Samstag, 25.01.2020 14:40 Uhr

Online Banking und Bezahlsysteme mit Lücken und Tücken

Verantwortlicher Autor: Uwe Hildebrandt Göttingen, 16.10.2019, 03:13 Uhr
Presse-Ressort von: Uwe Hildebrandt Bericht 4887x gelesen
Das Internet ist so sicher wie der Bediener dahinter
Das Internet ist so sicher wie der Bediener dahinter  Bild: Rudolpho Duba / www.pixelio.de

Göttingen [ENA] Gerade in den heutigen Zeiten der immer beliebter werdenden Zahlungsmöglichkeiten ohne große Eingaben online, aber auch in den Geschäften, wo man einfach das Handy oder die Kreditkarte oder EC Karte auf oder an ein Terminal hält und schwups, schon ist die Rechnung bezahlt.

Sicher ? Nichts kann absolut sicher sein, wenn etwas kabellos übertragen wird, aber auch bei Eingaben am Rechner ist man unter Umständen hilflos den Hackern ausgeliefert. Alles Quatsch und Panikmache, werden manche Banker und sogenannte Fachleute sagen, andere hingegen werden hellhörig und möchten gerne mehr darüber wissen. Ich werde Ihnen heute 3 Maschen berichten, wo ich behaupte, das 95 % der Leser hier nichts davon geahnt haben, wie einfach dann doch so ein Hacking sein kann, wenn man über ein „ bißchen „ Insiderkenntnisse verfügt.

Seit kurzem ist es ja bei den Banken eingeführt: Das alte Tan – Verfahren ist verschwunden, eine Identifizierung bei der Bank für das Online Banking ist nur noch möglich durch Eingabe der Konto-Nr., Passwort oder Zugangs-Nr. und dann entweder durch Eingabe einer mTan, die z.B. auf das Handy versandt wird oder einer PhotoTan, wo man mittels einer speziellen Banking App einen farbigen Barcode abfotografiert der dann daraus wiederum eine Nummer generiert die man online eingeben muß. Bei jeder Online Banking Aktion muß jetzt ein zusätzlicher Code zur Bestätigung eingegeben werden, ausserdem werden Online Banker nach neuen EU Richtlinien jetzt schon nach 5 Minuten Inaktivität aus Sicherheitsgründen ausgeloggt.

Faktisch bleibt aber alles beim alten System, ausser das es aufwendiger geworden ist: Daten werden per WLAN hin- und herversandt, nur diesmal nicht nur einmal, sondern öfters, und ich gebe die Zugangsdaten ein und los geht´s. Und das bleibt eben ein Problem. Warum, sagen Sie, selbst wenn ich auf meinem Rechner eine App, Trojaner, Phishing Programm oder Whatever habe, ich benutze doch eine Tastatur mit einer 128-Bit-AES-Verschlüsselung (Advanced Encryption Standard), da kann man meine Eingaben gar nicht auslesen. Denken Sie ? Es ist richtig, das es unter Umständen Jahre dauern könnte, eine Tastatureingabe zu entschlüsseln, die so verschlüsselt ist.

Aber das wissen die Angreifer ebenso. Der am Rechner steckende USB-Dongle-Empfänger nimmt aber auch unverschlüsselte Eingaben entgegen. Auf diese Weise können Angreifer Tastaturangaben an einen Computer senden, die über spezielle Antennen nennenswerte Reichweiten erreichen. Über die Tastatureingaben lassen sich z. B. Schadcodes übertragen oder Kommandozeilenbefehle ausführen. Und wußten Sie, das Ihre so hoch verschlüsselte Tastatur zwar die Eingabe entsprechend „ sicher „ verschlüsselt, aber nicht die Ausgabe ? Wenn Sie eine Taste runterdrücken, wird das Symbol entsprechend verschlüsselt. Der Computer bekommt aber 2 Signale von Ihnen: Das verschlüsselte Runterdrücken und das unverschlüsselte Loslassen einer Taste.

Und hier setzen Angreifer mit modernen Methoden an. Damit ist das Auslesen von Tastaturbetätigungen, so will ich das mal nennen, eben für Insider gar nicht schwer. Anderes Thema, das eigentlich zu unserer Sicherheit beitragen soll im Internet: Das sogenannte VPN – Netzwerk. Dieses VPN Netzwerk wird angeboten, damit man sich im Internet sozusagen ohne Spuren bewegen kann, keiner erkennt welche Webseiten man aufruft, mein Rechner ist quasi für andere im Netz unsichtbar. Das dies aber bei Online Bezahlsystemen unter Umständen große Probleme mit sich bringt, werden Sie gleich merken.

