Sicherheit von Bankkonten

[Marcus Fabian]

Vor etwa einem Monat hat sich meine Tochter beklagt, dass etwa Fr. 150 von ihrem UBS-Bankkonto verschwunden sind. Sie schwört Stein und Bein, dass sie selbst kein Geld abgehoben hat.Sie ging darauf zur UBS (Schalter) und verlangte Aufklärung. Nicht nur das sondern auch, dass ihr Konto und ihre Karte zur Sicherheit gesperrt würde.Diesen Monat sind wieder Fr. 200.- von ihrem Konto verschwunden.Die UBS war nicht ganz untätig. Sie ist den Abbuchungen nachgegangen und hat dabei festgestellt, dass der Betrag via e-Banking von einem öffentlichen WLan Zugang im McDonalds Zofingen aus auf ein PayPal-Konto überwiesen wurde.Mit der Begründung, dass weitere Nachforschungen zu teuer und aufwändig und bei einem Schaden von Fr. 200.- nicht gerechtfertigt wären, hat sich die UBS bereit erklärt, meiner Tochter ein neues Konto zu eröffnen, eine neue Karte auszustellen und die Fr. 200.- zu ersetzen. Obschon meiner Tochter unter dem Strich also kein Schaden entstanden ist, bleiben für mich doch einige Fragen offen: * Wie ist es möglich, dass ein Hacker elektronisch und ohne Zugriff auf eine Streichliste, TAN oder SMSCode ein Konto hacken und Geld abzweigen kann?* Warum forscht die UBS da nicht weiter? Schliesslich könnte es sich doch um ein generelles Problem handeln und auch Sicherheitslücken von Konten gefunden werden, wo mehr als nur wenige Hundert Franken drauf sind.Falls jemand in der Bankenbranche arbeitet, wäre ich interessiert, seine Meinung zu diesem Thema zu lesen.

 

[bscyb]

Wenn ich fragen darf (da ich kein Konto bei der UBS habe), was hatte das Konto Deiner Tochter für Sicherheitseinstellungen zusätzlich zum Login? Strichliste oder Gerät ?So oder so verstehe ich nicht, wie sie in das Konto kamen ohne Gerät oder die Strichliste/andere Sicherheitsbarrieren, ich habe die gleichen Fragen Ohne Jemanden etwas zu unterstellen müsste es fast eine Bekannte/Kollegin Deiner Tochter gewesen sein, die Zugriff auf diese Zusatzinfos hatte bei einem Besuch etc.PS: Oder doch Abbuchung über ein Skimming an einem UBS-Bankomaten? Das würde technisch eher Sinn machen.

 

[ramschpapierhaendler]

Ist ja hammerhart!Blöde Frage: Wie hat sie das gemerkt? Erscheinen die Buchungen normal auf dem Auszug oder war einfach nur der Saldo tiefer?(Bin mir eben nicht sicher, ob ich das selbst merken würde) Kann es nicht auch sein, dass die UBS der Sache schon nachgeht, nach aussen aber nichts kommuniziert weil es theoretisch, aus Sicht der UBS ja sein könnte, dass Deine Tochter selbst dahinter steckt?

 

[Marcus Fabian]

Wenn ich fragen darf (da ich kein Konto bei der UBS habe), was hatte das Konto Deiner Tochter für Sicherheitseinstellungen zusätzlich zum Login? Strichliste oder Gerät ?

So weit ich weiss TAN. Also eine Art Taschenrechner in Kreditkartengrösse, der alle Minute einen neuen Code ausspuckt.

 

[Marcus Fabian]

Ist ja hammerhart!Blöde Frage: Wie hat sie das gemerkt? Erscheinen die Buchungen normal auf dem Auszug oder war einfach nur der Saldo tiefer?

