Seminar: Sicheres Online Banking Teil 1

Ähnliche Dokumente
Online-Banking aber sicher.

Einrichtung eines Zugangs mit einer HBCI-Chipkarte bei der Commerzbank

Einrichtung Ihrer PIN für die Online-Filiale mit mobiletan

Die elektronische Signatur. Anleitung

s-sparkasse Verlassen Sie sich darauf: giropay ist sicher. Sparkassen-Finanzgruppe

Sicherheit im Online-Banking. Verfahren und Möglichkeiten

Fotostammtisch-Schaumburg

Online auf der Bank Bankgeschäfte übers Internet

Anleitung zur Installation und Freischaltung der Signaturlösung S-Trust für Mitglieder der Rechtsanwaltskammer des Landes Brandenburg

Anleitung für die Umstellung auf das plus Verfahren in der VR-NetWorld Software (Stand: )

Der Man-in-the-Middle Fälschungs-Angriff auf das itan Verfahren. Bernd Borchert, November 2008

In der agree ebanking Private und agree ebanking Business Edition ist die Verwendung der USB- und Bluetooth-Funktion aktuell nicht möglich.

cardtan im HYPO NOE Electronic Banking

Weil Ihre Sicherheit für uns an erster Stelle steht. Wir sind für Sie da immer und überall! Online Banking. Aber sicher.

ELViS. Bedienungsanleitung für Bewerber/Bieter. Angebotsabgabe mit qualifizierter Signatur und Softwarezertifikat

Freischaltung des ChipTAN-Verfahrens in SFirm32, Version 2.3

Thunderbird Portable + GPG/Enigmail

Zur Bestätigung wird je nach Anmeldung (Benutzer oder Administrator) eine Meldung angezeigt:

E-Banking Kurzanleitung

Stand vr bank Südthüringen eg 1 von 10. Smart TAN plus Umstellungsanleitung VR-NetWorld Software

Sicherheit beim Online-Banking. Neuester Stand.

smstan Online-Banking mit smstan Der Leitaden für Online-Banking-Kunden

Anlegen eines DLRG Accounts

Kurzanleitung BKB-E-Banking-Stick

Abschaltung der Transaktionsnummer-Listen (TAN-Listen) Aktivierung der neuen Sicherheitsmedien / Umstellung Sfirm auf chiptan

Wechsel VR-NetWorld Card

Sparda mobiletan Nutzungsanleitung

Hinweise zur Inbetriebnahme der FMH-HPC auf Windows 7

Mediumwechsel - VR-NetWorld Software

Kunderegistrierung am egeodata Austria Portal

Sparkasse Aschaffenburg-Alzenau

Einrichtung HBCI-Chipkarte in der. VR-NetWorld Software 6

Erstanmeldung/Vergabe einer eigenen PIN und eines Benutzernamens (Alias) 1. Vergabe Ihrer eigenen fünfstelligen PIN

1 Konto für HBCI/FinTS mit Chipkarte einrichten

Kundenregistrierung am egeodata Austria Portal

Anleitung für Regiopay, dem bargeldlosen Bezahlsystem der REGIOS eg

Schumacher, Chris Druckdatum :11:00

Freischaltung des chiptan-verfahrens

Erste Schritte und Bedienungshinweise mit chiptan (ausführliche Anleitung)

Mediumwechsel - VR-NetWorld Software

Weil Ihre Sicherheit für uns an erster Stelle steht.

Zugriff auf OWA Auf OWA kann über folgende URLs zugegriffen werden:

TELIS FINANZ Login App

estos UCServer Multiline TAPI Driver

Änderung des Portals zur MesseCard-Abrechnung

Handreichung für Lehrer

Einrichtung von StarMoney 9.0 für HBCI mit USB-Stick

Anleitung zur Nutzung der Signaturkarte im InternetBanking und InternetBrokerage

2. Die eigenen Benutzerdaten aus orgamax müssen bekannt sein

Anleitung mtan (SMS-Authentisierung) mit SSLVPN.TG.CH

Kleines Handbuch zur Fotogalerie der Pixel AG

Um den chiptan-generator zu nutzen, müssen Sie zunächst Ihr Online-Banking umstellen.

