News 26.11.2010, 06:36 Uhr

Mangelnde Sicherheit beim Onlinebanking

Beim Anteil der gefährdeten Onlinebanking-Anwender nennt Trend Micro eine Zahl von 84 Prozent. Und räumt mit der Vorstellung eines «sichersten» Webbrowsers auf.
Eine kürzlich durchgeführte Untersuchung ergab laut Sicherheitsanbieter Trend Micro erschreckende Zahlen. In einem untersuchten Fall seien 84 Prozent der Angriffe erfolgreich verlaufen.
Cyberkriminelle beschränken sich inzwischen nicht mehr auf den reinen Diebstahl von Benutzernamen und Passwörtern. Das würde bei den europäischen Zahlungsinstituten ohnehin nicht ausreichen, da diese zusätzliche Elemente wie Streichlistennummern, SMS-Codes und anderes erfordern. Vielmehr sei die zum Bankkonto-Plündern verwendete Software in der Lage, die verschlüsselte Onlinesession bei Benutzern zu kapern, die sich bereits ins Banking-Konto eingeloggt haben. Den Opfern dieser Angriffe wird während der Banking-Session vorgegaukelt, alles nehme seinen gewünschten Gang, wie etwa eine Überweisung vom einen Konto aufs andere. Stattdessen landet der Betrag bei den Angreifern.
Die meisten Anwender halten sich für ungefährdet, da sie sich nur auf sogenannt sicheren Webdomains bewegen. Die Gefahr einer Infektion mit einem Datenklau-Trojaner lauert jedoch auch dort. Rund ein Viertel der beobachteten Infektionen fanden über bekannte Domains statt, wie zum Beispiel google.com, microsoft.com und facebook.com. Am häufigsten waren soziale Plattformen betroffen. Die Anwender neigen dazu, einen Link vorschnell anzuklicken, wenn er angeblich von einem Bekannten stammt. Das wird von Cyberkriminellen missbraucht, indem sie Logindaten zu sozialen Netzen ausspionieren und die Anwender unter dem Namen des gekaperten Kontos auf Malware-Seiten locken.
Trend Micros Bedrohungsforscher Martin Rösler rät zu einer gesunden Portion Misstrauen: «Der gesunde Menschenverstand ist eines der wirksamsten Mittel im Kampf gegen die Kriminellen.»
Nächste Seite: Firefox am anfälligsten


Kommentare

Avatar
Gaby Salvisberg
26.11.2010
Ich habe schon mehrere Antivirenlabor-Mitarbeiter getroffen, welche die Kombination von Firefox+NoScript für sicherer halten als den IE. Gruss Gaby

Avatar
Piranha
26.11.2010
Das grosse Problem ist hier eigentlich immer der, welcher vor dem PC sitzt.

Avatar
kek-kex
27.11.2010
Das grosse Problem ist hier eigentlich immer der, welcher vor dem PC sitzt. jup, und dies wird sich auch niemals ändern.

Avatar
gastrohost
29.11.2010
Ich habe schon mehrere Antivirenlabor-Mitarbeiter getroffen, welche die Kombination von Firefox+NoScript für sicherer halten als den IE. Gruss Gaby Was soll ich mit NoScript in meinem E-Banking? Sehr viele Banken setzen auf Aktive Inhalte im E-Banking. (z.B. um die IBAN direkt zu Prüfen und einer Bank zu zu ordnen). Theoretisch ist sogar Safari und Google Chrom sicherer als Firefox... Das Expolitenrisiko steigt mit der grösseren Verbreitung eines Browsers. (Ein Cracker währe ja blöd wenn er mühsam einen Expolit für den Browser "K-Meleon" schreiben würde um einen Rechner zu Infizieren, wenn er mit dem beinahe gleichen Aufwand tausende PC's mit Internet Explorer kapern könnte) Tatsache ist auch, dass viele Sicherheitslücken erst gefunden werden, wenn diese ausgenutzt werden. Das ist auch bei Firefox so. Nur weil keine Angriffe auf den Browser stattfinden, heisst das noch lange nicht dass da keine Sicherheitslecks sind! Und da sind wir wieder beim Paradoxum: Windows 98 ist derzeit eines der sichersten Betriebssysteme das es gibt. Da es nur noch von einer kleinen Minderheit eingesetzt wird, ist kaum noch Schadsoftware dafür im Umlauf... (Dieses Zitat habe ich von einem GData Entwickler) Das ist meine Meinung zur Sicherheit und Unsicherheit gewisser Browser. Zur Sicherheit beim E-Banking: Meine Bank hat als E-Banking-Lösung vor kurzem wieder eine Client-Software eingeführt, die nur mit dem dazu passenden USB-Stick und einem PIN-Code eingesetzt werden kann. Die Verbindung ist SSL-Verschlüsselt. Zudem wird per Hash ständig geprüft ob das Programm resp. teile davon nicht manipuliert wurde. Ein Tip für sicheres E-Banking: Linux oder einen Mac verwenden! Linux hat dank seiner geringen Verbreitung im Home-Computer-Sektor ein sehr, sehr kleines Infektionsrisiko... Bei Linux reicht es wenn man mit VirtualBox oder VirtualPC einen Virtuellen Rechner anlegt und dann die Live-CD der Lieblings-Distri mountet. Nach dem Reboot der VM ist alles wieder beim Alten...

