Jump to content

Fidor und seine Sicherheitslücken


GutGeschätzt
 Share

Recommended Posts

Da es jetzt schon an die Massenmedien durchgedrungen ist, hier nun meine Frage in Richtung Bitcoin.de und seiner Partnerbank Fidor:

Ist für die Zukunft geplant, das relativ unsichere mTan Verfahren gegen eine bessere Technik auszutauschen?

Ich will nicht ständig die Überweisungen zwischen meinem regulären Konto und dem Fidorkonto bestätigen müssen. Noch schlimmer wäre es, wenn Überweisungen gar nicht mehr möglich wären, weil sich meine Bank weigert, an ein Fidorkonto zu überweisen (erste Fälle dahingehend gab es schon, auch wenn meine Bank noch nicht betroffen ist).

Zur Erklärung der Sicherheitslücke: Fidorbankdaten werden von Hackern via Phising beschafft. Danach wird der Mobilfunkanbieter ausfindig gemacht und sich eine Ersatz-Simkarte beschafft (davon bekommt ihr schon gar nichts mehr mit). Mit der neuen Simkarte kann der Hacker nun euer Konto leer räumen und dies auch brav via mTan bestätigen.

Von dieser Sicherheitslücke ist nicht nur die Fidorbank betroffen, sondern auch andere Onlinebanken. Aber da Bitcoin.de eine Partnerschaft mit Fidor eingegangen ist, erwarte ich dahingehend schnelle und kostenfreie Abhilfe und ein Statement von beiden Seiten zu der derzeitigen Situation.

  • Like 1
Link to comment
Share on other sites

vor 8 Minuten schrieb GutGeschätzt:

Da es jetzt schon an die Massenmedien durchgedrungen ist, hier nun meine Frage in Richtung Bitcoin.de und seiner Partnerbank Fidor:

Ist für die Zukunft geplant, das relativ unsichere mTan Verfahren gegen eine bessere Technik auszutauschen?

Ich will nicht ständig die Überweisungen zwischen meinem regulären Konto und dem Fidorkonto bestätigen müssen. Noch schlimmer wäre es, wenn Überweisungen gar nicht mehr möglich wären, weil sich meine Bank weigert, an ein Fidorkonto zu überweisen (erste Fälle dahingehend gab es schon, auch wenn meine Bank noch nicht betroffen ist).

Zur Erklärung der Sicherheitslücke: Fidorbankdaten werden von Hackern via Phising beschafft. Danach wird der Mobilfunkanbieter ausfindig gemacht und sich eine Ersatz-Simkarte beschafft (davon bekommt ihr schon gar nichts mehr mit). Mit der neuen Simkarte kann der Hacker nun euer Konto leer räumen und dies auch brav via mTan bestätigen.

Von dieser Sicherheitslücke ist nicht nur die Fidorbank betroffen, sondern auch andere Onlinebanken. Aber da Bitcoin.de eine Partnerschaft mit Fidor eingegangen ist, erwarte ich dahingehend schnelle und kostenfreie Abhilfe und ein Statement von beiden Seiten zu der derzeitigen Situation.

Ich hatte das so verstanden, dass das Problem darin bestand, dass die mTANs der Volksbank gekapert wurden. Mit den geklauten pers. Daten wurde ein neues Konto bei Fidor aufgemacht, das Geld von der Volksbank zur Fidor gesendet und dann über bitcoin.de in BTC getauscht und dann ab dafür...

2 Problemstellen: mTAN generell und Identifikation bei Fidor. Und natürlich PEBCAK (Phishing).

Link to comment
Share on other sites

vor 59 Minuten schrieb fox42:

2 Problemstellen: mTAN generell und Identifikation bei Fidor. Und natürlich PEBCAK (Phishing).

Tausche das PEBCAK mal gegen fehlende Signaturen aus. Selbst erfahrene Anwender haben bei Fidor keine Chance echte von unechten Emails zu unterscheiden weil die Fidor zu blöd ist grundsätzlich alle Email zu signieren was Grundvoraussetzung für einen wirksamen Phishing Schutz ist.

Edited by skunk
Link to comment
Share on other sites

vor 2 Minuten schrieb skunk:

Tausche das PEBCAK mal gegen fehlende Signaturen aus. Selbst erfahrene Anwender haben bei Fidor keine Chance echte von unechten Emails zu unterscheiden weil die Fidor zu blöd ist grundsätzlich alle Email zu signieren was Grundvoraussetzung für einen wirksamen Phishing Schutz ist.

