CODE - Knacker

Lexikon der Codes - Symbole - Kurzzeichen


ONLINE-BANKING

Auf dieser Unterseite Link Viren, Würmer & Trojaner  finden sie eine kleine Maßnahmenaufzählung, die aufgrund des Erfindungsreichtums der Betrüger jedoch nie vollständig sein kann.

 

Diese Online-Fachbegriffe müssen Sie beim Online-Banking kennen
PIN

 

ungültige Anmeldung

gültige Anmeldung

Um Zugriff auf das Online-Konto zu haben, muss neben der eigenen Kontonummer die PIN ( Persönliche Identifikationsnummer) eingegeben werden. Aus Sicherheitsgründen sollte diese PIN von Zeit zu Zeit geändert werden.

Link Hier gibt es Infos für die Wahl geeigneter Passwörter.

Um die echte Bank-Website von einer gefälschten Bank-Website (Pharming-Website) einwandfrei zu unterscheiden, geben Sie zunächst neben dem richtigen Anmeldenamen beziehungsweise der richtigen Konto-Nummer zuerst eine ungültige PIN ein.
Bei der echten Bank-Website wird sofort eine Fehlermeldung ausgegeben - bei einer gefälschten Seite werden diese falschen Anmeldedaten akzeptiert und es wird auf eine Pharming-Seite weitergeleitet.

Sichere Internet-Verbindung am Beispiel Stadtsparkssse München mit https://


Sichere Internetverbindung:

sichere Internetverbindung (Browser-Schloss)

https   Hypertext Transfer Protocol SSL  (SSL = Secure Socket Layer oder das Nachfolgeprotokoll TLS Transport Layer Security)

In den Statuszeilen der verschiedenen Internet-Browser wird eine TLS/SSL-Verbindung durch ein geschlossenes Vorhängeschloss angezeigt.
Mit einem Doppelklick auf das Schloss erhalten Sie Zusatzinformationen.

i-TAN (indizierte TAN)
(TAN = Transaktionsnummer)

Hier erhält der Bankkunde eine durchnummerierte TAN-Liste und muss auf Aufforderung der Bank, eine TAN aus einer bestimmten Position benutzen.
Dieses Verfahren wird wegen der hohen Angriffsgefahr kaum noch verwendet und darf daher nach dem 14.09.2019 nicht mehr angeboten werden.

m-TAN (mobile TAN)
oder SMS-TAN

Einen Sicherheitsschritt weiter geht die mobile TAN.
Hier erhält der Online-Bankkunde nach Eingabe seiner Überweisungsdaten eine nur wenige Minuten gültige TAN per SMS auf sein Handy übermittelt.

Da inzwischen aufgrund des sorglosen Umgangs mit eingehenden Mails die Daten von Cyberkriminellen abgefangen werden, gilt auch dieses Verfahren inzwischen nicht mehr als sicher.

Es gilt der Grundsatz: Banken schreiben Briefe und keine E-Mails um auf sicherheitsrelevante Lücken aufmerksam zu machen und fordern auch nicht auf, umgehend einen Link anzuklicken um ein bestimmtes Update zu installieren.
Denn genau damit wird die Schadsoftware unbemerkt installiert und alle Aktivitäten auf dem PC oder dem Handy werden von nun an ferngesteuert.
Beachten Sie auch die Hinweise unter dem Stichwort "Pishing"

e-TAN (elektronische TAN)

Mit einem von der Bank ausgehändigtem elektronischen Generator wird für jede Transaktion eine nur wenige Minuten gültige neue TAN generiert. Verfahren gilt als unsicher.

HBCI (Homebanking Computer Interface)
(Homebanking Computer Interface)

Der Bankkunde erhält für dieses als sehr sicher geltende Verfahren von seiner Bank eine Spezialsoftware, die es ihm ermöglicht, ein Chipkartenlesegerät anzuschließen. Bei einer Überweisung wird die Chipkarte eingeschoben und die Signatur anschließend verschlüsselt übertragen. Mobiles Banking ist damit allerdings ausgeschlossen.

FinTS
(Financial TransactionServices)

Eine noch sicherere Weiterentwicklung ist das FinTS-Sicherheitsverfahren mit weiteren Authentisierungsmöglichkeiten.

Da die Banken unterschiedliche Sicherheitsverfahren unterstützen, ist eine Anfrage bei der Hausbank erforderlich.

chipTAN (Flickercode)

chipTAN-Verfahren

Ein Flickercode-TAN-Generator kann bei unterschiedlichen Banken verwendet werden.

Da keine Daten in dem Gerät gespeichert werden, ist ein Verlust (Diebstahl) kein Sicherheitsrisiko.

Noch sicherer werden Bankgeschäfte mit dem Flickercode (eine animierte Grafik). Hierbei wird nach Eingabe aller für eine Überweisung notwendigen Daten von der Bank zwecks Identifizierung ein aus sechs kleinen Feldern bestehenden Blinkcode gesendet, der abwechselnd schwarz und weiß blinkt. Dieser optische Code enthält die Überweisungsdaten sowie eine zur Transaktionsfreigabe verschlüsselte TAN.
Nun wird ein scheckkartengroßer Internetausweis mit einem Fotosensor (Flickercode-TAN-Generator) vor diesen blinkenden Code gehalten, der daraufhin eine nur für diesen Vorgang gültige TAN errechnet, die anschließend wie gewohnt zur Bestätigung eingegeben werden muss.