Avatar
skyzem
29.11.2010
Tipps für ein Linux (virtuell) in Windows zu starten? Also, ich such eigentlich eine vernüftige VM, die 1. gratis, 2. einfach zu bedienen und 3. nicht zu viel ressourcen braucht. Es soll auch einem relativ leistungsschwachen PC laufen können. Kann man bei VM nicht einstellen wie viel RAM und Speicherplatz zugeteilt werden? Dachte ich zumindest. Welches wären gute Eckwerte, gerade eben für online Banking? Kann ich den VM-Speicher auf einen NAS auslagern, so dass der PC nur noch rechnen muss, aber keinen speicherplatz benötigt. Auch dass die Distri von mehreren PCs angesprochen werden kann? Evtl. sogar gleichzeitig? So viele Fragen... evtl. wäre ein gescheiter Link zum nachlesen auch ganz hilfreich. :) Danke und Gruss.

Avatar
Gaby Salvisberg
29.11.2010
Was soll ich mit NoScript in meinem E-Banking? Sehr viele Banken setzen auf Aktive Inhalte im E-Banking. (z.B. um die IBAN direkt zu Prüfen und einer Bank zu zu ordnen). Welchen Browser du für E-Banking nimmst, ist doch völlig wurscht. Wenn übers normale Surfen ein Schädling auf der Platte landet, kann er später mit hoher Wahrscheinlichkeit egal welche Browsersession übernehmen. Nur weil keine Angriffe auf den Browser stattfinden, heisst das noch lange nicht dass da keine Sicherheitslecks sind! Jetzt tust du grad so, als hätte ich das behauptet. Linux oder einen Mac verwenden! Linux hat dank seiner geringen Verbreitung im Home-Computer-Sektor ein sehr, sehr kleines Infektionsrisiko... Das stimmt nicht unbedingt, auch wenn es die Mac- und Linux-User (letzteres bin ich auch selbst) immer wieder behaupten. Bei jenen Usern wird auch nicht das OS angegriffen, sondern die darauf laufende Software. Und das ist welche? Genau: Adobe Reader, Firefox, VLC Player usw. Gruss Gaby

Avatar
gastrohost
29.11.2010
@skyzem Ich empfehle dir VirtualBox. Ist Opensocurce und findest du unter www.virtualbox.org. Die Eckdaten bestimmt natürlich die eingesetzte Distri. DSL z.B. läuft theortetisch schon auf einem 486DX mit 16 MB Ram. In der VM würde ich so 150 MB Ram setzen. Speicherpaltz braucht das Linux auch kaum, da man ja nur das CD-Image und keine Virtuelle festplatte mountet. Bei DSL sind das gerade mal 50 MB. Du kannst diese 50 MB theoretisch auf einem NAS hosten. Musst jedoch ggf. dann den Netzwerkpfad als Laufwerk Mappen... Ach ja. DSL hat nichts mit der gleichnamigen Internetverbindung zu tun sondern steht für Damm Small Linux (Etwa: Verdammt kleines Linux) http://www.damnsmalllinux.org/index_de.html @Gaby Salvisberg Zitat: Linux oder einen Mac verwenden! Linux hat dank seiner geringen Verbreitung im Home-Computer-Sektor ein sehr, sehr kleines Infektionsrisiko... Das stimmt nicht unbedingt, auch wenn es die Mac- und Linux-User (letzteres bin ich auch selbst) immer wieder behaupten. Bei jenen Usern wird auch nicht das OS angegriffen, sondern die darauf laufende Software. Und das ist welche? Genau: Adobe Reader, Firefox, VLC Player usw. Programme und Tools welche für Windows, Linux und Mac verfügbar sind, sind trotz gleichem Aussehen grundverschieden. Sie werden speziell für das jeweilige Betriebsystem zugeschnitten. So sind die Sicherheitslücken die z.B, Firefox unter Windows hat unter Linux resp. MacOS gar nicht verfügbar. Und wenn auch, Sicherheitslücken werden nur benötigt um Schadcode auf das Opfer zu übertragen und dort auszuführen. Auch wenn die Sicherheitslücke unter Windows und Linux vorhanden währe, müsste der Angreifer für Windows und Linux einen unterschiedlichen Schadcode entwickeln um beide Systeme übernehmen zu können. Im weiteren sind Linuxrechner keine sehr schönen Ziele. Es gibt ja nicht "Das Linux" sondern es gibt X Distributionen die sich technisch sehr stark unterscheiden. Eine Masseninfektion ist also nicht wirklich möglich. Zudem ist bei Linux und den meisten anderen Unix-Derivaten (MacOSX basiert auf BSD und ist somit auch unixoid) der Kernel monolythisch. Wirklich gefährliche Angriffe sind also nur über Root-Kits möglich. Doch ob es sich lohnt für jede Distribution ein eigenes Root-Kit zu entwickeln?

Avatar
skyzem
30.11.2010
Danke. Auf VirtualBox bin ich gestern gestossen. Habs mir auch gleich mal installiert. Danke auch für den Hinweis auf DSL. Kannte ich schon, ist aber wieder in vergessenheit geraten.