Jump to content
Melde dich an, um diesem Inhalt zu folgen  
GutGeschätzt

Fidor und seine Sicherheitslücken

Empfohlene Beiträge

Da es jetzt schon an die Massenmedien durchgedrungen ist, hier nun meine Frage in Richtung Bitcoin.de und seiner Partnerbank Fidor:

Ist für die Zukunft geplant, das relativ unsichere mTan Verfahren gegen eine bessere Technik auszutauschen?

Ich will nicht ständig die Überweisungen zwischen meinem regulären Konto und dem Fidorkonto bestätigen müssen. Noch schlimmer wäre es, wenn Überweisungen gar nicht mehr möglich wären, weil sich meine Bank weigert, an ein Fidorkonto zu überweisen (erste Fälle dahingehend gab es schon, auch wenn meine Bank noch nicht betroffen ist).

Zur Erklärung der Sicherheitslücke: Fidorbankdaten werden von Hackern via Phising beschafft. Danach wird der Mobilfunkanbieter ausfindig gemacht und sich eine Ersatz-Simkarte beschafft (davon bekommt ihr schon gar nichts mehr mit). Mit der neuen Simkarte kann der Hacker nun euer Konto leer räumen und dies auch brav via mTan bestätigen.

Von dieser Sicherheitslücke ist nicht nur die Fidorbank betroffen, sondern auch andere Onlinebanken. Aber da Bitcoin.de eine Partnerschaft mit Fidor eingegangen ist, erwarte ich dahingehend schnelle und kostenfreie Abhilfe und ein Statement von beiden Seiten zu der derzeitigen Situation.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 8 Minuten schrieb GutGeschätzt:

Da es jetzt schon an die Massenmedien durchgedrungen ist, hier nun meine Frage in Richtung Bitcoin.de und seiner Partnerbank Fidor:

Ist für die Zukunft geplant, das relativ unsichere mTan Verfahren gegen eine bessere Technik auszutauschen?

Ich will nicht ständig die Überweisungen zwischen meinem regulären Konto und dem Fidorkonto bestätigen müssen. Noch schlimmer wäre es, wenn Überweisungen gar nicht mehr möglich wären, weil sich meine Bank weigert, an ein Fidorkonto zu überweisen (erste Fälle dahingehend gab es schon, auch wenn meine Bank noch nicht betroffen ist).

Zur Erklärung der Sicherheitslücke: Fidorbankdaten werden von Hackern via Phising beschafft. Danach wird der Mobilfunkanbieter ausfindig gemacht und sich eine Ersatz-Simkarte beschafft (davon bekommt ihr schon gar nichts mehr mit). Mit der neuen Simkarte kann der Hacker nun euer Konto leer räumen und dies auch brav via mTan bestätigen.

Von dieser Sicherheitslücke ist nicht nur die Fidorbank betroffen, sondern auch andere Onlinebanken. Aber da Bitcoin.de eine Partnerschaft mit Fidor eingegangen ist, erwarte ich dahingehend schnelle und kostenfreie Abhilfe und ein Statement von beiden Seiten zu der derzeitigen Situation.

Ich hatte das so verstanden, dass das Problem darin bestand, dass die mTANs der Volksbank gekapert wurden. Mit den geklauten pers. Daten wurde ein neues Konto bei Fidor aufgemacht, das Geld von der Volksbank zur Fidor gesendet und dann über bitcoin.de in BTC getauscht und dann ab dafür...

2 Problemstellen: mTAN generell und Identifikation bei Fidor. Und natürlich PEBCAK (Phishing).

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Geschrieben (bearbeitet)
vor 59 Minuten schrieb fox42:

2 Problemstellen: mTAN generell und Identifikation bei Fidor. Und natürlich PEBCAK (Phishing).

Tausche das PEBCAK mal gegen fehlende Signaturen aus. Selbst erfahrene Anwender haben bei Fidor keine Chance echte von unechten Emails zu unterscheiden weil die Fidor zu blöd ist grundsätzlich alle Email zu signieren was Grundvoraussetzung für einen wirksamen Phishing Schutz ist.

bearbeitet von skunk

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 2 Minuten schrieb skunk:

Tausche das PEBCAK mal gegen fehlende Signaturen aus. Selbst erfahrene Anwender haben bei Fidor keine Chance echte von unechten Emails zu unterscheiden weil die Fidor zu blöd ist grundsätzlich alle Email zu signieren was Grundvoraussetzung für einen wirksamen Phishing Schutz ist.

