CODE–Knacker

Lexikon der Codes - Symbole - Kurzzeichen


ONLINE-BANKING

Auf dieser Unterseite Link Viren, Würmer & Trojaner  finden sie eine kleine Maßnahmenaufzählung, die aufgrund des Erfindungsreichtums der Betrüger jedoch nie vollständig sein kann.

 

Diese Online-Fachbegriffe müssen Sie beim Online-Banking kennen
PIN

 

ungültige Anmeldung

gültige Anmeldung

Um Zugriff auf das Online-Konto zu haben, muss neben der eigenen Kontonummer die PIN ( Persönliche Identifikationsnummer) eingegeben werden. Aus Sicherheitsgründen sollte diese PIN von Zeit zu Zeit geändert werden.

Link Hier gibt es Infos für die Wahl geeigneter Passwörter.

Um die echte Bank-Website von einer gefälschten Bank-Website (Pharming-Website) einwandfrei zu unterscheiden, geben Sie zunächst neben dem richtigen Anmeldenamen beziehungsweise der richtigen Konto-Nummer zuerst eine ungültige PIN ein.
Bei der echten Bank-Website wird sofort eine Fehlermeldung ausgegeben - bei einer gefälschten Seite werden diese falschen Anmeldedaten akzeptiert und es wird auf eine Pharming-Seite weitergeleitet.

Sichere Internet-Verbindung am Beispiel Stadtsparkssse München mit https://

Sichere Internetverbindung:

sichere Internetverbindung (Browser-Schloss)
https   Hypertext Transfer Protocol SSL  (SSL = Secure Socket Layer oder das Nachfolgeprotokoll TLS Transport Layer Security)

In den Adresszeilen der verschiedenen Internet-Browser wird eine TLS/SSL-Verbindung durch ein geschlossenes Vorhängeschloss angezeigt.
Mit einem Klick auf das Schloss erhalten Sie Zusatzinformationen.
i-TAN (indizierte TAN)
(TAN = Transaktionsnummer)
Ungültig ab 14.9.2019!
Hier erhält der Bankkunde eine durchnummerierte TAN-Liste und muss auf Aufforderung der Bank, eine TAN aus einer bestimmten Position benutzen.
Dieses Verfahren wird wegen der hohen Angriffsgefahr kaum noch verwendet und darf daher nach dem 14.09.2019 nicht mehr angeboten werden.
m-TAN (mobile TAN)
oder SMS-TAN
Einen Sicherheitsschritt weiter geht die mobile TAN.
Hier erhält der Online-Bankkunde nach Eingabe seiner Überweisungsdaten eine nur wenige Minuten gültige TAN per SMS auf sein Handy übermittelt.

Da inzwischen aufgrund des sorglosen Umgangs mit eingehenden Mails die Daten von Cyberkriminellen abgefangen werden, gilt auch dieses Verfahren inzwischen nicht mehr als sicher.

Es gilt der Grundsatz: Banken schreiben Briefe und keine E-Mails um auf sicherheitsrelevante Lücken aufmerksam zu machen und fordern auch nicht auf, umgehend einen Link anzuklicken um ein bestimmtes Update zu installieren.
Denn genau damit wird die Schadsoftware unbemerkt installiert und alle Aktivitäten auf dem PC oder dem Handy werden von nun an ferngesteuert.
Beachten Sie auch die Hinweise unter dem Stichwort "Phishing".

e-TAN (elektronische TAN) Mit einem von der Bank ausgehändigtem elektronischen Generator wird für jede Transaktion eine nur wenige Minuten gültige neue TAN generiert. Verfahren gilt als unsicher.
HBCI (Homebanking Computer Interface)
(Homebanking Computer Interface)
Der Bankkunde erhält für dieses als sehr sicher geltende Verfahren von seiner Bank eine Spezialsoftware, die es ihm ermöglicht, ein Chipkartenlesegerät anzuschließen. Bei einer Überweisung wird die Chipkarte eingeschoben und die Signatur anschließend verschlüsselt übertragen. Mobiles Banking ist damit allerdings ausgeschlossen.
FinTS
(Financial TransactionServices)
Eine noch sicherere Weiterentwicklung ist das FinTS-Sicherheitsverfahren mit weiteren Authentisierungsmöglichkeiten.
Da die Banken unterschiedliche Sicherheitsverfahren unterstützen, ist eine Anfrage bei der Hausbank erforderlich.
chipTAN (Flickercode)
chipTAN-Verfahren

Ein Flickercode-TAN-Generator kann bei unterschiedlichen Banken verwendet werden.