Kundenleitfaden zur Sicheren per WebMail

Benutzerhandbuch. für das Extranet des. Landeswohlfahrtsverbandes Hessen. zur Anmeldung per Grid-Karte

Sich einen eigenen Blog anzulegen, ist gar nicht so schwer. Es gibt verschiedene Anbieter. ist einer davon.

Die HBCI-Verwaltung unter VR-NetWorld-Software 3.x für die Erstellung eines HBCI-Schlüssel auf Diskette

Das DAAD-PORTAL. Prozess der Antragstellung in dem SAPbasierten Bewerbungsportal des DAAD.

Treppensoftware Programme. Hilfe - 3D Plus Online. konstruieren/präsentieren

Der Weg zu Ihrem Online-Konto mit PIN/TAN

Um sich zu registrieren, öffnen Sie die Internetseite und wählen Sie dort rechts oben

Anleitung zum Wechsel von einer auslaufenden VR-NetWorld Card auf eine neue VR-NetWorld Card in Profi cash 8

Sicherheitslösung SMS-Code

Volksbank Olpe-Wenden-Drolshagen eg Anleitung zur Einr. des HBCI-Verfahrens mit Chipkarte in Proficash

Einrichtung der VR-NetWorld-Software

Übersicht zur Lastschriftverwaltung im Online-Banking für Vereine

CLX.Sentinel Kurzanleitung

7. Rufnummern zuweisen

ALF-BanCo - Chipkarte einrichten in 3 Schritten

Öffnen Sie den Internet-Browser Ihrer Wahl. Unabhängig von der eingestellten Startseite erscheint die folgende Seite in Ihrem Browserfenster:

Internet-Banking Anleitung zum Ersteinstieg

Die USB-Modem-Stick Software (Windows) verwenden. Doppelklicken Sie das Symbol auf dem Desktop, um die Software zu starten. Die Hauptseite erscheint:

Kombinierte Attacke auf Mobile Geräte

mobile TAN Umstellungsanleitung Star Money

Drahtlosnetzwerke automatisch konfigurieren mit WCN (Windows Connect Now) unter Windows Vista

Einlesen einer neuen Chipkarte in der VR-NetWorld Software Seccos 6 gültig bis 2013

Wechsel einer auslaufenden VR-NetWorld-Card

ecaros2 - Accountmanager

Die HBCI-Verwaltung unter VR-NetWorld-Software 3.x für das Einrichten von unpersonalisierten Chipkarten

Sicherheitszertifikat überprüfen. 128-Bit-Verschlüsselung. Passwort und PIN-Code für den Kartenleser. Schutz vor Manipulationen

COMPUTER MULTIMEDIA SERVICE

Anleitung Login Web-Treuhand

Anleitung: Passwort-Self-Service-Portal

Installationsanleitung Barcode-Scanner des MEDI Baden- Württemberg e.v.

Konfiguration VLAN's. Konfiguration VLAN's IACBOX.COM. Version Deutsch

Beschreibung der Umstellungsschritte Hibiscus (Umstellung Sicherungsmedium auf Chip-TAN)

Bankkonto online via HBCI-Banking-Verfahren verwalten Datum Mai 2010

Treckerverein Monschauer Land e.v.

Den Durchblick haben. VOLKSBANK BAD MÜNDER eg. Online aber sicher: Unsere Produkt- und Sicherheitshotline hilft und informiert

PartnerWeb. Anleitung. Personaladministration online erledigen. Telefon:

Einrichten des Elektronischen Postfachs

Umstellung auf das Mobile-TAN-Verfahren in der VR-NetWorld Software

S Handy-Banking. Hand(y)buch Version Seite 1 von 6

Erstanmeldung/Vergabe einer eigenen PIN im plus/optic Verfahren mit einem Kartenleser von der VR-Bank eg

Beispiel Shop-Eintrag Ladenlokal & Online-Shop im Verzeichnis 1

Kurze Anleitung zum Guthaben-Aufladen bei.

