iTAN vs Elektronik...

Hans-Peter Diettrich schrieb:
On 8/28/22 8:20 PM, Rupert Haselbeck wrote:

Es bleibt zwar ein Arbeitsplatzrechner, aber es darf weder der Arbeitgeber noch ein Kollege, auch kein Vertreter oder dergleichen, das Postfach einsehen. Daran ist nicht ein bekloppter Betriebsrat
schuld sondern die DSGVO zusammen mit den Datenschutzgesetzen des Bundes und der Länder, welche es verbieten, dass ein Dritter ohne ausdrückliche Zustimmung des Betroffenen auf möglicherweise
private Dokumente wie Emails zugreifen kann.

Gerüchteweise[tm] soll es private Accounts geben, die mit dem Firmen-Login nicht erreichbar sind. Und vielleicht auch umgekehrt, daß im privaten Account kein Zugriff auf Firmendaten möglich ist. Wer
setzt nur so absurde Behauptungen in die Welt? ;-)

Das sind die gleichen, die behaupten, dass man einen dieser Personal-Computer
in einem undurchsichtigen Geflecht von Hinterhof-Second-Hand-Schwarzmärkten
für 100€ unter der Hand besorgen könnte. Oder für geringfügig mehr sogar
als Neugerät in Anderen-, Elektronik- oder gar Supermärkten, was auch immer
das sein mag. Besonders wirr sind die Behauptungen, Hackern sei es gelungen,
auf billigen Funktelefonen direkt e-Mails zu empfangen und zu senden.

--
mfg Rolf Bombach
 
Rupert Haselbeck schrieb:
Vielleicht wars ja echt und du hast durch dein unbegründetes Misstrauen die Chance liegen gelassen, zum Millionär zu werden!!!
Ach ja. Gelegentlich werden tatsächlich Erben gesucht, wenn ein mehr oder minder reicher Mensch das Zeitliche gesegnet hat. Und dazu werden von den Gerichten, nicht nur in Spanien, auch hierzulande,
spezielle Firmen, Erbenermittler, beauftragt, die angeblich in USA, in Sibirien oder Marokko oder
woauchimmer sitzenden Erben ausfindig zu machen - auch wenns meistens nicht gleich um viele Millionen geht.

Da gibt es mehr oder weniger dumme Versuche.
Amtliche Schreiben an Bombach Rolf, welche mir versichern, sie
hätten einen verwandten Erblasser gefunden, einen Alexander Rolf.

Oder ein mit Tippfehlern hingekleckstes Schreiben, allerdings
in einem schrägen Juristisch[tm], dass mich doch stutzig machte.
Darin allerlei Angaben, die auch fleissige Googler unmöglich
rausfinden können. Ich solle doch zum Nachweis der Identität
Kopien von allerlei Dokumenten einreichen. Man wäre nämlich
amtlich vom Nachlassgericht $Grossekreisstadt bestallter Nachlass-
verwalter von $Schrägername.
Merkwürdige Wortwahl. Ich hab ihm dann mitgeteilt, dass ich einige
Scans an das genannte Nachlassgericht gesendet hätte (nach vorherigem
Telefonat mit dem Amt, was mir den Sachverhalt bestätigte).
Einige dutzend Mails, Formulare, Ermächtigungen etc. später,
kalendarisch sicher ein halbes Jahr, war ich dann 11k€ reicher,
abzüglich für schweizer Verhältnisse lächerliche Anwaltskosten.

Hauptproblem war, dass echte Schreiben mittlerweile \"falscher\"
aussehen als Fakes.

--
mfg Rolf Bombach
 
Hallo Axel Berger,

Du schriebst am Sat, 27 Aug 2022 23:01:07 +0200:

Unddazu kommt noch, daß der _Text_ des Links und dessen _Inhalt_
nichts miteinander zu tun haben. Und wer schaut sich schon bei
einem Link an, was der Browser ggfs. am unteren Fensterrand als
Link-Ziel anzeigt?

Toll wie schön Du Selbstverständlichkeiten, die jeder hier weiß,

Ahja? _Hier_ vielleicht, aber \"draußen\"?

ich _nicht_ auf einen link sondern logge mich über die selbst
eingegebene Adresse ein

Dann registriere ich eine (zertifizierte) Domain mit einem
Tippfehler und warte 10 Minuten...

Und nu?

Schreibt er eine Anforderungs-EMail, vielleicht sogar eine kopierte
Original-EMail von der Original-Web-Site, in der er _nur_ das
Link-_Ziel_ auf seine neue Domain umbiegt.
Was kümmert\'s, wenn einer von 10000 da Sperenzien macht und die Adresse
direkt eintippt. Der wundert sich dann halt, daß da nix über den EMail-
Inhalt zu finden ist.
Oder er hat den Schreibfehler auch im Link-_Text_ angegeben. Was tippst
Du dann in das Adressfeld des Browsers? Vor allem, wenn Du die Adresse
nicht schon zig Male genutzt hast.