Da keine Daten in dem Gerät gespeichert werden, ist ein Verlust (Diebstahl) kein Sicherheitsrisiko.

Noch sicherer werden Bankgeschäfte mit dem Flickercode (eine animierte Grafik). Hierbei wird nach Eingabe aller für eine Überweisung notwendigen Daten von der Bank zwecks Identifizierung ein aus sechs kleinen Feldern bestehenden Blinkcode gesendet, der abwechselnd schwarz und weiß blinkt. Dieser optische Code enthält die Überweisungsdaten sowie eine zur Transaktionsfreigabe verschlüsselte TAN.
Nun wird ein scheckkartengroßer Internetausweis mit einem Fotosensor (Flickercode-TAN-Generator, Chipkartenleser) vor diesen blinkenden Code gehalten, der daraufhin eine nur für diesen Vorgang gültige TAN errechnet, die anschließend wie gewohnt zur Bestätigung auf dem vorgesehenen Bankformularfeld eingegeben werden muss.
chipTAN-QR (Quick Response) Das ebenfalls als sicher geltende chipTAN-QR-Verfahren funktioniert ähnlich wie das vorstehende chip-TAN-Verfahren. Anstelle eines Flickercodes wird auf dem Bildschirm ein QR-Code angezeigt. Dieser wird vom TAN-Generator gescannt und gibt in Sekundenschnelle eine gültige TAN aus. Diese TAN wird im Bankformularfeld (z. B. Überweisungsmaske) im vorgesehenen TAN-Feld eingegeben und der Bearbeitungsvorgang kann abgeschlossen werden.
QR-Code-Banking Auf Ihnen zugesandten Rechnungen ist gelegentlich ein QR-Code aufgedruckt. Dieser QR-Code enthält bereits alle überweisungsrelevanten Daten. Sie können diesen QR-Code mit dem Smartphone abfotografieren und die vorher installierte Banken-App überträgt die ausgelesenen Daten automatisch und fehlerfrei ins sich öffnende Überweisungsformular. Jetzt muss nur noch mit einem TAN-Generator eine gültige TAN generiert und zum Zahlungsabschluss ins TAN-Feld eingetragen werden.
Mobile Banking mit QR-Code Unterwegs kann zum bargeldlosen Bezahlen von Fahrkartentickets, Eintrittsgeldern, Parkautomaten, Warenautomaten u. Ä. das Handy verwendet werden. Hierzu wird zunächst der auf dem Automaten angebrachte QR-Code mit dem Handy gescannt. Daraufhin erschein auf dem Handydisplay der zu zahlende Betrag. Nach Eingabe der PIN ist die Zahlung erfolgt und die bezahlte Ware oder das Ticket kann entnommen werden.
photoTAN Bei diesem sicheren Bezahlverfahren ist neben der Foto-App auch ein spezielles Lesegerät (muss bei der Bank registriert werden) erforderlich.
Nachdem die Überweisungsdaten eingegeben wurden, generiert die App eine farbige Grafik, die vom Lesegerät gescannt werden muss. Zur Kontrolle erscheinen die eingegebenen Überweisungsdaten und eine für diesen Zahlungsvorgang gültige TAN. Nach Eingabe der TAN in die Maske ist der Überweisungsvorgang abgeschlossen.

Anstelle des Lesegerätes kann ein Handy mit einer installierten Photo-TAN-App zum Scannen der Grafik verwendet werden. Das Handy kann hier als Schwachstelle gewertet werden, was die hohe Bezahlsicherheit auf jeden Fall einschränkt (Diebstahl, Trojaner).
Phishing
Phishing = engl.: fishing  "abfischen, angeln".
Das "Ph" ist in der Crackerszene eine alternative zum "F").
aktiviertes Phishingfilter: Phischingfiltes des IE 7.0 scannt gerade eine Website (grüner Balken)
Besonders perfide ist die Betrugsmasche mit täuschend ähnlich nachgemachten E-Mails im Bankendesign. Daher besonders skeptisch sein, wenn Sie in einer E-Mail aufgefordert werden, Kontonummer, Passwörter, Bank-Pins oder TANs einzugeben. Auch nicht der Aufforderung folgen, einen Link anzuklicken. Lassen Sie sich auch nicht von irgendwelchen fadenscheinigen Drohungen der Identitätsdiebe einschüchtern. Derartige Mails am besten umgehend löschen.