Windows XP Jugendschutz einrichten. Monika Pross Molberger PC-Kurse

Hinweise zur Inbetriebnahme der FMH-HPC auf Windows 7. Version 4,

Installation Benutzerzertifikat

Anmeldung eines Tiptel IP-Telefons an einer FritzBox

Transkript:

Lehrstuhl Netzarchitekturen und Netzdienste Institut für Informatik Technische Universität München Seminar: Sicheres Online Banking Teil 1 WS 2008/2009 Hung Truong manhhung@mytum.de Betreuer: Heiko Niedermayer niedermayer@net.in.tum.de

Seminar: Sicheres Online Banking Teil 1 Gliederung: A. Transaktionsnummer 1) Transaktionsnummer (TAN) 2) Indizierte Transaktionsnummer (itan) 3) Mobile Transaktionsnummer (mtan) B. Homebanking Computer Interface (HBCI) : 1) HBCI 1 2) HBCI 2 3) HBCI 3 C. Zukünftige Online Banking Verfahrene: 1) What you see is what you sign 2) Internet Ausweis 3) Scheckkarten TAN D. Fazit HIER THEMA EINTRAGEN 2

A. Transaktionsnummer 1) Transaktionsnummer (TAN) (Marktanteil: ~10%, vor 2000) TAN besteht aus 6 Dezimalziffern TAN ist einmaliges Passwort Es muss bei jedem Buchungsvorgang eine beliebige TAN eingegeben werden TAN muss immer mit der korrekten PIN kombinieren Frage: ist das Online Banking noch sicher, wenn man eine TAN (wegen Trojan, gestohlen ) verloren hat? neue Lösung: indizierte Transaktionsnummer (itan) HIER THEMA EINTRAGEN 3

A. Transaktionsnummer 2) indizierte Transaktionsnummer (itan) (Marktanteil: ~50%, vor 2000) Der Kunde bekommt eine Liste von 100 durchnummerierten TAN von der Bank Für jeden Online Buchungsvorgang wird eine TAN mit bestimmtem Index aufgefordert Vorteile: Für den Betrüger ist damit ohne Wert, eine gestohlene TAN zu benutzen Nachteile: Der Kunde muss die komplette itan Liste mitnehmen itan ist immer noch Trojan unsicher, z.b gegen Man In The Middle Angriff Wie funktioniert Man In The Middle Angriff? HIER THEMA EINTRAGEN 4

A. Transaktionsnummer Man In The Middle Angriff : Der Kunde überweise online 50 EUR an Herrn Müller, schickt an die Bank Der Trojaner fängt das Formular ab, bevor es verschlüsselt (SSL) wird und bevor die Bank das Formular bekommt Der Trojaner macht daraus eine Überweisung von 5000 EUR an Herrn Hacker, und schickt es statt das originale Formular an die Bank Die Bank empfängt den verfälschten Auftrag und schickt eine Bestätigung zurück: Bitte bestätigen Sie die Überweisung von 5000 Euro an Herrn Hacker mit der itan Nr. 20! Der Trojaner fängt diese Bestätigung noch mal ab, bevor sie auf den Bildschirm des Kunden angezeigt wird Der Trojaner zeigt nun dem Kunden am Bildschirm an: Bitte bestätigen Sie die Überweisung von 50 Euro an Herrn Müller mit der itan Nr. 20! Der Kunde bestätigt mit der itan Nr. 20 und schickt an die Bank Die Bank überweist 5000 EUR an Herrn Hacker Einige solche Versuche von Trojan gab es schon am Anfang 2008. neue Lösung: mobile Transaktionsnummer (mtan) HIER THEMA EINTRAGEN 5

