Warning: mysql_result(): supplied argument is not a valid MySQL result resource in /var/www/hosts/cases/inc/refcount.php on line 23
CASEScontact - solutions, tools & skills against latest security, cybercrime, hacking & malware threats
Zahlen und Fakten
     
Titel   10 Schritte auf dem Weg zum sicheren Online-Banking
Beschreibung   Checkliste, Ratgeber, Anleitung, Tools und Werkzeuge die Benutzern von e-Banking Dienstleistungen zu mehr Sicherheit verhelfen
CyTRAP lab ID   CT220014
Datum   2005-12-30
Betroffene Systeme  
Sprachauswahl  
Versionsnummer   1.0
ISSN   1603-9866
Tipp verifizieren   http://casescontact.org/tips/220014
Risikoeinschätzung   High
Auswirkungen   High
Audio/Podcast Dateien   CyTRAP PodCast Show - Mehr Sicherheit für ihre digitalen Vermögenswerte - Donnerstag, 30. Dezember 2005
 

Warum abonnieren sie die Tipps und Warnhinweise nicht direkt als Newsletter an ihre Email Adresse?:

Ihre Email Adresse: oder klicken Sie hier.
 

Um was geht's ?
     
   
Real Life Szenario Internet & PC Szenario
Um welche Art der Gefahr geht es ?    
Manchmal sind wir überrascht wieviel Information Leute über uns am Netz oder sonstwie herausspionieren wie z.B. Telefonnummer und Addresse.

Manchmal erhält eine fremde Person die Telefonnummer indem sie einen Bekannten frägt. In einem anderen Falle gibt eine Nachbarin die Information zufällig weiter das man 2 Wochen in den Ferien weilt, usw.

Das gleiche kann im online banking Umfeld passieren. Einer Person ihren Nutzernamen und Passwort kann man über irgendwelche Kanäle ausfindig machen.

Natürlich kann dies auch auf kriminelle Art und Weise geschehen indem auf dem PC installierte Spyware die Information an einen Hacker weitergibt.

Dieser Tipp zeigt ihnen wie man solche und andere Risiken im online-banking mit wenig Aufwand drastisch reduziert.
 
 

Problembeschreibung und Lösungsansätze
     
Admin  

Wir schätzen es sehr das sie sich die Mühe nehmen einen unser Tipps anzugucken. Um sicher zu sein, dass sie auch die neueste Version studieren empfehlen wir ihnen, dass sie den Tipp mit Hilfe des Links oben verifizieren. Wir verbessern unsere Tipps laufend, senden aber nicht immer eine aktualisierte Kopie zu unseren Leserinnen und Lesern.

Wir bitten siediese Informationen auch ihren Kolleginnen und Kollegen zukommen zu lassen, diese werden ihnen sicher für diese Hilfe dankbar sein.

  • Sie können diese Tipps auch direkt in ihre Mailbox erhalten indem sie sich jetzt gleich eine gratis Subskription sichern - jetzt abonnieren - dies wird sich führ sie lohnen
    PS. Bitte abonnieren sie die Warnungen & Tipps mit einer eMail Addresse zu welcher sie auch nach einem Wechsel des Arbeitgebers noch Zugang haben!
    •      
    Was bedeutet das für mich? Bin ich Gefährdet?  
    Warum ist dieser Tipp über online banking oder e-banking wichtig für sie? Aussagen wie 'Online-Bezahlen ohne Bedenken' oder 'Homebanking einfach & sicher' sind in der Praxis meist nicht zutreffend, d.h. ein gewisses Restrisiko verbleibt. Sie können jedoch mit wenig Aufwand die Sicherheit für ihre finanziellen Transaktionen am Internet markant verbessern. Dadurch wird das Surfen sicherer und die Risiken für einen finanziellen Schadensfall werden kleiner.

    1. Die Bedrohung kann sich in verschienen Formen manifestieren inclusive bösartiger Programmcode welcher die bekannte Verletzbarkeit ausnutzt (siehe auch weiter unten).

    2. Verletzbarkeit ergibt sich einerseits indem das System nicht sachgemäss geschützt ist oder der e-Banking Kunde das System nicht sachgemäss einstellt um damit die Risiken eines Schadensfalles möglichst klein zu halten. (z.B. Drucker- und File-Sharing sind aktiviert obwohl sie nicht gebraucht werden). Dies setzt den PC Risiken aus welche das Gefahrenpotential einem Hacker-Angriff zum Opfer zu fallen völlig unnötig vergrössern.

