Zum Inhalt springen

Fidor und seine Sicherheitslücken

GutGeschätzt

Von GutGeschätzt
in Bitcoin.de

 Teilen

Empfohlene Beiträge

GutGeschätzt

GutGeschätzt

Geschrieben
Geschrieben

Da es jetzt schon an die Massenmedien durchgedrungen ist, hier nun meine Frage in Richtung Bitcoin.de und seiner Partnerbank Fidor:

Ist für die Zukunft geplant, das relativ unsichere mTan Verfahren gegen eine bessere Technik auszutauschen?

Ich will nicht ständig die Überweisungen zwischen meinem regulären Konto und dem Fidorkonto bestätigen müssen. Noch schlimmer wäre es, wenn Überweisungen gar nicht mehr möglich wären, weil sich meine Bank weigert, an ein Fidorkonto zu überweisen (erste Fälle dahingehend gab es schon, auch wenn meine Bank noch nicht betroffen ist).

Zur Erklärung der Sicherheitslücke: Fidorbankdaten werden von Hackern via Phising beschafft. Danach wird der Mobilfunkanbieter ausfindig gemacht und sich eine Ersatz-Simkarte beschafft (davon bekommt ihr schon gar nichts mehr mit). Mit der neuen Simkarte kann der Hacker nun euer Konto leer räumen und dies auch brav via mTan bestätigen.

Von dieser Sicherheitslücke ist nicht nur die Fidorbank betroffen, sondern auch andere Onlinebanken. Aber da Bitcoin.de eine Partnerschaft mit Fidor eingegangen ist, erwarte ich dahingehend schnelle und kostenfreie Abhilfe und ein Statement von beiden Seiten zu der derzeitigen Situation.

  • Like 1
Link zu diesem Kommentar
Auf anderen Seiten teilen
fox42

fox42

Geschrieben
Geschrieben
vor 8 Minuten schrieb GutGeschätzt:

Da es jetzt schon an die Massenmedien durchgedrungen ist, hier nun meine Frage in Richtung Bitcoin.de und seiner Partnerbank Fidor:

Ist für die Zukunft geplant, das relativ unsichere mTan Verfahren gegen eine bessere Technik auszutauschen?

Ich will nicht ständig die Überweisungen zwischen meinem regulären Konto und dem Fidorkonto bestätigen müssen. Noch schlimmer wäre es, wenn Überweisungen gar nicht mehr möglich wären, weil sich meine Bank weigert, an ein Fidorkonto zu überweisen (erste Fälle dahingehend gab es schon, auch wenn meine Bank noch nicht betroffen ist).

Zur Erklärung der Sicherheitslücke: Fidorbankdaten werden von Hackern via Phising beschafft. Danach wird der Mobilfunkanbieter ausfindig gemacht und sich eine Ersatz-Simkarte beschafft (davon bekommt ihr schon gar nichts mehr mit). Mit der neuen Simkarte kann der Hacker nun euer Konto leer räumen und dies auch brav via mTan bestätigen.

Von dieser Sicherheitslücke ist nicht nur die Fidorbank betroffen, sondern auch andere Onlinebanken. Aber da Bitcoin.de eine Partnerschaft mit Fidor eingegangen ist, erwarte ich dahingehend schnelle und kostenfreie Abhilfe und ein Statement von beiden Seiten zu der derzeitigen Situation.

Ich hatte das so verstanden, dass das Problem darin bestand, dass die mTANs der Volksbank gekapert wurden. Mit den geklauten pers. Daten wurde ein neues Konto bei Fidor aufgemacht, das Geld von der Volksbank zur Fidor gesendet und dann über bitcoin.de in BTC getauscht und dann ab dafür...

2 Problemstellen: mTAN generell und Identifikation bei Fidor. Und natürlich PEBCAK (Phishing).

Link zu diesem Kommentar
Auf anderen Seiten teilen
skunk

skunk

Geschrieben
Geschrieben (bearbeitet)
vor 59 Minuten schrieb fox42:

2 Problemstellen: mTAN generell und Identifikation bei Fidor. Und natürlich PEBCAK (Phishing).

Tausche das PEBCAK mal gegen fehlende Signaturen aus. Selbst erfahrene Anwender haben bei Fidor keine Chance echte von unechten Emails zu unterscheiden weil die Fidor zu blöd ist grundsätzlich alle Email zu signieren was Grundvoraussetzung für einen wirksamen Phishing Schutz ist.

Bearbeitet von skunk
Link zu diesem Kommentar
Auf anderen Seiten teilen
fox42

fox42

Geschrieben
Geschrieben
vor 2 Minuten schrieb skunk:

Tausche das PEBCAK mal gegen fehlende Signaturen aus. Selbst erfahrene Anwender haben bei Fidor keine Chance echte von unechten Emails zu unterscheiden weil die Fidor zu blöd ist grundsätzlich alle Email zu signieren was Grundvoraussetzung für einen wirksamen Phishing Schutz ist.