A. Transaktionsnummer 3) mobile Transaktionsnummer (mtan) (Markanteil: ~5%, ab 2003) Der Kunde überweist online, schickt das ausgefüllte Formular an die Bank Die Bank schickt eine TAN auf das Mobiltelephone des Kunden zurück Diese TAN ist nur für diesen Vorgang verwendbar und ist für kürze Zeit gültig Der Kunde bestätigt den Buchungsvorgang mit dieser TAN Vorteile: mtan ist Trojan sicher Der Kunde braucht keine Liste von TAN oder itan Man In The Middle Angriff kann nicht passieren Nachteile: Der Kunde braucht sein Handy dabei mtan ist heutzutage kostenlos oder kostenpflichtig je nach Bankinstitut HIER THEMA EINTRAGEN 6

B. Homebanking Computer Interface (HBCI) HBCI definiert Übertragungsprotokolle, Nachrichtenformate und Sicherheitsverfahren Sie unterstützt die einheitliche Banken Signaturkarte Mittels dieser Karte können Bankkunden elektronische Signaturen erzeugen HBCI 3.0 (im Jahr 2003, umbenannt FinTS Financial Transaction Services) schafft damit die Basis für eine neue Generation von Produkten, mit denen die Kunden neue elektronische Bankdienstleistungen nutzen können Im Jahr 2004 wurde die Version 4.0 von FinTS eingeführt: alle internen Datenstrukturen wurden komplett auf XML und XML Schemata umgestellt, HTTPS als Kommunikationsprotokoll verwendet HBCI ist das zwei größte Verfahren beim Online Banking, nach dem Transaktionnummer Verfahren HIER THEMA EINTRAGEN 7

B. Homebanking Computer Interface (HBCI) 1) HBCI 1 (Marktanteil:~5%, vor 2000): HBCI 1, ein Scheckkarten Leser,ist ein externes Gerät mit USB Anschluss. Wenn er eine Online Überweisung mit seinem PC ausführt, muss er seine Bankkarte im Leser einstecken. Danach erzeugt das Gerät eine TAN für diese Transaktion. Dieses Verfahren ist eine Alternative von itan. HIER THEMA EINTRAGEN 8

B. Homebanking Computer Interface (HBCI) Vorteile: Keine TAN Liste auf Papier benötig Nachteile: Der Kunde braucht die Bankkarte und das Gerät für das Online Banking Keylogger beim Eingeben der PIN ist möglich Man In The Middle Angriff ist möglich HIER THEMA EINTRAGEN 9

B. Homebanking Computer Interface (HBCI) 2) HBCI 2 (Marktanteil:~5%, vor 2000): HBCI 2 ist ein externes Karten Leser, genauso wie HBCI 1 Das Gerät hat dazu eine Zifferntastatur, damit der Bankkunde sein PIN beim Gerät direkt eingeben kann. HIER THEMA EINTRAGEN 10

B. Homebanking Computer Interface (HBCI) Vorteile: Keine TAN Liste auf Papier benötig Verhindern das Keylogger beim Eingeben der PIN Nachteile: Der Kunde muss die Karte und das Karte Leser mitnehmen HBCI 2 ist immer noch Trojan unsicher, z.b gegen Man In The Middle Angriff, Keylogger Kosten und Treiber für das Gerät HIER THEMA EINTRAGEN 11

B. Homebanking Computer Interface (HBCI) 3) HBCI 3 (Marktanteil:>10%, vor 2000): HBCI 3 ist ein Bankkarten Leser Das Gerät hat eine eigene Zifferntastatur und ein Display Es kann mit PC oder direkt mit dem Internet Modem verbunden werden Die Überweisung Daten werden auf dem Display des HBCI 3 Lesers dargestellt, zusammen mit einer TAN, die zur Bestätigung am Rechner eingetippt und zur Bank geschickt wird. HBCI 3 wird heutzutage sehr oft beim Online Banking z.b. von Bank, Supermarkt, Reisebüro. Restaurant...genutzt Die zur Zeit sicherste Homebanking Lösung HIER THEMA EINTRAGEN 12

B. Homebanking Computer Interface (HBCI) Vorteile: Keine TAN Liste auf Papier benötig Einfach zur Bedienung Kein Gefahr von TAN und PIN Phishing sowie Keylogger Die einzige Möglichkeit für einen Betrug: der Betrüger hat die Bankkarte und kennt die PIN aus Nachteile: Kosten für das Gerät HIER THEMA EINTRAGEN 13