    3. Auswirkung ist sehr unangenehm da ein krimineller Nutzer unerlaubten Zugang zum System erhalten kann. Weitere Probleme ergeben sich dadurch, dass Software nach einem solchen Angriff nicht mehr richtig funktioniert wenn man berücksichtigt das Windows Operating Systeme jährlich über 30 Milliarden Abstürze registrieren, oder aber vertrauliche Information könnte von der Festplatte gestohlen werden
         
    Ich habe das Problem behoben - ist mir damit geholfen?
    How    		  
    In ihrem InternetBanking Vertrag steht sicherlich ein Passus der etwa wie folgt lautet:
    '...Der Kunde anerkennt vorbehaltlos alle auf seinen im Rahmen des InternetBanking ausgeschalteten Konten/Depots verbuchten Transaktionen, welche mittels InternetBanking in Verbindung mit seinen oder den Legitimationsmerkmalen seiner Bevollmächtigten, aber ohne schriftlichen Auftrag getätigt worden sind. Desgleichen gelten sämtliche Instruktionen, Aufträge und Mitteilungen, welche die Bank auf diesem Weg erreichen, als vom Zugriffsberechtigten verfasst und autorisiert....'
    Dies heisst soviel wie wenn ein Hacker sich illegalen Zugang zum InternetBanking verschafft, geht die Bank vorerst einmal davon aus das diese Transaktionen vom Kunden selber getätigt wurde. Falls dies nicht zutrifft muss der Kunde dies erst einmal bweisen. Ein oftmals sehr schwieriges Unterfangen. Deshalb ist es besster die Risiken so weit als möglich zu minimieren indem sie unseren Anleitungen genau Folge leisten.
         
    Wie könnte man die Lösung beschreiben?  

    Einige Leute schätzen, dass die kriminelle Nutzung eines Bankkontos dem Opfer neben Unkosten auch noch Aerger und 20 Stunden Arbeit verschafft um alles wieder ins Lot zu rücken. ==> Deshalb wollen sie das Risiko solcher unangenehmer Missgeschicke möglichst klein halten, indem sie den Anleitungen in unserem Ratgeber sehr genau folgen und somit nicht Opfer eines Internet Betrügers werden.

         
    Gibt es eine Lösung von Microsoft?  
    • Eins der einfachen Dinge dies sie machen können ist ein Programm mit dem Namen DropMyRights (Name und Programm sind nur auf Englisch erhältlich) von Microsoft zu nutzen.

      Dieses Programm erlaubt es ihnen den Computer als Administrator zu nutzen aber im Falle eines Programmes wie Internet Explorer können sie dieses Recht auch einschränken, d.h. der Nutzer hat keine speziellen Rechte mehr.Falls sie diese Loesung interessiert tun sie das Folgende::

      1. Laden sieDropMyRights - Browsing the web, doing online banking and reading e-mail safely as an administrator runter vom Netz (Microsoft - kostenlos),
      2. installieren sie das Programm,
      3. dann transferieren sie den .exe File in einen anderen Ordner wie z.B., "c:\keineRechte", danach
      4. ein rechter mouse click auf dem Desktop und machen sie einen neue Verknüpfung auf dem Desktop. Um eine Verknüpfung herzustellen welche ihren Internet Explorer startet aber mit minimal Rechten, tun sie wie folgt:
        • c:\keineRechte\minimieremeineRechte.exe "c:\Programme\internet explorer\iexplore.exe".

      PS1. Es ist auch möglich ein Benutzerkonto mit beschränkten Rechten zu erstellen welches sie zum online Banking oder e-Banking nutzen. Als ein Nutzer mit eingescrhänkten Rechten wird es sowohl schwierig mit Malware ihren Computer zu attackieren als auch die Installation solchen Codes zu bewerkstelligen. Aber die von uns vorgeschlagene Lösung ist schneller & einfacher.

      PS2. Übrigens, beim lancieren des Internet Explorer's mit der neuen Verknüfung wird das DropMyRights Programm ihnen eingeschränkte Nutzerrechte geben. Dann können sie weder ActiveX Code lancieren noch installieren und die meisten anderen Methoden mit Hilfe man Malware wie Keyloggers (Definition siehe unten - Glossar) können auch nicht installiert werden. Bei unseren Tests auf einigen schlimmen Webseiten hat das Programm super funktioniert und nichts passierte, weder Malware, Spyware noch ein Keylogger hat es auf unsere Festplatte geschafft.