Okay. Erweiterung: Emails heutzutage sind eine sicherheitstechnische Katastrophe. Schön wäre es, wenn Emails einfacher zu signieren und zu verschlüsseln wären und jeder (auch normale nicht Technikexperten) sofort erkennen, ob eine Email authentisch ist.

Unabhängig davon versuche ich es zu vermeiden, auf einen Link in einer Email zu klicken und vor allem danach dann in das Fenster meine Zugangsdaten einzugeben.

Link zu diesem Kommentar
Auf anderen Seiten teilen
GutGeschätzt

GutGeschätzt

Geschrieben
  • Autor
Geschrieben (bearbeitet)
vor einer Stunde schrieb fox42:

Ich hatte das so verstanden, dass das Problem darin bestand, dass die mTANs der Volksbank gekapert wurden. Mit den geklauten pers. Daten wurde ein neues Konto bei Fidor aufgemacht, das Geld von der Volksbank zur Fidor gesendet und dann über bitcoin.de in BTC getauscht und dann ab dafür...

2 Problemstellen: mTAN generell und Identifikation bei Fidor. Und natürlich PEBCAK (Phishing).

Nein, das Problem liegt bei Fidor und anderen Online/Direktbanken.

Die Volksbank nutzt lustige kleine Scanner, in die man seine Karte reinschiebt und dann einen Code auf dem Bildschirm scannt bis schließlich ein TAN-Code auf dem Scanner erscheint. Um das auszuhebeln müsste man schon Nutzer-ID, Passwort und eine Kopie der Originalkarte haben. Das ist also wesentlich aufwändiger zu beschaffen.

Was Phishing angeht: Niemals externe Links benutzen (schon gar nicht, wenn sie dich direkt zur Passwortabfrage umleiten), keine Links in Emails benutzen, keine Mails mit Anhängen öffnen, ein Leistungsfähiger Virenscanner ist für Arbeitscomputer absolute Pflicht (um Auslesesoftware frühzeitig zu erkennen und zu löschen)

Sollte ich mit folgenden Passwörtern Zugriff auf euer Fidorkonto bekommen, dürft ihr mir euer Geld auch gerne direkt überweisen: Gast123 Nutzer123 qwertz asdfgh yxcvbn strgaltgr einfgpos1bild entfendebild

Bearbeitet von GutGeschätzt
Link zu diesem Kommentar
Auf anderen Seiten teilen
fox42

fox42

Geschrieben
Geschrieben
vor 3 Minuten schrieb GutGeschätzt:

Nein, das Problem liegt bei Fidor und anderen Online/Direktbanken.

Die Volksbank nutzt lustige kleine Scanner, in die man seine Karte reinschiebt und dann einen Code auf dem Bildschirm scannt bis schließlich ein TAN-Code auf dem Scanner erscheint. Um das auszuhebeln müsste man schon Nutzer-ID, Passwort und eine Kopie der Originalkarte haben. Das ist also wesentlich aufwändiger zu beschaffen.

Ah ok, die chipTAN. Das sollte ausreichend sicher sein. Aber der restliche Hergang passt?

Link zu diesem Kommentar
Auf anderen Seiten teilen
skunk

skunk

Geschrieben
Geschrieben
vor 1 Minute schrieb fox42:

Schön wäre es, wenn Emails einfacher zu signieren und zu verschlüsseln wären und jeder (auch normale nicht Technikexperten) sofort erkennen, ob eine Email authentisch ist.

So schwer ist das nun wirklich nicht. Einfach Thunderbird und dann das Plugin Enigmail installieren. Die öffentlichen Schlüssel kann man dann über Keybase austauschen.

Bei Problemen einfach fragen. Das Setup kostet ein paar zusätzliche clicks. Am Ende werden alle Emails automatisch signiert oder sogar verschlüsselt.

  • Like 1
Link zu diesem Kommentar
Auf anderen Seiten teilen
Aktienspekulaant

Aktienspekulaant

Geschrieben
Geschrieben

So wie ich das mitbekommen habe, haben in den letzten Monaten mehre Banken (ING, BWBank, Commerzbank) die Sicherheitsmechanismen verändert. Es werden von diesen Banken keine SMS-Tan mehr akzeptiert. Sie bieten andere Wege und Verfahren an. (Push-Tan oder Verifizierung durch eine gesonderte App). Man kann sich natürlich die Frage stellen, ob diese Banken das aus Jux und Dollerei machen.

Rainer

Link zu diesem Kommentar
Auf anderen Seiten teilen
GutGeschätzt

GutGeschätzt

Geschrieben
  • Autor
Geschrieben
vor 7 Minuten schrieb fox42:

Ah ok, die chipTAN. Das sollte ausreichend sicher sein. Aber der restliche Hergang passt?

Der Rest passt soweit.

Fidors Problem ist: Sie wollen komfortabel sein. Komfortabel heißt einfach und einfach heißt unsicher. Mir wäre es lieber, sie würden kostenlos Bankcards rausrücken und ebenfalls chipTAN nutzen. Und falls dem schon so sein sollte, dass sie chipTAN anbieten, sollte es das Hauptverfahren werden und smsTAN dahingehend ablösen.