Okay. Erweiterung: Emails heutzutage sind eine sicherheitstechnische Katastrophe. Schön wäre es, wenn Emails einfacher zu signieren und zu verschlüsseln wären und jeder (auch normale nicht Technikexperten) sofort erkennen, ob eine Email authentisch ist.

Unabhängig davon versuche ich es zu vermeiden, auf einen Link in einer Email zu klicken und vor allem danach dann in das Fenster meine Zugangsdaten einzugeben.

Link to comment
Share on other sites

vor einer Stunde schrieb fox42:

Ich hatte das so verstanden, dass das Problem darin bestand, dass die mTANs der Volksbank gekapert wurden. Mit den geklauten pers. Daten wurde ein neues Konto bei Fidor aufgemacht, das Geld von der Volksbank zur Fidor gesendet und dann über bitcoin.de in BTC getauscht und dann ab dafür...

2 Problemstellen: mTAN generell und Identifikation bei Fidor. Und natürlich PEBCAK (Phishing).

Nein, das Problem liegt bei Fidor und anderen Online/Direktbanken.

Die Volksbank nutzt lustige kleine Scanner, in die man seine Karte reinschiebt und dann einen Code auf dem Bildschirm scannt bis schließlich ein TAN-Code auf dem Scanner erscheint. Um das auszuhebeln müsste man schon Nutzer-ID, Passwort und eine Kopie der Originalkarte haben. Das ist also wesentlich aufwändiger zu beschaffen.

Was Phishing angeht: Niemals externe Links benutzen (schon gar nicht, wenn sie dich direkt zur Passwortabfrage umleiten), keine Links in Emails benutzen, keine Mails mit Anhängen öffnen, ein Leistungsfähiger Virenscanner ist für Arbeitscomputer absolute Pflicht (um Auslesesoftware frühzeitig zu erkennen und zu löschen)

Sollte ich mit folgenden Passwörtern Zugriff auf euer Fidorkonto bekommen, dürft ihr mir euer Geld auch gerne direkt überweisen: Gast123 Nutzer123 qwertz asdfgh yxcvbn strgaltgr einfgpos1bild entfendebild

Edited by GutGeschätzt
Link to comment
Share on other sites

vor 3 Minuten schrieb GutGeschätzt:

Nein, das Problem liegt bei Fidor und anderen Online/Direktbanken.

Die Volksbank nutzt lustige kleine Scanner, in die man seine Karte reinschiebt und dann einen Code auf dem Bildschirm scannt bis schließlich ein TAN-Code auf dem Scanner erscheint. Um das auszuhebeln müsste man schon Nutzer-ID, Passwort und eine Kopie der Originalkarte haben. Das ist also wesentlich aufwändiger zu beschaffen.

Ah ok, die chipTAN. Das sollte ausreichend sicher sein. Aber der restliche Hergang passt?

Link to comment
Share on other sites

vor 1 Minute schrieb fox42:

Schön wäre es, wenn Emails einfacher zu signieren und zu verschlüsseln wären und jeder (auch normale nicht Technikexperten) sofort erkennen, ob eine Email authentisch ist.

So schwer ist das nun wirklich nicht. Einfach Thunderbird und dann das Plugin Enigmail installieren. Die öffentlichen Schlüssel kann man dann über Keybase austauschen.

Bei Problemen einfach fragen. Das Setup kostet ein paar zusätzliche clicks. Am Ende werden alle Emails automatisch signiert oder sogar verschlüsselt.

  • Like 1
Link to comment
Share on other sites

So wie ich das mitbekommen habe, haben in den letzten Monaten mehre Banken (ING, BWBank, Commerzbank) die Sicherheitsmechanismen verändert. Es werden von diesen Banken keine SMS-Tan mehr akzeptiert. Sie bieten andere Wege und Verfahren an. (Push-Tan oder Verifizierung durch eine gesonderte App). Man kann sich natürlich die Frage stellen, ob diese Banken das aus Jux und Dollerei machen.

Rainer

Link to comment
Share on other sites

vor 7 Minuten schrieb fox42:

Ah ok, die chipTAN. Das sollte ausreichend sicher sein. Aber der restliche Hergang passt?

Der Rest passt soweit.

Fidors Problem ist: Sie wollen komfortabel sein. Komfortabel heißt einfach und einfach heißt unsicher. Mir wäre es lieber, sie würden kostenlos Bankcards rausrücken und ebenfalls chipTAN nutzen. Und falls dem schon so sein sollte, dass sie chipTAN anbieten, sollte es das Hauptverfahren werden und smsTAN dahingehend ablösen.