Also mal grundsätzlich: Wir sprechen hier vom Taschengeldkonto meiner Tochter auf das ich jeweils Anfang Monat per Dauerauftrag Fr. 200.- Taschengeld überweise.Meine Tochter hat sich von 3 Jahren für UBS entschieden, weil das (damals) die einzige Bank war, die EC-Karten für Kinder ab 12j. angeboten hat. Und das fand sie cool. Auch, dass UBS Key-Club iTunes-Guthaben etc. verschenkt. Insofern mal ein Kompliment an die UBS, die haben es ab 2009 nach der Finanzkrise durchaus geschafft, die Kinder zu ködern Kontoauszüge in schriftlicher Form kommen einmal pro Monat. Also mit ziemlicher Verspätung. Aber über e-banking hat man natürlich immer schnell den Überblick. Aber meine Tochter benutzt nie oder kaum e-banking. Wozu auch. Das meiste ist Bargeldbezug am Bancomat oder Direktkauf mit der EC-Karte.Bemerkt hat sie es Anfang April, als sie in der ersten Aprilwoche so um die 40 Franken ausgegeben hatte (entsprechend sicher war, dass noch mindestens Fr. 160 auf dem Konto sind) und etwas für rund Fr. 100 mit EC bezahlen wollte. Das klappte nicht (Kinder-Konten haben keine Überziehungslimite) und so hat sie a) mich um die Kohle angepumpt und b) die UBS besucht.Wie gesagt, es geht nicht um die paar Hunderter sondern ums Prinzip. Mir macht das echt Angst, wenn ich mir vorstelle, dass Konten ohne TAN/Strichcode/SMSCode von aussen gehackt und geplündert werden können. Was mit einem 200-Franken Konto passiert, könnte ja genau so gut mit einem 200-Millionen-Franken-Konto passieren. Ich glaube nämlich nicht, dass die Sicherheitsstufen der UBS mit der Grösse des Bankkontos variieren.

 

[Marcus Fabian]

http://de.wikipedia.org/wiki/Man-in-the-middle-Angriff

Interessante Idee. Die ist mir aus dem Militär geläufig, hatte da einiges mit EKF (Elektronische Kriegsführung) zu tun. Aber darüber muss ich mich ausschweigen.Es gibt einiges, was dagegen spricht, dass das die Methode zur Plünderung war.1. Besagte Überweisung erfolgte aus dem McDonalds Zofingen. Zofingen ist gut 50km Luftlinie von uns entfernt (wir leben bei Bern).2. Im Gegensatz zu mir benutzt meine Tochter e-Banking selten bis nie. Sie plündert in der Regel ihr Konto via Bancomat oder kauft direkt mit Karte. Es wäre also nicht opportun zu warten, bis sie eine entsprechende SMS bekommt (sprich: aktiv e-banking einloggt).3. Der Aufwand würde sich bei mir eher lohnen als beim Konto meiner Tochter. Allerdings habe ich mein Konto nicht bei der UBS.Fazit: Wenn jemand ein Kinderkonto plündert, dann eigentlich nur, weil die leichter zu knacken sind (was ich eigentlich nicht so recht glauben kann).Ich meine, sind wir mal ehrlich: Einem Kind, das 200/Mt. umsetzt fällt schon ein Verlust von Fr. 20 auf. Da wäre es sinnvoller, sich einen Reichen zu schnappen, der Beträge unter Fr. 1000 gar nicht erst in Frage stellt.

 

[Marcus Fabian]

Das ist grundlagen Wissen. Schau dich mal im Internet rum oder das Buch von Klaus Schmeh bzw. Bruce Schneier. Nichts Geheim, alles öffentlich zugänglich

Schon klar: Die Methoden, wie man sich in die Kommunikation zwischen A und B hängt, sodass beide meinen, sie würden miteinander kommunizieren, statt dessen kommunizieren sie mit Dir. Aber darum geht es nicht. Nicht, wenn gar keine e-Banking Verbindung stattfindet, und es somit keinen Angriffspunkt zum reinhacken gibt.

 

[CrashGuru]

Spannend. Fasse mal zusammen- UBS-Konto mit e-banking Zugriff (damit kann ich auch dienen)- Ich weiss nicht genau ob das bei dem besagten Konto gleich ist. Bei mir geht das nun so:- Ich rufe die UBS-Seite auf, Kontrolle htpps - Ich gebe meine Vertragsnummer ein- Ich erhalte neue Seite mit einer CodenummerIch nehme nun das Lesegerät, für welches ich eine spezielle Codekarte mit Chip (NICHT die Kreditkarte) habe, gebe meinen persönlichen Code ein worauf ich die erhaltene Codenummer (Buchstaben und Zahlen immer 8) eingeben muss.- Das Lesegerät gibt mir darauf eine Nummer zurück, die ich auf der Seite eingeben mussWenn alles funzt, kann ich ans Geld ran.... :mrgreen: Wie auf Grund dieses Vorgehens in einem McDonalds mit WLAN ein fremder Zugriff möglich ist, kann ich nur mit einem "man in the middle" Angriff über eine gefakte UBS-Seite sehen. Denn die Manipulationen müssen ja aktuell erfolgen und können nicht irgendwo abgeschrieben werden. Die Codezahlen sind immer neu. Würde aber heissen, Deine Tochter hätte in unmittelbarer Nähe solche Transaktionen ausführen müssen. Und das zweimal!Also absolut schleierhaft. Und ich glaube nicht, dass die Transaktion tatsächlich aus diesem McDonalds über WLAN erfolgten, sofern bei ihr das gleiche System läuft wie bei mir.