Ich benutze Fidor nur als Mittelsmann fürs Einzahlen und Auscashen meiner Cryptogeschäfte. Das heißt, es sind kaum Bestände auf dem Konto oder größere Bestände werden direkt weitergeleitet. Ich will nicht den Tag erleben, an dem dieser kurze Zeitraum ausgenutzt wird, um mich meiner Gewinne zu erleichtern. Glücklicherweise sind wir noch ein wenig entfernt von der nächsten Cryptoblase. Fidor hat nun Zeit, und die sollten sie dringlichst nutzen, um diese Sicherheitslücke zu schließen, dauerhaft.

Link zu diesem Kommentar
Auf anderen Seiten teilen
fox42

fox42

Geschrieben
Geschrieben
vor 9 Minuten schrieb skunk:

So schwer ist das nun wirklich nicht. Einfach Thunderbird und dann das Plugin Enigmail installieren. Die öffentlichen Schlüssel kann man dann über Keybase austauschen.

Bei Problemen einfach fragen. Das Setup kostet ein paar zusätzliche clicks. Am Ende werden alle Emails automatisch signiert oder sogar verschlüsselt.

Ich weiß.. Aber, wer macht das? Der durchschnittliche Nutzer ist froh, wenn er seine Emails überhaupt lesen kann, der denkt über sowas nicht nach.

Outlook macht das ja eigtl auch ganz nett. Theoretisch wird alles signiert, wenn man erst mal ein Zertifikat drin hat. Wenn möglich, wird auch verschlüsselt. Hatten wir auch schon mal alles eingerichtet. Dann gibt Outlook auch brav Warnmeldungen, wenn man nicht verschlüsseln kann, weil man das Zertifikat von einem der Empfänger noch nicht hat usw. Es wird nicht wirklich komfortabler. Was ich nur sagen will: Es ist alles möglich, aber nicht so einfach, dass einfach alle Emails von allen Nutzern einfach verschlüsselt sind.

Dafür müsste es so einfach wie bei Whattsapp zu bedienen sein (keine Aussage darüber, wie sicher das ist, es geht um UX). User installiert, User startet Chat, Chat verschlüsselt. Hups. Das ging ja schnell. Wenn es komplizierter als das ist, wird es immer Nutzer geben, die keine Signatur erkennen bzw. kontrollieren und in eine Phishing-Falle tappen.

Link zu diesem Kommentar
Auf anderen Seiten teilen
fox42

fox42

Geschrieben
Geschrieben
vor 2 Minuten schrieb GutGeschätzt:

Der Rest passt soweit.

Fidors Problem ist: Sie wollen komfortabel sein. Komfortabel heißt einfach und einfach heißt unsicher. Mir wäre es lieber, sie würden kostenlos Bankcards rausrücken und ebenfalls chipTAN nutzen. Und falls dem schon so sein sollte, dass sie chipTAN anbieten, sollte es das Hauptverfahren werden und smsTAN dahingehend ablösen.

Ich benutze Fidor nur als Mittelsmann fürs Einzahlen und Auscashen meiner Cryptogeschäfte. Das heißt, es sind kaum Bestände auf dem Konto oder größere Bestände werden direkt weitergeleitet. Ich will nicht den Tag erleben, an dem dieser kurze Zeitraum ausgenutzt wird, um mich meiner Gewinne zu erleichtern. Glücklicherweise sind wir noch ein wenig entfernt von der nächsten Cryptoblase. Fidor hat nun Zeit, und die sollten sie dringlichst nutzen, um diese Sicherheitslücke zu schließen, dauerhaft.

War jetzt nicht das Problem, dass es Leute schaffen, sich mit geklauten Identitäten da ein Konto zu eröffnen? Das fände ich viel dramatischer..

Link zu diesem Kommentar
Auf anderen Seiten teilen
Axiom0815

Axiom0815

Geschrieben
Geschrieben (bearbeitet)
vor 1 Stunde schrieb skunk:

Tausche das PEBCAK mal gegen fehlende Signaturen aus. Selbst erfahrene Anwender haben bei Fidor keine Chance echte von unechten Emails zu unterscheiden weil die Fidor zu blöd ist grundsätzlich alle Email zu signieren was Grundvoraussetzung für einen wirksamen Phishing Schutz ist.

Selbst Bitcoin.de bietet optional PGP im Emailverkehr an. Man muss also nichts neues erfinden.

Aber ohne Signatur ist es ein Graus.

Und fürs Banking gibt's auch HBCI. Nicht das neuste, aber um Längen besser als was sonst da alles läuft. 

Axiom

Bearbeitet von Axiom0815
  • Thanks 1
Link zu diesem Kommentar
Auf anderen Seiten teilen

Erstelle ein Benutzerkonto oder melde Dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde Dich hier an.

Jetzt anmelden
 Teilen
Zur Themenübersicht
×
×
  • Neu erstellen...

Wichtige Information

Wir haben Cookies auf Deinem Gerät platziert. Das hilft uns diese Webseite zu verbessern. Du kannst die Cookie-Einstellungen anpassen, andernfalls gehen wir davon aus, dass Du damit einverstanden bist, weiterzumachen.