Verdächtige E-Mails am besten gleich endgültig löschen, also nicht erst in den Papierkorb verschieben.
Bei MS-Outlook funktioniert das z. B. mit der Tastenkombination
[Shift] + [Entf]  Tastenkombination Shift + Ent

Pharming (Der Begriff ist auf große Server-Farmen zurückzuführen) Ein eingeschleustes Schadprogramm leitet beim Aufruf der Bankenwebsite unbemerkt auf eine gefälschte Website um auf der dann die illegalen Aktivitäten erfolgen.
Vor dieser hinterhältigen Art der Manipulation ist man auch dann nicht geschützt, wenn die gewünschte Internetadresse richtig eingegeben wird.
Key-Logger (Tastaturrekorder) Ein eingeschleustes Schadprogramm protokolliert heimlich alle Tastatureingaben mit und sendet diese unbemerkt an den Dieb. Der kann dann mit den ausgespähten Daten die PINs und TANs rekonstruieren.
Für den Fall das die Bank auf der eingeloggten Seite eine mit der Maus zu bedienende Tastatur bereitstellt, so sollte diese auch benutzt werden. Eine Protokollierung der Tastatureingaben ist dann nicht mehr möglich.
Bildschirmtastatur unter Windows

 

 

Aufruf des osk-Befehls Tipp: Mit dem Windows-Befehl Ausführen [Windows-Taste] + [R]  > osk öffnet sich eine virtuelle Bildschirmtastatur. Damit ist die Gerätetastatur entbehrlich und ein Key-Logger kann die sensiblen Eingabedaten nicht mehr aufzeichnen.

Trojaner
Link Viren, Würmer & Trojaner
Bedenkenlose Downloads von zweifelhaften Seiten oder aus Neugier geöffnete E-Mail-Anhänge zweifelhafter Herkunft (z. B. .exe, .zip, .jpg, .pdf), führen dazu, dass Ihr PC ohne eigenes Eingreifen komische Sachen macht, zu Programmabstürzen neigt, vielleicht sogar ferngesteuert wird oder dass im Falle von eingeschleusten "Trojanern" das verhängnisvolle Ausspionieren von Dateien und Passwörtern auf der Festplatte des Computers ermöglicht wird.
Konten-Sperrnotrufe
bei Verdacht auf einem unberechtigten Zugriff auf ihr Bankkonto
Bank- und Kreditkarten-Notruf. Telefon: 01805/021 021
Zentraler Sperrnotruf.                Telefon: 116 116
und der bankeigene Sperrdienst (siehe Homepage ihrer Bank)
Sicherheitsklassen von Chipkartenlesegeräten

Sicherheitsklasse 1: Da diese einfachen Chipkartenleser keine eigenen Nummerntasten besitzen, muss die PIN-Eingabe über die PC-Tastatur erfolgen. Hierbei könnte ein mitlaufendes Programm, welches die Tastaturanschläge aufzeichnet, die PIN ebenfalls an Dritte übermitteln.

Sicherheitsklasse 2: Leser der Sicherheitsklasse 2 haben fast immer eine eigene Nummerntastatur (PINpad). Hierbei wird die PIN direkt auf dem Chipkartenleser eingegeben. Ein maschinelles Ausspähen der PIN ist in diesen Fällen nicht möglich, da die PIN nicht an den PC weitergegeben wird. "Klasse 2"-Leser können zusätzlich im "Klasse 1"-Modus betrieben werden. Dieser "Klasse 1"-Betrieb hat aber auch die entsprechenden, zuvor unter "Sicherheitsklasse 1" genannten Sicherheitsprobleme zur Folge.

Sicherheitsklasse 3: Lesegeräte der Sicherheitsklasse 3 haben eine Tastatur und ein eigenes Display, auf dem die Daten unmittelbar vor der Signatur noch einmal dargestellt werden. So kann der Benutzer sicherstellen, dass seine Eingaben nicht verfälscht wurden und die richtigen Daten signiert werden. "Klasse 3"-Leser können zusätzlich als "Klasse 2"- bzw. "Klasse 1"-Leser betrieben werden. Der "Klasse 1"-Betrieb hat aber auch hier die entsprechenden Sicherheitsprobleme zur Folge. "Klasse 3"-Kartenlesegeräte sind für das Bezahlen mit der Geldkarte über das Internet zugelassen und ermöglichen, bei Unterstützung durch die Bank, auch das Laden der Geldkarte vom heimischen PC aus.

Sicherheitsklasse 4: Diese Lesegeräte verfügen über einen sicheren Schlüsselspeicher (smartCard). So können mit dem elektronischen Personalausweis qualifizierte elektronische Signaturen (QES) generiert werden.

 

Link Skimming    Link SEPA