 

[Marcus Fabian]

Irgendwo muss wärend des Online-Banking Lifecycle was passiert sein, dass unbefugte die Daten erhalten haben.

Genau das ist der Punkt: Man in the middle heisst ja, dass ...* meine Tochter sich mit der UBS verbinden will. * Das merkt der Hacker, der im Netz ist und leitet ihre Anfrage auf seinen Rechner um. * Er ruft nun auf zweiter Linie die eBanking Seite der UBS auf.* Die UBS-Seite verlangt den Code vom Hacker* Der Hacker spielt UBS und leitet die Anfrage an meine Tochter weiter.* Die gibt den Code ein, im Glauben sie sei mit der UBS verbunden.* Der Hacker leitet nun den Code an die UBS weiter, die glaubt, meine Tochter hätte sich eingeloggt.... und so weiter. Der Hacker muss von nun an beide Seiten bedienen bis die Verbindung unterbrochen wird.Schadsoftware ist ein Problem bei meiner Tochter. Das muss ich zugeben. Die surft derart leichtgläubig im Internet 'rum, dass mir manchmal die Haare zu Berge stehen.

 

[bscyb]

Nun, das Spannende an der Geschichte: Angenommen ich als Bank würde diese Geschichte hören, würde ich wohl so argumentieren:"Ihre Tochter hat mit Laptop und Lesegerät das Geld selbst im McDonalds abgehoben/überwiesen etc."Warum glaubte die UBS der Argumentation Deiner Tochter? Beweisen konnte sie es ja ihre Version nicht (?).Das deutet für mich darauf hin, dass es wohl kein Einzelfall war für die UBS oder sonst eine Fehlbuchung...denn via TAN ist ein Kapern der "Session", Man-in-the-Middle Angriff oder ähnlich mehr als aufwendig.Sonst würde ich mich auch mal mit PP in Verbindung setzen, wie myst3r10n vorgeschlagen hat. Ich nehme an, auf dieses PP-Konto wurde noch mehr Geld überwiesen, wird wohl kein Einzelfall sein, dafür wäre der Aufwand schlicht zu gross...

 

[Perry2000]

@MFDu hast doch aber geschrieben, dass Deine Tochter Ebanking selten bis nie benutzt.Dann kann es ja fast nicht sein, dass das Geld so verschwindet Zudem sieht man normalerweise beim Login, wann die letzte Anmeldung bei der Bank war.

 

[CrashGuru]

Postfinance hat übrigens auch solche Rechner. Das Prozedere ist ähnlich wie UBS, allerdings etwas aufwändiger. Und Postfinance bietet eine eigene Java-Platform an. Damit umgeht man die bekannten Browser!

 

[bscyb]

denn via TAN ist ein Kapern der "Session", Man-in-the-Middle Angriff oder ähnlich mehr als aufwendig.

Wir täglich gemacht, ein eingespieltes Team hat keine Probleme damit. Für einen der das zum ersten mal macht ist es durchaus aufwending. Das gleiche mit der manipulation von Geldautomaten, am Anfang schwierieg. Wenn die eigene Technik aber mal augereift ist, die Szenarien mehrmals eroflgreich angewendet, bleibt es ein Kinderspiel. Für Geld kann auch das nötige Know How im Netz eingekauft werden. Ist nicht neu das bspw. Viren oder Malware auf Bestellung für paar Dollar geliefert werden.

Hmm, aber warum ein Login aus einem McDonalds in Zofingen in diesem Fall? Bei Kapern der Session/ManintheMiddle etc. würde ich das anschliessende Login eher im Ausland vermuten...

 

[Metropolit]

Wiso hat deine Tochter kein Metallkonto? Ich kann mir die ganze Sache auch nicht genau erklären. Vor Allem, wenn sich nicht eingeloggt hat. ausserdem: Interessant, wieviele Bankverflucher und Anti UBS-Retter Ihr Konto immer noch dort haben.

 

[fritz]

* Warum forscht die UBS da nicht weiter? Schliesslich könnte es sich doch um ein generelles Problem handeln und auch Sicherheitslücken von Konten gefunden werden, wo mehr als nur wenige Hundert Franken drauf sind.

Die forschen da bestimmt weiter aber wollen das nicht an die grosse Glocke hängen, es geht ja um das Sicherheitsbewusstsein der Kunden und die Vertrauenswürdigkeit der UBS und des E-Banking im allgemeinen. Die Banken haben uns in den letzten Jahren das E-Banking aufgezwungen, da sieht es schlecht aus, wenn sie heute in der Öffentlichkeit zugeben, dass es nicht sicher ist.Also besser schnell mal die 200 Stutz ersetzen als grosse Aufmerksamkeit erregen.