         
    Wo bekomme ich mehr Hilfe?  
    Dank Browser-Erweiterung kann die Sicherheit für Online-Banking verbessert werden. Surft der Anwender auf eine Website, wird diese auf verschiedene Kriterien geprüft. Zum Beispiel: Ist die Website verschlüsselt? Gehört die Internetadresse zu einer Liste mit gefährlichen Webadressen? Passt das Zertifikat zur angezeigten Internetadresse? Anschliessend wird anhand von Farben (z.B. Grün, Rot & Gelb) signalisiert, wie sicher die besuchte Website ist. Besuchen sie:
  • UPDATE 2 - Yes Virginia - phishing attacks are on the rise and getting meaner - we tell you how to surf safer
    • Gehen sie zur Sektion 'Does Microsoft offer me a solution', laden sie den Toolbar für Microsoft Internet Explorer (IE) oder Firefox runter.
    Die Installation is kinderleicht und hilft ihnen wirklich. Bitte tun sie dies sogleich und schützen sie sich gegen etwelche Phishing-Attacken (beide Tools erhalten sie natürlich kostenlos).
     


    Wie kann ich das Problem lösen?
         
    Tipp 1  
    • Bitte speichern sie keine digitalen Zertifikate oder Schlüssel von ihrer Bank auf der Festplatte. Besser is diese auf einem Memory Stick zu speichern.

      Sie sollten jedoch den Memory Stick nur so lange im USB Port lassen bis sie sich eingeloggt haben. Dies macht es für einen Angreifer schwieriger die Zertifikate einzusehen.   

         
    Tipp 2  
    • Zusätzlich zur sicheren Aufbewahrung dieser Zertifikate müssen diese auch verschlüsselt gespeichert werden.
         
    Tipp 3  
    • Die meisten E-Banking Angebote im deutschprachigen Raum verwenden eine Zweiweg-Benutzerüberprüfung (z.B mit zusätzlicher Streichliste). Mit diesem Verfahren wird das Risiko eines Missbrauchs ausspionierter Benutzernamen und Passwörter eingeschränkt aber nicht eliminiert.

      Die Liste mit Transaktionsnummern wurde ihnen per Post zugestellt. Bewahren sie diese an einem sicheren Ort aber nicht in ihrem Büro auf.

       
     


    Nehmen sie sich noch zwei Minuten mehr Zeit, um ihre Daten besser schützen zu können
         
    Leckerbissen 1  
    • Die Einhaltung der oben genannten Regeln ist dringend um das Risiko der Ausnutzung von Sicherheitslücken des Betriebssystems oder verwendeter Software auf den Computer zu minimieren.

      Trotzdem, zusätzlich zum Transaktionskode müssen sie sicher noch weitere Informationen eingeben um das online Banking starten zu können wie z.B.:

      1. Benutzername oder Kundennummer,
      2. Passwort.

      Weder der Benutzername noch das Passwort sollte eingetippt werden. Besser ist es wenn diese in die Felder reinkopiert werden. Dies macht es für ein Programm wie ein Keylogger schwierig diesen Informationenklau zu bewerkstelligen.

      Wir haben ihnen unter Punkt / Regel 3 einen Link zum Runterladen einer Software welche dieses Problem einfach und schnell erledigt gegeben. Bitte nutzen sie ihn gleich jetzt, es lohnt sich.   

    Leckerbissen 2  
    • Loggen Sie sich nicht über einen von mehreren Personen benutzten Computer (z.B. Internetcafe) in die e-Banking Platform ein. Benutzen sie wenn immer möglich den Computer zuhause oder aber denjenigen an der Arbeit wenn ihnen der Arbeitgeber dies ermöglicht.

    • Geben Sie die URL zum OnlineBanking immer über die Tastatur ein. Noch einfacher ist es den URL als Favoriten zu speichern und dann anzuclicken wenn sie wieder einmal e-banking machen wollen.

    • Nutzen Sie immer den Button 'Kunden-Logout', um den Transaktionsmanager zu verlassen. Ebenfalls sollten sie den Browser schliessen und dann wieder starten, falls sie noch weiter am Internet surfen wollen.

         
    Leckerbissen 3  
    • Schalten Sie beim Internet Explorer die Möglichkeit ab, verschlüsselte Seiten auf der Festpatte zwischenzuspeichern indem sie:
      1. Extras > Internetoptionen > Erweitert > Sicherheit, und
      2. anklicken der Option 'Verschlüsselte Seiten nicht auf der Festplatte speichern'.

    • Regel 10: Was ihnen komisch vorkommt wurde sicherlich nicht von ihrer Bank iniziert, d.h. ihre Bank:
      1. schickt ihnen keine e-Mails, die einen Link zum Login des OnlineBanking enthalten oder nach Zugangsdaten fragen,
      2. bittet grundsätzlich nicht um Rücksendung von Kreditkartennummern, Zugangsdaten, PIN oder TAN per E-Mail.
         