Okay. Erweiterung: Emails heutzutage sind eine sicherheitstechnische Katastrophe. Schön wäre es, wenn Emails einfacher zu signieren und zu verschlüsseln wären und jeder (auch normale nicht Technikexperten) sofort erkennen, ob eine Email authentisch ist.

Unabhängig davon versuche ich es zu vermeiden, auf einen Link in einer Email zu klicken und vor allem danach dann in das Fenster meine Zugangsdaten einzugeben.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Geschrieben (bearbeitet)
vor einer Stunde schrieb fox42:

Ich hatte das so verstanden, dass das Problem darin bestand, dass die mTANs der Volksbank gekapert wurden. Mit den geklauten pers. Daten wurde ein neues Konto bei Fidor aufgemacht, das Geld von der Volksbank zur Fidor gesendet und dann über bitcoin.de in BTC getauscht und dann ab dafür...

2 Problemstellen: mTAN generell und Identifikation bei Fidor. Und natürlich PEBCAK (Phishing).

Nein, das Problem liegt bei Fidor und anderen Online/Direktbanken.

Die Volksbank nutzt lustige kleine Scanner, in die man seine Karte reinschiebt und dann einen Code auf dem Bildschirm scannt bis schließlich ein TAN-Code auf dem Scanner erscheint. Um das auszuhebeln müsste man schon Nutzer-ID, Passwort und eine Kopie der Originalkarte haben. Das ist also wesentlich aufwändiger zu beschaffen.

Was Phishing angeht: Niemals externe Links benutzen (schon gar nicht, wenn sie dich direkt zur Passwortabfrage umleiten), keine Links in Emails benutzen, keine Mails mit Anhängen öffnen, ein Leistungsfähiger Virenscanner ist für Arbeitscomputer absolute Pflicht (um Auslesesoftware frühzeitig zu erkennen und zu löschen)

Sollte ich mit folgenden Passwörtern Zugriff auf euer Fidorkonto bekommen, dürft ihr mir euer Geld auch gerne direkt überweisen: Gast123 Nutzer123 qwertz asdfgh yxcvbn strgaltgr einfgpos1bild entfendebild

bearbeitet von GutGeschätzt

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 3 Minuten schrieb GutGeschätzt:

Nein, das Problem liegt bei Fidor und anderen Online/Direktbanken.

Die Volksbank nutzt lustige kleine Scanner, in die man seine Karte reinschiebt und dann einen Code auf dem Bildschirm scannt bis schließlich ein TAN-Code auf dem Scanner erscheint. Um das auszuhebeln müsste man schon Nutzer-ID, Passwort und eine Kopie der Originalkarte haben. Das ist also wesentlich aufwändiger zu beschaffen.

Ah ok, die chipTAN. Das sollte ausreichend sicher sein. Aber der restliche Hergang passt?

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 1 Minute schrieb fox42:

Schön wäre es, wenn Emails einfacher zu signieren und zu verschlüsseln wären und jeder (auch normale nicht Technikexperten) sofort erkennen, ob eine Email authentisch ist.

So schwer ist das nun wirklich nicht. Einfach Thunderbird und dann das Plugin Enigmail installieren. Die öffentlichen Schlüssel kann man dann über Keybase austauschen.

Bei Problemen einfach fragen. Das Setup kostet ein paar zusätzliche clicks. Am Ende werden alle Emails automatisch signiert oder sogar verschlüsselt.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

So wie ich das mitbekommen habe, haben in den letzten Monaten mehre Banken (ING, BWBank, Commerzbank) die Sicherheitsmechanismen verändert. Es werden von diesen Banken keine SMS-Tan mehr akzeptiert. Sie bieten andere Wege und Verfahren an. (Push-Tan oder Verifizierung durch eine gesonderte App). Man kann sich natürlich die Frage stellen, ob diese Banken das aus Jux und Dollerei machen.

Rainer

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 7 Minuten schrieb fox42:

Ah ok, die chipTAN. Das sollte ausreichend sicher sein. Aber der restliche Hergang passt?

Der Rest passt soweit.

Fidors Problem ist: Sie wollen komfortabel sein. Komfortabel heißt einfach und einfach heißt unsicher. Mir wäre es lieber, sie würden kostenlos Bankcards rausrücken und ebenfalls chipTAN nutzen. Und falls dem schon so sein sollte, dass sie chipTAN anbieten, sollte es das Hauptverfahren werden und smsTAN dahingehend ablösen.

