Banking unter folgender Konstellation sicher?

[tomaso7]

Eben nicht.
Wie du oben schon beschrieben hast.

Bei Phishing liegt das Problem an dem Trottel der auf eine eMail/SMS reinfällt.
Aber doch nicht der Browser. Aber gut, ich weiß was du meinst. Da sitzt aber das Problem dann eindeutig vor dem PC

 

[Otandis_Isunos]

Phishing hat mit dem Browser nichts zu tun. Phishing passiert per E-Mail, per SMS, per Whatsapp (falls benutzt) und andere Quellen.

Mit dem Browser hat das absolut gar nichts zu tun. Cross Site Forgery Scripting ist beim Google Chrome schon lange nicht mehr einfach so möglich. Selbst WENN du die was runterladen solltest und dir dein Telefon/PC verseuchst, ist das alles vollkommen irrelevant, weil du ohne TAN keine Überweisungen tätigen kannst.

Du kannst nicht mal einfach so das Gerät online wechseln. Selbst wenn du deine Telefonnummer ändern willst brauchst du eine TAN, genauso die Adresse und sogar die Zugangsdaten.

Also weiß ich immer noch nicht, was mir eine App für ein besseres Sicherheitsgefühl geben soll.

Und dann wird einem auch noch vorgeworfen, dass man etwas nicht verstehen würde, und das mit Infos arbeiten soll, die praktisch nicht vorhanden sind.

Wer mit dem Browser Onlinebanking machen will, kann das ohne Bedenken tun. Wer zu faul zum tippen ist und eine unübersichtliche Ansicht haben will, kann auch die App nutzen. Wichtig ist, dass man weder SMS-Tan hat (gibts das überhaupt noch?), oder Push-Tan. Sicherer gehts nur via Photo-Tan oder QR-Tan. Diese Lücke lässt sich nicht brechen, egal wie.

 

[maik005]

@tomaso7
Das Problem sitzt meist vor dem Bildschirm.
Das wird eben durch Nutzung der App abgemildert.

 

[tomaso7]

Sag ich ja

 

[maik005]

Diese Lücke lässt sich nicht brechen, egal wie.

Sicherlich lässt die sich brechen.

Mit dem Browser hat das absolut gar nichts zu tun.

Na selbstverständlich hat das mit dem Browser zu tun

 

[Otandis_Isunos]

@maik005

Da bin ich ja mal gespannt, wie du die Kette brechen willst, wenn du das entsprechende Gerät und die Karte nicht hast. Und falls du jetzt denkst, ja, änder ich halt die Adresse per Telefon. Pustekuchen. Meine Bank ändert überhaupt keine Daten per Telefon. Entweder Online oder persönlich.

Und für jede Änderung an kritischen Einträgen (E-Mail, Adresse, Telefonnummer, Kartenwechsel) brauchst du ne TAN. Neues Gerät kannst du auch nicht einfach so zuordnen, denn das kommt per Post und da du die Adresse nicht ändern kannst, müsstest du meinen Briefkasten vor Ort überwachen und das Paket direkt abfangen, was aber auch dann schwierig werden könnte, da das Paket via Post Ident zugestellt wird.

Also ja, ich bin interessiert, wie du das anstellen wollen würdest. Vielleicht überseh ich ja auch was. Wer weiß.

Und Phishing hat per se erstmal überhaupt nichts mit dem Browser zu tun. Warum? Weil du keine Phishing-Mails per Browser bekommst, sondern per E-Mail (als Beispiel).

Aber die Zustellung selbst erfolgt auch ohne Browser. Du kannst Thunderbird oder Outlook nutzen. Auch das geschieht dann ohne Browser.

Öffnest du jedoch den Link, DANN erst öffnet sich der Browser bzw wird im Browser geladen. Das sind aber Grundsätzlich 2 verschiedene paar Schuhe.

