Sicherheit Onlinebanking im Urlaub/Ausland

[lazsniper]

ich gehe für sowas im ausland und auf reisen immer über cyberghost vpn, für ein ruhigeres gewissen.

wirklich nötig ist das nicht, bei banking etc. hast du ja eine TLS verschlüsselung... von daher...

 

[till69]

Hier ist aber wieder gefährliches Halbwissen unterwegs, gepaart mit Paranoia.

Jep, unglaublich für ein Computerforum.

Also wenn mal was geschaut werden müsste kurz, mit der nativen App der (Direkt)bank aufm Handy vs im Browser?

Nutze die App und gut ist.

 

[JMP $FCE2]

Banking am Smartphone über die Bank App ist sicherer als zu Hause am PC über den Browser

Nicht, wenn man Browser+ChipTAN nutzt.

Der externe TAN-Generator ist ohne Eingriff in die Hardware gar nicht von außen erreichbar. Selbst wenn es eine Schwachstelle gäbe, hat die optische Schnittstelle schlicht eine zu geringe Übertragungsrate, um darüber dem Gerät funktionierenden Schadcode unterzujubeln.

 

[Falc410]

Brauchst du nicht, wenn die Domain leicht abgeändert wird. Kaum jemand prüft das ständig, in Apps ist das vermutlich gar nicht möglich.

Dann erklär mir bitte mal wie das gehen soll. Ersten prüft die App das selbst und jetzt willst du den A Record woandershin zeigen lassen - natürlich brauchst du da ein Zertifikat und zwar für die originale Domain. Bekommst du doesn’t bei let’s encrypt nicht.
Und jetzt bitte keine Szenarien bei denen der Angreifer die volle Kontrolle über dein Gerät hat.

Aber bitte, erleuchte mich. Vielleicht hab ich ja was übersehen.

 

[Placeholder2022]

Mensch hier war ja mords was los, da gehste einmal kurz einkaufen)

Danke Euch

Also aktuelles Gerät, gepatcht, vorausgesetzt über Chrome Mobil auf die Seite der bank, WLAN vorher aus, mit der SIM ausm Urlaubsland und gut.

Danke

 

[Helge01]

Dann erklär mir bitte mal wie das gehen soll.

Man macht im Router eine DNS Überschreibung oder trägt im eigenen DNS-Resolver eine andere IP-Adresse/CNAME für "www.meine.bank.de" ein. Ruft man jetzt die Seite auf wird man auf einen anderen Webserver umgeleitet. Auf diesem Webserver macht man einen Redirect, z.B (Apache).

RewriteEngine On
RewriteCond %{HTTP_HOST} ^www.meine.bank.de$
RewriteRule ^(.*)$ https://www.mein.bank.de/$1 [L,R=301]

Für www.mein.bank.de lässt man ein gültiges Zertifikat ausstellen.

 

[Pitt_G.]

@bisy du hast noch nen Glauben an die Menschheit und die Technik , Respekt.
Muss jeder selber wissen.

 

[bisy]

du hast noch nen Glauben an die Menschheit und die Technik , Respekt.

Nö, ich bin nur nicht Paranoid und vermute nicht hinter jeder Sache eine Bedrohung.

Wenn anscheinend nach deiner Ansicht geht, kann man Bank Geschäfte auch nicht zu Hause am PC machen, der PC könnte ja versucht sein. Am Automaten geht auch nicht, denn da könnte ja die Daten der Karte mit nem Lesegerät abgegriffen werden und mit ner Kamara dein Pin ausspioniert werden. Smartphones und Tablets sind ja nach deiner Ansicht komplett raus.

 

[chrigu]

Frag deine Bank. Die haben bestimmt einen eigenen VPN-Server

 

[WhiteHelix]

Garantiert haven die einen, aber bestimmt nicht für Kunden

 

[Marco01_809]

Brauchst du nicht, wenn die Domain leicht abgeändert wird. Kaum jemand prüft das ständig, in Apps ist das vermutlich gar nicht möglich.

Apps dürfen nach App Store/OS Richtlinien von Apple und Google gar keine unverschlüsselte Kommunikation mehr nutzen und daher kannst du auch keinen Redirect injecten. Ferner nutzen die sehr oft Certificate Pinning, d.h. es wird nur fest einprogrammierten Zertifikaten vertraut. Selbst wenn du ein gültiges Zertifikat für die echte Domain ergaunerst frisst die App das nicht.