Logischerweise wählt Ihr Rechner, wenn Sie ein VPN Netzwerk aktiviert haben, ich nenne es mal „irgendeinen“ Rechner an, über den Ihre Internetaktivitäten anonym abgewickelt werden. Und diese Anonymität kann etwas: Sie z.B. bei einem Bezahlsystem ohne LogIn vertreten. Geht nicht ? Geht doch. Lt. Auskunft eines großen Online Bezahlsystemanbieters prüft das System lediglich, ob der Rechner schon mehrfach aktiv war beim Ausführen von Bezahlvorgängen. Heisst in der Praxis: Sie nutzen ein VPN Netzwerk und bezahlen über ein Online Bezahlsystem. Sie haben Ihre Email berechtigt, Zahlungen auszuführen.

Damit aktivieren Sie eine Bezahlfunktion mit Namen „ SuperPay „ (Name geändert). Die Beschreibung, wenn man diese denn beim Bezahlsystem einsieht, läßt Böses erahnen: Eingeloggt bleiben und schneller zahlen: Überspringen Sie beim Zahlen den LogIn beim Bezahlsystem. Bedeutet in der Praxis: Das System vom Bezahlsystemanbieter erkennt auch den „ Anonymous – Rechner „ als berechtigten Rechner, der Zahlungen anweisen kann und führt diese aus. Der Beweis, das dies kein Unsinn ist: Legen Sie eine Email beim Bezahlsystem zu Ihrer Standard Email an und berechtigen Sie diese, das „ SuperPay „ Bezahlen durchzuführen.

Starten Sie das VPN Netzwerk und weisen Sie an Ihre eigene Email 1 Euro an. Sie bekommen dann 2 Emails vom Bezahlsystem aus Sicherheitsgründen: Sie haben SuperPay auf folgendem Gerät aktiviert + Rechnername. Und der wird Sie wundern, denn den haben Sie natürlich nicht zu Hause, na wo der wohl steht ? Und das Tolle: Ab sofort kann man dann mit diesem Rechner oder Tablet oder Handy auf den Webseiten und Apps noch schneller zahlen, denn: Keine Eingabe der Email oder Passwort notwendig bei zukünftigen Zahlungen. In der 2. Email wird lediglich auf die Aktivierung der Email hingewiesen, was wir ja getan haben.

Financescout24 hat verschiedene maßgebliche Online Bezahlsysteme (derzeit 8) verglichen und deren Vor- und Nachteile übersichtlich aufgezeigt, ein guter erster Ratgeber für unsichere Online – Neubezahler. Mir ist schon klar, das ich Beschreibungen versch. möglicher Hackerangriffe gekürzt und teilweise Details weggelassen habe, wie man GENAU zu den gewünschten Ergebnissen kommt, dies soll ja auch keine Anleitung für Hobbyhacker sein. Hier sollen Möglichkeiten angesprochen werden, die real existieren und die viele einfach nicht kennen. Was man nicht kennt, dagegen kann man sich nicht effektiv wehren.

Und klar sollte auch eines sein: Jedes im Internet runtergeladene Programm / APP / Dokument usw. kann Schadroutinen enthalten, die nur eines im Sinn haben: Ihren Rechner / Ihre Eingaben auszuspionieren. Insbesondere bei kostenlosen Programmen / Vollversionen eigentlicher teurer Markenprodukte sollte man hellhörig werden, zum einen sind die Angebote meist illegal, ausserdem: Wer verschenkt schon Programme ohne Rückleistung, gerade wenn diese aufwendig gehackt wurden damit man z.B. keine Seriennummer mehr eingeben muß ?

Für den Artikel ist der Verfasser verantwortlich, dem auch das Urheberrecht obliegt. Redaktionelle Inhalte von European-News-Agency können auf anderen Webseiten zitiert werden, wenn das Zitat maximal 5% des Gesamt-Textes ausmacht, als solches gekennzeichnet ist und die Quelle benannt (verlinkt) wird.
Zurück zur Übersicht
Photos und Events Photos und Events Photos und Events
Info.