 

[maik005]

Warum? Weil du keine Phishing-Mails per Browser bekommst, sondern per E-Mail (als Beispiel).

Und der Link darin öffnet was?
Genau.
Den Browser.

 

[Otandis_Isunos]

Scheinbar hast du meinen Beitrag nicht richtig gelesen. Und da ich ihn nicht bearbeitet habe, hab ich auch nix neu hinzugefügt.

 

[Fulano]

Der TE ist ja schon lange raus...
Ich frage mal explizit nach folgender Konstellation:
Älteres Tablet, wie viele noch im Umlauf sind, ohne aktuellen Systempatch vom Hersteller und ohne aktuellen Patch von Google.
Nehmen wir mal Android 10 als Basis an.
Nutzung ausschließlich in geschützen eigenem (privaten) WLAN.
2FA befindet sich auf aktuellem Gerät (A15, Patch vom Hersteller und Google aktueller Stand). Also damit wird der Auftrag bestätigt.

Hole mit einem Ping auch meinen virtuellen Weggefährten @swa00 als App-Entwckler zurück an den virtuellen Diskussionstisch.

A.) nicht nutzen, warum?
B.) mit Browser nutzen (Link zum online-Banking ist gespeichert und wird über die Lesezeichen aufgerufen)
C.) aktuelle Banking App auf den Tablet installiert und diese wird genutzt.

 

[prx]

@Fulano Wenn Du

1. Bluetooth abschaltest, damit keiner ungefragt per Funk reinkommt,
2. es nur zu Hause in einem sicheren Haushalt lässt,
3. kontrolliert mit Installation von Apps und Zugriff auf Webseiten umgehst,
4. bzw das Gerät idealerweise nur für solche Anwendungen nutzt,
5. das für 2FA verwendete Gerät nicht das von App/Browser verwendete Gerät ist

fehlen die wichtigsten Szenarien, die Probleme verursachen können.

Es empfiehlt sich auch ein Blick in die Voraussetzungen, die deine Bank an die verwendete Umgebung vorgibt. Verletzung der Voraussetzungen kann bei Missbrauch Folgen haben. Geh davon aus, dass Informationen über das bei einer Transaktion genutzte Gerät bei der Bank vorliegen.

 

[Fulano]

BT ist aus (wird lediglich ab und an für Lautsprecher zur Spotify Nutzung angeschaltet), Installation von Apps lediglich PS, Tablet wird lediglich für surfen, Messenger (verknüpftes Gerät), Insta wird da auch geschaut ,und ggf. eben für Banking (App) verwendet.

 

[prx]

Beliebiges Surfen ist ein potentielles Risiko. Browser sind nicht inhärent sicher, was man schon an den häufigen Updates erkennt.

Bis zu einer mir gerade nicht bekannten Version von Android war das Multimedia-Subsystem Teil der hoch privilegierten Umgebung und damit in der Lage, über darin enthaltene Bugs und entsprechend präparierte Medien das System zu kompromittieren. Teilweise auch ohne Zutun des Anwenders, weil automatisch ablaufend. Das betraf dann u.U. alle Medieneingänge bis runter zu MMS.

 

[Klaus986]

Browser sind nicht inhärent sicher, was man schon an den häufigen Updates erkennt.

Was aber in diesem Beispiel so gut wie völlig unerheblich ist. Betrug beim Online Banking per Browser findet statt, indem User mithilfe von Links auf gefälschte Websites umgeleitet werden. Da kann auch der sicherste Browser nix gegen machen. Daher ist die App definitiv empfehlenswert.

 

[tomaso7]

Das Thema hatten wir doch längst.
Der Link wird aber erstmal per Mail oder SMS versenden und von einem "naiven Menschen" geöffnet UND angeklickt und mit Daten ausgefüllt.
Brain 2.0 einschalten

 

[prx]

Der Link wird aber erstmal per Mail oder SMS versenden und von einem "naiven Menschen" geöffnet UND angeklickt und mit Daten ausgefüllt.