Man macht im Router eine DNS Überschreibung oder trägt im eigenen DNS-Resolver eine andere IP-Adresse/CNAME für "www.meine.bank.de" ein. Ruft man jetzt die Seite auf wird man auf einen anderen Webserver umgeleitet. Auf diesem Webserver macht man einen Redirect, z.B (Apache).

Das geht eben nicht. Dank HSTS ist der allererste Verbindungsversuch bereits über https://, d.h. der Webserver der den Redirect machen will braucht schon ein gültiges Zertifikat für genau die Domain die der Browser ursprünglich angefragt hat. Auch bei Seiten ohne HSTS reicht ein einfaches Lesezeichen wo "https://" drinne steht (oder ein wachsamer Nutzer der es selbst eintippt) um jeden Angriff abzuwehren.

Davon ab muss man im Online-Banking ja jede Transaktion per 2FA/TAN bestätigen und entsprechende Geräte/Apps zeigen die Transaktionsdetails nochmal an, d.h. selbst ein erfolgreicher Angriff führt höchstens zum Informationsleak solange man beim 2FA aufpasst.

 

[Helge01]

Dank HSTS ist der allererste Verbindungsversuch bereits über https://
braucht schon ein gültiges Zertifikat für genau die Domain die der Browser ursprünglich angefragt hat

Das ist richtig, ist mir in dem Moment nicht aufgefallen. Der User würde einmal einen Zertifikatsfehler erhalten den er bestätigen müsste. Danach würde er es nicht mehr merken da die Fake URL zum Zertifikat passt.

Früher ohne HSTS funktionierte das problemlos.

 

[Falc410]

Ich hab ja gesagt, dass es jetzt deutlich schwieriger ist so einen Angriff in der Praxis durchzuführen. Bei Veranstaltungen mit Live Hacking wird immer eine vereinfachte Umgebung benutzt damit das alles funktioniert.

 

[BeBur]

Banking im Ausland mache ich ohne größere Sorge über ein Hotel Wifi, Gründe wurden genannt. Dank 2FA ist auch ein Diebstahl von Tablet oder Laptop unproblematisch.

VPN benötigt man nicht, das ist Geldmacherei bzw. Geldverschwendung.

 

[dideldei]

@BeBur eine Netzwerkverbindung ist Geldmacherei? Sowas hab ich auch noch nicht gehört.

Du meinst Dienste (von dritten) sind in einer gewissen Art und Weise Geldmscherei. Ist ja nicht so, dass man den Dienst nicht selbst lösen kann, wie z. B. mit einem NAS.

 

[BeBur]

@BeBur eine Netzwerkverbindung ist Geldmacherei? Sowas hab ich auch noch nicht gehört.

Man kann entweder versuchen bei der ersten Gelegenheit zu klugscheißern oder man kann versuchen, sinnentnehmend zu lesen.
Auch nen eigenen VPN Dienst aufsetzen ist (im Kontext des Threads) Geldverschwendung, aber ja, wenn du eh nen Computer zugänglich vom Internet aus hast der 24/7 läuft, dann ist das betreiben eines VPN natürlich fast kostenneutral. Der TE macht aber nicht den Eindruck, dass das bei ihm der Fall ist.

 

[Nilson]

Naja, der Anwendungsfall des TE ist tatsächlich einer der wenigen Fälle in denen ein VPN-Dienst tatsächlich seine Daseinsberechtigung hat. Auch wenn die Banking-App ggf. sicher ist, so gilt das wahrscheinlich nicht für alle Apps und Webseiten, die man mit seinem Smartphone besucht. Auch für den Datenschutz ist ein (eigener) VPN zuträglich.
Je nach Router kann der auch einen VPN-Server (Fritzboxen z.B.), man muss sich dann nicht mal extra Hardware anschaffen.

 

[BeBur]

Marco hat die Situation etwas weiter oben ganz gut zusammengefasst: Link.

Apps dürfen nach App Store/OS Richtlinien von Apple und Google gar keine unverschlüsselte Kommunikation mehr nutzen

Dank HSTS ist der allererste Verbindungsversuch bereits über https://

im Online-Banking ja jede Transaktion per 2FA/TAN bestätigen

Da bleibt nicht viel übrig außer "man kann nicht komplett ausschließen, dass...".

 

[dideldei]

Man kann entweder versuchen bei der ersten Gelegenheit zu klugscheißern oder man kann versuchen, sinnentnehmend zu lesen.

Mir ist bekannt das du nicht viel Diskussionpotenzial hast aber deine rudimentäre Aussage wollte ich nicht stehen lassen 😉

Der TE ist ja nun auch zufrieden.