Ich benutze Fidor nur als Mittelsmann fürs Einzahlen und Auscashen meiner Cryptogeschäfte. Das heißt, es sind kaum Bestände auf dem Konto oder größere Bestände werden direkt weitergeleitet. Ich will nicht den Tag erleben, an dem dieser kurze Zeitraum ausgenutzt wird, um mich meiner Gewinne zu erleichtern. Glücklicherweise sind wir noch ein wenig entfernt von der nächsten Cryptoblase. Fidor hat nun Zeit, und die sollten sie dringlichst nutzen, um diese Sicherheitslücke zu schließen, dauerhaft.

Link to comment
Share on other sites

vor 9 Minuten schrieb skunk:

So schwer ist das nun wirklich nicht. Einfach Thunderbird und dann das Plugin Enigmail installieren. Die öffentlichen Schlüssel kann man dann über Keybase austauschen.

Bei Problemen einfach fragen. Das Setup kostet ein paar zusätzliche clicks. Am Ende werden alle Emails automatisch signiert oder sogar verschlüsselt.

Ich weiß.. Aber, wer macht das? Der durchschnittliche Nutzer ist froh, wenn er seine Emails überhaupt lesen kann, der denkt über sowas nicht nach.

Outlook macht das ja eigtl auch ganz nett. Theoretisch wird alles signiert, wenn man erst mal ein Zertifikat drin hat. Wenn möglich, wird auch verschlüsselt. Hatten wir auch schon mal alles eingerichtet. Dann gibt Outlook auch brav Warnmeldungen, wenn man nicht verschlüsseln kann, weil man das Zertifikat von einem der Empfänger noch nicht hat usw. Es wird nicht wirklich komfortabler. Was ich nur sagen will: Es ist alles möglich, aber nicht so einfach, dass einfach alle Emails von allen Nutzern einfach verschlüsselt sind.

Dafür müsste es so einfach wie bei Whattsapp zu bedienen sein (keine Aussage darüber, wie sicher das ist, es geht um UX). User installiert, User startet Chat, Chat verschlüsselt. Hups. Das ging ja schnell. Wenn es komplizierter als das ist, wird es immer Nutzer geben, die keine Signatur erkennen bzw. kontrollieren und in eine Phishing-Falle tappen.

Link to comment
Share on other sites

vor 2 Minuten schrieb GutGeschätzt:

Der Rest passt soweit.

Fidors Problem ist: Sie wollen komfortabel sein. Komfortabel heißt einfach und einfach heißt unsicher. Mir wäre es lieber, sie würden kostenlos Bankcards rausrücken und ebenfalls chipTAN nutzen. Und falls dem schon so sein sollte, dass sie chipTAN anbieten, sollte es das Hauptverfahren werden und smsTAN dahingehend ablösen.

Ich benutze Fidor nur als Mittelsmann fürs Einzahlen und Auscashen meiner Cryptogeschäfte. Das heißt, es sind kaum Bestände auf dem Konto oder größere Bestände werden direkt weitergeleitet. Ich will nicht den Tag erleben, an dem dieser kurze Zeitraum ausgenutzt wird, um mich meiner Gewinne zu erleichtern. Glücklicherweise sind wir noch ein wenig entfernt von der nächsten Cryptoblase. Fidor hat nun Zeit, und die sollten sie dringlichst nutzen, um diese Sicherheitslücke zu schließen, dauerhaft.

War jetzt nicht das Problem, dass es Leute schaffen, sich mit geklauten Identitäten da ein Konto zu eröffnen? Das fände ich viel dramatischer..

Link to comment
Share on other sites

vor 1 Stunde schrieb skunk:

Tausche das PEBCAK mal gegen fehlende Signaturen aus. Selbst erfahrene Anwender haben bei Fidor keine Chance echte von unechten Emails zu unterscheiden weil die Fidor zu blöd ist grundsätzlich alle Email zu signieren was Grundvoraussetzung für einen wirksamen Phishing Schutz ist.

Selbst Bitcoin.de bietet optional PGP im Emailverkehr an. Man muss also nichts neues erfinden.

Aber ohne Signatur ist es ein Graus.

Und fürs Banking gibt's auch HBCI. Nicht das neuste, aber um Längen besser als was sonst da alles läuft. 

Axiom

Edited by Axiom0815
  • Thanks 1
Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share

×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.