    Passen Sie auf!   Wir haben uns die Mühe genommen etwa 17 online Banking oder E-Banking Verträge unter die Lupe zu nehmen und haben festgestellt das der Kunde bei Unterschrieft bei allen immer der Bank versichert das er oder sie sogenannte 'best practice security measures' folgen wird. Manchmal sagt die Vereinbarung auch wörtlich das dies die folgenden Dinge beinhaltet wie:
    1. eine Firewall überprüfen sie ob die ihrige richtig funktioniert hier,
    2. Anti-Viren Software wählen sie die best fuer sich - hier gibt es Hilfe und testen sie die jetzige die sie installiert haben - funktioniert sie richtig?, and
    3. Anti-Spyware Software überprüfen sie ob ihr Computer infisziert ist mit diesen Tests
    Wenn sie diesen Regeln nicht folgen müssen sie im Falle eines Schadens die vollen Kosten selber übernehmen, von mehreren 100 bis über 2,000 Euros pro Fall. Vom Ärger ganz zu schweigen. Denn die die Bank wird sicherlich geltend machen, dass sie den Vertrag verletzt haben und somit keinen Schadensanspruch geltend machen können.

    Somit ist es besser heute 10 Minuten zu investieren und anhand der obigen Links sicher zu gehen das spätere unangenehme Überraschungen nicht folgen werden.   

     


    CYTRAP Resourcen - probieren sie's aus - weil es ihnen helfen wird ihr System zu schützen
         
    Verwandte Tipps  
    Warnungen  
    Glossar   Bitte clicking sie auf 'Login as a guest' um die unten aufgeführten Definitionen zu erhalten, Registration ist nicht erforderlich. Oder registrieren sie sich kostenfrei als Mitglied, es lohnt sich wirklich.

    DEUTSCH

    Impressum
         
    Author   Urs E. Gattiker - CyTRAP Labs
         
    Überarbeitung  
  • 1.0 - 2005-12-30 - First Version
    • Kontakt Details   Web: http://CASEScontact.org
    E-mail: support01@CASEScontact.org

    Tel: +41(0)76-200-7778 or + 44(0)70-9237-6036
    Fax: +44(0)70-9237-6036, dial 3 send fax
     

    --END of ADVISORY - Wichtige Informationen--
     
    Wir empfehlen ALLE GEFAHRENHINWEISE, die sie bekommen durch einen Klick auf den zu Begin genannten Link zu verifizieren.

    KEINE GEWÄHR
    Alle von CASEScontact.org bereitgestellten Materialen werden von CASEScontact "so wie sie sind" veröffentlicht. CASEScontact.org, Editoren & Sponsoren geben keine Gewähleistung jeglicher Art, weder explizit noch implizit, auf Richtigkeit jeglicher Art. Dies beinhaltet vor allem, aber nicht außschließlich, mögliche Folgen, die durch die Anwendung dieser Materialien enstehen können.

    Springen sie noch heute auf den Zug auf, indem sie Gefahrenhinweise, Tips, Tools und kleinere Schulungen via:

    1) e-mail
    2) RSS feeds, oder alternativ dazu,
    3) gratis Schulungen abonnieren


    KEINE GEWÄHR
    Alle von CASEScontact.org bereitgestellten Materialen werden von CASEScontact "so wie sie sind" veröffentlicht. CASEScontact.org, Editoren & Sponsoren geben keine Gewähleistung jeglicher Art, weder explizit noch implizit, auf Richtigkeit jeglicher Art. Dies beinhaltet vor allem, aber nicht außschließlich, mögliche Folgen, die durch die Anwendung dieser Materialien enstehen können.

    CASES Editoren & Sponsoren lehnen jegliche Gewähleistung unter Achtung gültiger Patente, Warenzeichen und der Copyright Gesetze ab.
    Ausführlicher DISCLAIMER ist hier einzusehen: http://www.casescontact.org/terms.php

    UNSUBSCRIBE
    Falls sie keine weiteren Gefahrenhinweise mehr wünschen, melden sie sich hier ab:
    http://www.casescontact.org/unsubscribe.php

    FRAGEN, Kommentare, Anregungen? Lassen sie es uns wissen:Alerts-Comments at CASEScontact.org

    CASEScontact.org -- Threat Alerts and Security Notices --clear and precise, no compromise -
    --derzeit gehosted von Flashcable
    -- END of TIP & Tricks ADVISORY--
    Copyright (c) 2007 by CyTRAP labs - Urs E. Gattiker. All rights reserved.