Wenn ich fragen darf (da ich kein Konto bei der UBS habe), was hatte das Konto Deiner Tochter für Sicherheitseinstellungen zusätzlich zum Login? Strichliste oder Gerät ?

So weit ich weiss TAN. Also eine Art Taschenrechner in Kreditkartengrösse, der alle Minute einen neuen Code ausspuckt.

Als Vater wäre es aber schon empfehlenswert, das zu wissen, und vielleicht den ganzen Vorgang mal zusammen mit der Tochter durchzuspielen. Umsomehr, wenn der Vater ein IT-Spezialist ist.

Schadsoftware ist ein Problem bei meiner Tochter. Das muss ich zugeben. Die surft derart leichtgläubig im Internet 'rum, dass mir manchmal die Haare zu Berge stehen.

Auch da könnte doch der Vater etwas mithelfen...Grussfritz

 

[Salla]

@ CrashGuruBei UBS wird zusätzlich bei Zahlungen, bei der 1sten Ueberweisung für einen neuen Begünstigten, ein neuer Code verlangt, der via Lesegerät berechnet wird. Die Limite ab welchem Betrag dieses Procedere stattfindet ist je nach Kontoart.@MFWäre nicht überrascht wenn die ganze Schule den Code weiss. Die Girls nehmen: JustinBieberILY2 (man sieht ja oft bei Bezug von Geld, dass eine ganze Traube von Kollegen am Automat mithilft)undFrage deine Tochter mal, wie oft sie das Passwort wechselt. Sei aber nicht erstaunt wenn als Antwort kommt: Wie macht man DasEs wird allgemein viel zu fahrlässig mit Passwörtern umgegangen. Bei der Benutzung von Karten nehmen viele einen Zettel hervor mit dem Passwort (und meistens ist es sogar das Initial Paswort). Auch wird nach Zahlungen vie Internet meistens der Browser nicht geleert obwohl dies vor verlassen der Seite empfohlen wird.Betrügern wird es oft (aber nicht immer) leicht gemacht.UBS ist bezüglich Sicherheit in Front (ist bereits vom letzten Jahr, haben aber bereits wieder div updates für mehr Sicherheit vorangetrieben)http://www.tagesanzeiger.ch/wirtschaft/ ... y/13095279und das LoginProcedures der UBS : Lese die Abschnitte Sicherheitslösung (nicht nur für IT freaks )http://www.ubs.com/2/g/ebanking_microsi ... urity.html

 

[Salla]

myst3r10nWie du siehts habe ich diese message gelöscht. Auch für deine Antwort gibt es keinen smily

 

[fritz]

Interessant auch, was die UBS als Software fürs E-Banking empfehlt:http://www.ubs.com/ch/de/online_service ... ments.htmlDa ist sowohl Windows wie Mac dabei - Linux, das sicherer ist, fehlt.Als PDF-Viewer wird Adobe empfohlen, genau derjenige mit den am meist ausgenützten Schwachstellen.Grussfritz

 

[CrashGuru]

@ CrashGuruBei UBS wird zusätzlich bei Zahlungen, bei der 1sten Ueberweisung für einen neuen Begünstigten, ein neuer Code verlangt, der via Lesegerät berechnet wird. Die Limite ab welchem Betrag dieses Procedere stattfindet ist je nach Kontoart.

Ja ist klar, habe ich vergessen, da das bei mir selbstverständlich ist. Vielleicht déf prof.... :dumm: Aber ist ein wichtiger Hinweis und ein gutes Sicherheitselement, hätte diesen Fall vielleicht sogar verhindert.

 

[CrashGuru]

Ich bin bisher verschont geblieben was Viren usw. angeht. Auch Bankingprobleme hatte ich nie. Einmal wurden mir Flugtickets für 3'500 CHF verrechnet, was aber ohne Probleme zurück gebucht wurde.Soweit so erstaunlich, da wir jedes Jahr während mindestens 5 Monaten im europäischen Ausland selbst über Internetcafes e-banking betrieben haben. Erst letztes Jahr nutzten wir einen USB-Stick mit UMTS usw. was ja sicherer sein sollte.... Aber die Unsicherheit bleibt schon, ich kontrolliere die Konti täglich nach solchen Transaktionen. Bisher wie gesagt, Glück gehabt.Wir werden wohl ein neues Konto eröffnen, das auf einem tiefen Saldo gehalten wird. Da kann dann der Verlust begrenzt werden. Ist zwar etwas umständlich, aber der Schlaf wird ruhiger