Ich benutze Fidor nur als Mittelsmann fürs Einzahlen und Auscashen meiner Cryptogeschäfte. Das heißt, es sind kaum Bestände auf dem Konto oder größere Bestände werden direkt weitergeleitet. Ich will nicht den Tag erleben, an dem dieser kurze Zeitraum ausgenutzt wird, um mich meiner Gewinne zu erleichtern. Glücklicherweise sind wir noch ein wenig entfernt von der nächsten Cryptoblase. Fidor hat nun Zeit, und die sollten sie dringlichst nutzen, um diese Sicherheitslücke zu schließen, dauerhaft.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 9 Minuten schrieb skunk:

So schwer ist das nun wirklich nicht. Einfach Thunderbird und dann das Plugin Enigmail installieren. Die öffentlichen Schlüssel kann man dann über Keybase austauschen.

Bei Problemen einfach fragen. Das Setup kostet ein paar zusätzliche clicks. Am Ende werden alle Emails automatisch signiert oder sogar verschlüsselt.

Ich weiß.. Aber, wer macht das? Der durchschnittliche Nutzer ist froh, wenn er seine Emails überhaupt lesen kann, der denkt über sowas nicht nach.

Outlook macht das ja eigtl auch ganz nett. Theoretisch wird alles signiert, wenn man erst mal ein Zertifikat drin hat. Wenn möglich, wird auch verschlüsselt. Hatten wir auch schon mal alles eingerichtet. Dann gibt Outlook auch brav Warnmeldungen, wenn man nicht verschlüsseln kann, weil man das Zertifikat von einem der Empfänger noch nicht hat usw. Es wird nicht wirklich komfortabler. Was ich nur sagen will: Es ist alles möglich, aber nicht so einfach, dass einfach alle Emails von allen Nutzern einfach verschlüsselt sind.

Dafür müsste es so einfach wie bei Whattsapp zu bedienen sein (keine Aussage darüber, wie sicher das ist, es geht um UX). User installiert, User startet Chat, Chat verschlüsselt. Hups. Das ging ja schnell. Wenn es komplizierter als das ist, wird es immer Nutzer geben, die keine Signatur erkennen bzw. kontrollieren und in eine Phishing-Falle tappen.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 2 Minuten schrieb GutGeschätzt:

Der Rest passt soweit.

Fidors Problem ist: Sie wollen komfortabel sein. Komfortabel heißt einfach und einfach heißt unsicher. Mir wäre es lieber, sie würden kostenlos Bankcards rausrücken und ebenfalls chipTAN nutzen. Und falls dem schon so sein sollte, dass sie chipTAN anbieten, sollte es das Hauptverfahren werden und smsTAN dahingehend ablösen.

Ich benutze Fidor nur als Mittelsmann fürs Einzahlen und Auscashen meiner Cryptogeschäfte. Das heißt, es sind kaum Bestände auf dem Konto oder größere Bestände werden direkt weitergeleitet. Ich will nicht den Tag erleben, an dem dieser kurze Zeitraum ausgenutzt wird, um mich meiner Gewinne zu erleichtern. Glücklicherweise sind wir noch ein wenig entfernt von der nächsten Cryptoblase. Fidor hat nun Zeit, und die sollten sie dringlichst nutzen, um diese Sicherheitslücke zu schließen, dauerhaft.

War jetzt nicht das Problem, dass es Leute schaffen, sich mit geklauten Identitäten da ein Konto zu eröffnen? Das fände ich viel dramatischer..

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 9 Minuten schrieb fox42:

War jetzt nicht das Problem, dass es Leute schaffen, sich mit geklauten Identitäten da ein Konto zu eröffnen? Das fände ich viel dramatischer..

Das ist ein weiteres Problem.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Geschrieben (bearbeitet)
vor 1 Stunde schrieb skunk:

Tausche das PEBCAK mal gegen fehlende Signaturen aus. Selbst erfahrene Anwender haben bei Fidor keine Chance echte von unechten Emails zu unterscheiden weil die Fidor zu blöd ist grundsätzlich alle Email zu signieren was Grundvoraussetzung für einen wirksamen Phishing Schutz ist.

Selbst Bitcoin.de bietet optional PGP im Emailverkehr an. Man muss also nichts neues erfinden.

Aber ohne Signatur ist es ein Graus.

Und fürs Banking gibt's auch HBCI. Nicht das neuste, aber um Längen besser als was sonst da alles läuft. 

Axiom

bearbeitet von Axiom0815

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Clear editor

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Melde dich an, um diesem Inhalt zu folgen  

×
×
  • Neu erstellen...

Wichtige Information

Wir speichern Cookies auf Ihrem Gerät, um diese Seite besser zu machen. Sie können Ihre Cookie-Einstellungen anpassen, ansonsten gehen wir davon aus, dass Sie damit einverstanden sind. In unseren Datenschutzerklärungen finden sie weitere Informationen.