Phishing
Phishing = engl.: fishing  "abfischen, angeln".
Das "Ph" ist in der Crackerszene eine Alternative zum "F").

aktiviertes Phishingfilter: Phischingfiltes des IE 7.0 scannt gerade eine Website (grüner Balken)

Besonders perfide ist die Betrugsmasche mit täuschend ähnlich nachgemachten E-Mails im Bankendesign. Daher besonders skeptisch sein, wenn Sie in einer E-Mail aufgefordert werden, Kontonummer, Passwörter, Bank-Pins oder TANs einzugeben. Auch nicht der Aufforderung folgen, einen Link anzuklicken. Lassen Sie sich auch nicht von irgendwelchen fadenscheinigen Drohungen der Identitätsdiebe einschüchtern. Derartige Mails am besten umgehend löschen.

Verdächtige E-Mails am besten gleich endgültig löschen, also nicht erst in den Papierkorb verschieben.
Bei MS-Outlook funktioniert das z. B. mit der Tastenkombination
[Shift] + [Entf]  Tastenkombination Shift + Ent

Pharming (Der Begriff ist auf große Server-Farmen zurückzuführen)

Ein eingeschleustes Schadprogramm leitet beim Aufruf der Bankenwebsite unbemerkt auf eine gefälschte Website um auf der dann die illegalen Aktivitäten erfolgen.
Vor dieser hinterhältigen Art der Manipulation ist man auch dann nicht geschützt, wenn die gewünschte Internetadresse richtig eingegeben wird.

Key-Logger (Tastaturrekorder)

Ein eingeschleustes Schadprogramm protokolliert heimlich alle Tastatureingaben mit und sendet diese unbemerkt an den Dieb. Der kann dann mit den ausgespähten Daten die PINs und TANs rekonstruieren.

Für den Fall das die Bank auf der eingeloggten Seite eine mit der Maus zu bedienende Tastatur bereitstellt, so sollte diese auch benutz werden. Eine Protokollierung der Tastatureingaben ist dann nicht mehr möglich.

Bildschirmtastatur unter Windows

 

 

Aufruf des osk-Befehls Tipp: Mit dem Windows-Befehl Ausführen [Windows-Taste] + [R]  > osk öffnet sich eine virtuelle Bildschirmtastatur. Damit ist die Gerätetastatur entbehrlich und ein Key-Logger kann die sensiblen Eingabedaten nicht mehr aufzeichnen.

Trojaner
Link Viren, Würmer & Trojaner

Bedenkenlose Downloads von zweifelhaften Seiten oder aus Neugier geöffnete E-Mail-Anhänge zweifelhafter Herkunft (z. B. .exe, .zip, .jpg, .pdf), führen dazu, dass Ihr PC ohne eigenes Eingreifen komische Sachen macht, zu Programmabstürzen neigt, vielleicht sogar ferngesteuert wird oder dass im Falle von eingeschleusten "Trojanern" das verhängnisvolle Ausspionieren von Dateien und Passwörtern auf der Festplatte des Computers ermöglicht wird.

Konten-Sperrnotrufe
bei Verdacht auf einem unberechtigten Zugriff auf ihr Bankkonto

Bank- und Kreditkarten-Notruf. Telefon: 01805/021 021
Zentraler Sperrnotruf.                Telefon: 116 116

und der bankeigene Sperrdienst (siehe Homepage ihrer Bank)

Sicherheitsklassen von Chipkartenlesegeräten

Sicherheitsklasse 1: Da diese einfachen Chipkartenleser keine eigenen Nummerntasten besitzen, muss die PIN-Eingabe über die PC-Tastatur erfolgen. Hierbei könnte ein mitlaufendes Programm, welches die Tastaturanschläge aufzeichnet, die PIN ebenfalls an Dritte übermitteln.

Sicherheitsklasse 2: Leser der Sicherheitsklasse 2 haben fast immer eine eigene Nummerntastatur (PINpad). Hierbei wird die PIN direkt auf dem Chipkartenleser eingegeben. Ein maschinelles Ausspähen der PIN ist in diesen Fällen nicht möglich, da die PIN nicht an den PC weitergegeben wird. "Klasse 2"-Leser können zusätzlich im "Klasse 1"-Modus betrieben werden. Dieser "Klasse 1"-Betrieb hat aber auch die entsprechenden, zuvor unter "Sicherheitsklasse 1" genannten Sicherheitsprobleme zur Folge.

Sicherheitsklasse 3: Lesegeräte der Sicherheitsklasse 3 haben eine Tastatur und ein eigenes Display, auf dem die Daten unmittelbar vor der Signatur noch einmal dargestellt werden. So kann der Benutzer sicherstellen, dass seine Eingaben nicht verfälscht wurden und die richtigen Daten signiert werden. "Klasse 3"-Leser können zusätzlich als "Klasse 2"- bzw. "Klasse 1"-Leser betrieben werden. Der "Klasse 1"-Betrieb hat aber auch hier die entsprechenden Sicherheitsprobleme zur Folge. "Klasse 3"-Kartenlesegeräte sind für das Bezahlen mit der Geldkarte über das Internet zugelassen und ermöglichen, bei Unterstützung durch die Bank, auch das Laden der Geldkarte vom heimischen PC aus.

Sicherheitsklasse 4: Diese Lesegeräte verfügen über einen sicheren Schlüsselspeicher (smartCard). So können mit dem elektronischen Personalausweis qualifizierte elektronische Signaturen (QES) generiert werden.

 

Link Skimming    Link SEPA