Nicht wenn man im MMS Autoplay drin hat(te). Auch in moderneren sozial media gibts nicht unbedingt viel zu klicken, bevor die Darstellung von Mediendaten losgeht. Es gibt mehr Übertragungsmethoden als Links in Mail, und nicht alle bewahren einen vor automatischer Darstellung von Bild und Video.

 

[Otandis_Isunos]

MMS? Gibts das noch?

Und wie schon von dir erwähnt, es geht viel zu KLICKEN. Und trotzdem ist das alles unabhängig von Browsern. Wer eh auf alles wild rumklickt, dem ist sowieso nicht geholfen.

Selbst ich als Linux-Nutzer klicke nicht mehr einfach wild auf irgendwelche Links rum, so wie vor paar Jahren noch. Zum anderen wäre es mir neu, dass Social Media jetzt pauschalisiert wird und alles plötzlich super super böse ist. Da fehlt mir die eindeutige Trennung welches Social Media man denn meint. Denn auch ein Instagram ist Social Media und mir fällt es hier schwer zu glauben, dass da angeblich irgendwelcher Bilder-Scam mit Phishing passieren soll.

Das einzige was ich kenne, ist Social Engineering und bestimmte Zugangsdaten und oder TAN Eingaben zu bekommen. Durch gefakten Support, what ever. Aber das führt zu weit und hat mit der Frage wie Onlinebanking sicher ist schon lange nichts mehr zu tun.

Denn dann könntest du auch sagen, dass du auch bei Kleinanzeigen abgezogen wirst und da musste nix klicken.

Mir ist aber noch etwas aufgefallen: Es wurde erwähnt, man solle Bluetooth abschalten, weil dadurch Leute reinfunken könnten.

Hier würde ich gerne ein Proof of Concept sehen wollen. Denn ich kann mir nicht vorstellen, wie das bitte funktionieren soll.


Nachtrag: Nicht falsch verstehen, ich hab kein Bock jmd zu verbessern. Mir ist das sowas von Wurst, wie jmd sein Onlinebanking macht. Ich will nur wissen, wie man auf teilweise Dinge kommt.

 

[prx]

Es wurde erwähnt, man solle Bluetooth abschalten, weil dadurch Leute reinfunken könnten.

https://www.cve.org/CVERecord?id=CVE-2022-20345

This could lead to remote code execution over Bluetooth with no additional execution privileges needed. User interaction is not needed for exploitation. Android Versions: Android-12 Android-12L.

https://www.securityweek.com/google...law-allowing-remote-code-execution-bluetooth/

 

[Otandis_Isunos]

https://www.securityweek.com/google...law-allowing-remote-code-execution-bluetooth/

It has been patched with Android 12 and 12L updates.

Erster Absatz....

Aber danke für den Link. Auch wenn es gepatched wurde und scheinbar schon lange nicht mehr funktioniert, les ich mir das trotzdem mal durch.

 

[prx]

Android 12 drauf zu haben nützt nichts, wenn es keine gefixte Version für das Gerät gibt. Etwa beim Pixel 3 XL.

Es gab noch einen zweiten ungefixten Bug, nämlich einen kinderleichten Weg, die Gerätesperre zu übergehen. Diese beiden Bugs zusammen waren für mich das Kriterium, auf ein neues Gerät zu gehen.

 

[Otandis_Isunos]

Ah, tschuldige. Ich hab die Android 10 Basis übersehen. Mein Fehler. Okay, dann ist es wichtig Sorry.

Beiträge automatisch zusammengeführt: Montag um 15:13

Oh, der Beitrag von @prx wurde nachträglich stark bearbeitet. Das ist doof jetzt.

Also häng ich das mal hinten dran einfach: Gerätesperre und Bluetooth-Bug. Wie war das damals? Google Geräte sind die besten?