C. Ein paar zukünftige Online Banking Verfahrene 1) What you see is what you sign: (Patenterteilung 2008 für Universität Karlsruhe) Der Kunde füllt das Online Banking Formular auf dem Bildschirm aus Er fotografiert den Text mit seinem programmierten Handy Eine digitale Version vom Text wird per Bluetooth vom PC nach Handy gesendet Das Handy vergleicht die digitale Version und die abfotographierte Version vom Text Wenn die beide das Gleiche sind (der PC ist also Trojan frei), erzeugt das Handy eine TAN Der Kunde bestätigt die Überweisung mit dieser TAN und schickt an die Bank HIER THEMA EINTRAGEN 14

C. Ein paar zukünftige Online Banking Verfahrene 2) Internet Ausweis : (Meldung von Siemens und Axsionics, 12.2007) Der Kunde bekommt eine flackernde Schwarz Weiß Grafik als verschlüsselte Daten auf dem Internetbrowser Er drückt das Gerät einige Sekunde auf den Monitor, und der Scanner prüft der Echtheit des Codes Dann muss auch sein Fingerabdruck vom Gerät geprüft werden Auf dem Display des Geräts zeigt die genauen Daten der Überweisung und eine TAN, die nur für diese Transaktion gültig ist Der Kunde bestätigt die Überweisung mit dieser TAN HIER THEMA EINTRAGEN 15

C. Ein paar zukünftige Online Banking Verfahrene 3) Scheckkarten TAN : ( Patenterteilung 2008 für Dr. Luigi Lo Lacono, NEC Europe Ltd.) Der Kunde bekommt von der Bank eine Scheckkarte mit Display und einen Scheckkarten Leser Er steckt seine Scheckkarte im Leser und füllt ein Online Banking Formular aus Die Bank bekommt das Formular per Internet und schickt zurück an dem Kunde : die Überweisungsdaten und eine TAN Die Überweisungsdaten und TAN werden auf dem Display der Scheckkarte angezeigt Der Kunde vergleicht die Überweisungsdaten, bestätigt mit der TAN und schickt noch mal an die Bank HIER THEMA EINTRAGEN 16

D. Fazit Die Trojan unsicher Verfahren: TAN, itan, HBCI 1, HBCI 2 Die Trojan sicher Verfahren: mtan, HBCI 3, What you see is whatyou sign, Internet Ausweis, Scheckkarten TAN HIER THEMA EINTRAGEN 17

D. Fazit 10 Tipps für sicheres Online Banking (Quelle: PCwelt.de) 1. Schützen Sie Ihren PC mit einer Antiviren Software und einer Firewall. 2. Verwenden Sie immer den aktuellsten Browser. 3. Loggen Sie sich niemals an einem öffentlich zugänglichen PC bei Ihrer Bank ein. 4. Achten Sie darauf, dass die Übertragung zur Web Seite der Bank verschlüsselt erfolgt. 5. Prüfen Sie das Zertifikat der Web Seite. 6. Banken verschicken keine Mails mit der Aufforderung, Login Daten zu aktualisieren. Folgen Sie deshalb keinen Links. 7. Rufen Sie das Online Banking Portal Ihrer Bank nur über ein selbst angelegtes Bookmark oder direkt von der Startseite Ihrer Bank auf. 8. Achten Sie bei manueller Eingabe der Webadresse darauf, nicht aufgrund eines Buchstabendrehers auf einer Vertipper Domain zu landen. 9. Sicherer als Homebanking via Browser ist der Einsatz einer speziellen Bank Software, am besten in Verbindung mit einer HBCI Chipkarte und einem Kartenleser. 10. Wählen Sie Passwörter, die mindestens acht Zeichen lang sind und sich aus einer Mischung aus Groß und Kleinbuchstaben sowie Ziffern und Sonderzeichen zusammensetzen. HIER THEMA EINTRAGEN 18

Seminar: Sicheres Online Banking Teil 1 Danke für die Aufmerksamkeit! HIER THEMA EINTRAGEN 19

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback