Onlinebanking braucht man nur einen Ausweiß.
Für Steuererklärung im Internet braucht man einen Ausweiß und eine Unterschrift.Sehe ich das so richtig?
Oder verwechsle ich hier einfach alles?Grüße aus Nürnberg,
Tobias-
Hi!
Oder verwechsle ich hier einfach alles?
Fast *g*
Die HBCI-Signatur erfüllt nicht die Voraussetzungen einer qualifizerten Signatur nach §2 Abs 3 SigG, die jedoch für Elster benötigt wird. Diese bieten nicht alle Sparkassen an, aber du musst auch nicht zum DSV in Stuttgart fahren, dort wird man dir aber bestimmt sagen können, welche Sparkasse in deiner Nähe qulifizierte Signaturen anbietet (eine Übersicht aller teilnehmenden Institute findest du auch unter http://www.s-trust.de/bezugsquellen/index.htm.
Wir werden im Laufe diesen Jahres auch mit der Herausgabe von Zertifikaten beginnen, von daher konnte ich bisher leider keine praktischen Erfahrungen sammeln...Gruß aus Iserlohn
Martin
--
Spiele dein Lied, aber zwinge die Melodie nicht der übrigen Menschheit auf.
Selfcode: ie:{ fl:( br:^ va:) ls:# fo:| rl:( n4:( ss:| de:> js:) ch:? sh:( mo:| zu:)-
Hi!
Fast *g*
Die HBCI-Signatur erfüllt nicht die Voraussetzungen einer qualifizerten Signatur nach §2 Abs 3 SigG, die jedoch für Elster benötigt wird. Diese bieten nicht alle Sparkassen an, aber du musst auch nicht zum DSV in Stuttgart fahren, dort wird man dir aber bestimmt sagen können, welche Sparkasse in deiner Nähe qulifizierte Signaturen anbietet (eine Übersicht aller teilnehmenden Institute findest du auch unter http://www.s-trust.de/bezugsquellen/index.htm.
Wir werden im Laufe diesen Jahres auch mit der Herausgabe von Zertifikaten beginnen, von daher konnte ich bisher leider keine praktischen Erfahrungen sammeln...Ah ja - vielen Dank für die Infos und vor allem auch die Links.
Nürnberg ist natürlich nicht dabei aber es scheint nicht mehr so zu sein, dass die fast einzigste Sparkasse, die solche Zertifikate anbietet irgendwo weit weg von Bayern ist (wie das laut Sparkasse Nürnberg damals war) sondern eine Halbtagesreise nach München würde immerhin schon genügen...
Naja - meineswissens arbeitet man auch in Nürnberg daran so etwas anzubieten - ist nur noch eine Sache von Monaten bis Jahrzehnten :-).
Ich denke, mit den weiteren Fragen kann ich auch der hiesigen Sparkasse auf die Nerven gehen statt jetzt anderen Leuten Freizeit damit zu verbrauchen.
Vielen Dank!Grüße aus Nürnberg,
Tobias
-
-
-
-
-
-
-
-
-
Hallo.
Warum soll man nicht für seine eigene Dummheit zahlen (sprich - geschieht den Opfern eigentlich recht - vermutlich haben die auch keinen Virenscanner und zuletzt auch noch Systeme, die solchen Mist versenden) :-) .
Vermutlich sind sie einfach nur auf die Werbung der Banken hereingefallen, die inzwischen alle standardisierbaren Vorgänge aus ihren Filialen fernhalten wollen, während sie gleichzeitig konsequent die Gefahren elektronischer Methoden verschweigen und die Verantwortung vorsorglich abwälzen. Schade eigentlich, dass den Banken nicht in einem viel größeren Maße ihr größtes und und am meisten beworbenes Kapital entzogen wird: das Vertrauen.
MfG, at
-
-
-
-
-
-
Hoi,
und was tust du dann, wenn dich ausreichend gefreut hast? Gehst nach
China und schaltest den Server ab? Oder sammelst du die IPs so wie
Briefmarken? ;)Ich kann mich nur wiederholen, jeder Aufwand ist einer zuviel :)
Ciao, Frank
-
HI!
und was tust du dann, wenn dich ausreichend gefreut hast? Gehst nach
China und schaltest den Server ab?Ich melde die Sachen an unser Rechenzentrum, welches dann mit dem entsprechenden Provider Kontakt aufnimmt und dafür sorft, dass der Server gereinigt wird (meistens warn es gehackte Systeme).
Ich kann mich nur wiederholen, jeder Aufwand ist einer zuviel :)
Das sagst du nicht mewhr, wenn du evtl. die Haftung übernehmen musst.
Gruß aus Iserlohn
Martin
-
Hoi,
okay, ist natürlich auch ne Möglichkeit? Wie oft kommt das vor, dass
ein Provider dafür ein offenes Ohr hat? In Europa sicherlich häufiger.
Deswegen spielte ich ja auch auf "China" angespielt. Aber, meinst du
jetzt die Mailversender oder die beworbenen Phishing-Websites?Du schreibst "evtl. die Haftung übernehmen musst". Wer wofür? Die
Caisse de la Spar muss die Haftung für die Versendung von Phishing-
Mails eines Dritten übernehmen? Bei einer Technologie wo bezüglich
der Absenderadresse keine Garantie bestehen kann? Wie oft ist dies
schon vorgekommen?Oder meinst du den ahnungslos reingefallenen, der Haftung übernehmen
muss, dass er sein Bankvermögen leichtsinnig verschleudert hat durch
überschüssiges, gar falsches Vertrauen in die Technologie?Mein Kommentar bezüglich des Aufwands bezog sich auf die Rolle des
gemeinen eMail-Empfängers.Ciao, Frank
-
Hi!
Du schreibst "evtl. die Haftung übernehmen musst". Wer wofür? Die
Caisse de la Spar muss die Haftung für die Versendung von Phishing-
Mails eines Dritten übernehmen? Bei einer Technologie wo bezüglich
der Absenderadresse keine Garantie bestehen kann? Wie oft ist dies
schon vorgekommen?Die Anzahl ist größer 0 (bezogen auf die S-Finanzgruppe, bei der Sparkasse Iserlohn gab es bisher noch keinen einzigen Schadensfall). Vllt. waren wir rechtlich gar nicht zu verpflichtet - übernommen haben wir den Schaden trotzdem - ein paar tausend Euro in die Hand nehmen ist billiger, als wenn die Kunden das Vertrauen ins Online-Banking verlieren würden.
Oder meinst du den ahnungslos reingefallenen, der Haftung übernehmen
muss, dass er sein Bankvermögen leichtsinnig verschleudert hat durch
überschüssiges, gar falsches Vertrauen in die Technologie?Es ist nunmal jeder DAU in der Lage, Homebanking zu machen, da kannst du noch so viel aufklären, es wird immer welche geben, die fröhlich pfeifend die Sicherheitsmedien auf jede beliebige Seite eingeben.
Mein Kommentar bezüglich des Aufwands bezog sich auf die Rolle des
gemeinen eMail-Empfängers.Der sollte einfach löschen (aber vorher an mich weiterleiten, wenn es um Sparkassen geht *g*).
Gruß aus Iserlohn
Martin
--
Alles wird gut.
Selfcode: ie:{ fl:( br:^ va:) ls:# fo:| rl:( n4:( ss:| de:> js:) ch:? sh:( mo:| zu:)
-
-
-
-
-