--
(Weitergabe von Adressdaten, Telefonnummern u.ä. ohne Zustimmung
nicht gestattet, ebenso Zusendung von Werbung oder ähnlichem)
-----------------------------------------------------------
Mit freundlichen Grüßen, S. Schicktanz
-----------------------------------------------------------
 
Helmut Schellong <rip@schellong.biz> schrieb:

Ich habe mich gefreut, daß die ING-Bank bis heute das iTAN-Verfahren nutzt.

Das benutzt auf Papier gedruckte TANs.
Diese Freigabe-Nummern auf Papier dürften >100 Jahre lesbar sein.
Sogar ein EMP aufgrund einer Atom-Explosion hat keine Wirkung auf das Papier.

Bist Du Dir ganz sicher, daß diese Anfrage hier in der richtigen NG ist?
 
Marcel Mueller <news.5.maazl@spamgourmet.org> schrieb:

Gibt es einen speziellen Grund dafür, daß diese Diskussion hier läuft
und nicht auf de.etc.finanz.banken+broker ?

xp und fup2 dorthin.

>>> Die meisten Banken sind daher schon vor Jahren davon abgekommen.

[nämlich von TAN-Listen ohne i]

Das alte TAN verfahren hatte auch Vorteile. Man konnte eine oder wenige
TAN mitnehmen um ggf. im Urlaubb o.ä. eine Überweisung machen zu können.
Bei iTAN musste man die gesamte Liste einpacken. Kein Sicherheitsgewinn.

Die Thränen fließen!

So ein Blatt Papier ist bekanntlich ganz schön schwer und Übergepäck bei
Flugreisen ist teuer.

Ganz früher habe ich meine iTAN-Listen abgetippt, später dann einfach
abphotographiert. Mein Rechner hatte immer schon einen tiefen
Verzeichnisbaum, und das Restrisiko, daß ein böser Hacker oder
Rechnerklauer die Datei wei8krw4 im Verzeichnis ...\\483722 als TAN-Liste
zu irgendeinem neiner Konten erkannt hätte, habe ich sehenden Auges in
Kauf genommen.

iTAN ist _wesentlich_ sicherer als TAN, denn eine per gefälschter
Webseite abgegriffene iTAN ist für alles außer der Transaktion, für die
sie gedacht war, wertlos.

Ja.

> Eine einzelne TAN hingegen reicht, um das Konto zu räumen.

Nein. Das Überweisungslimit steht dagegen.


Heute mit der 2 Faktor, Multi Faktor, wie auch immer Authentifizierung
darf man entweder alles Equipment mitschleppen,

Gibts ein Spendenkonto, damit man Dir das Geld für den Träger zukommen
lassen kann?

oder mobil geht gar nichts.

Das ist der Preis für die Sicherheit.

Super sicher, immer alles dabei zu haben. Wer mTAN nutzt und sich
die TANs schlauerweise _nicht_ auf sein Smartphone senden läßt, darf
ein weiteres \"Dumm\"-Mobilfunkgerät mitschleppen und hat die Chance dass
am betreffenden Ort das betreffende Netz nicht da ist, oder man das
andere Ladegerät nicht mit hat. Alles mit/auf einem Gerät ist natürlich
die absolut \"sicherste\" Art und entspricht in Puncto Sicherheit ungefähr
dem iTAN verfahren und \"die ganze Liste immer mit dabei\".

Alles auf einem Gerät ist unsicherer als iTAN. Ein Trojaner auf den
Gerät genügt, um die Sache auszuhebeln.

Gibts denn Trojaner für Äpps?

Eine App auf SmartPhone ist beträchtlich unsicherer als iTAN

Nein! Die Kopplung an ein Stück Hardware ist sogar extrem effektiv, um
Phishing zu vereiteln.

Dafür ist das Prinzip Wurstfinger auf zu kleinem Bildschirm nicht das,
was ich mir fürs Banking vorstelle. Aber ich bin ja auch ein alter,
nicht mehr lernfähiger weißer Mann, der der Technik maximal skeptisch
gegenübersteht. Das sieht man schon daran, daß ich hartnäckig an diesem
komischen Usenet festhalte, wo doch jedermann weiß, daß \"soziale
Netzwerke\" viel moderner, besser, bunter sind.

Einen gut gemachten Phishing-Test dürfte kaum ein normal Sterblicher
bestehen, auch IT-Fachleute nicht, so meine Erfahrung.

Es käme wohl auf einen Versuch an.


Neulich ist der bekannte Kriminologe Christian Pfeiffer

https://de.wikipedia.org/wiki/Christian_Pfeiffer

fast einem Schockanrufer auf dem Leim gegangen. Seine Tochter habe einen
Unfall verursacht und er müsse 50 Mille Kaution hinterlegen. Er habe
tatsächlich darauf eingehen wollen und habe erste Schritte zum Besorgen
des Geldes eingeleitet, bevor er zur Besinnung gekommen sei.

Ganz schön mutig von dem Mann, diese Story in der lokalen Zeitung
veröffentlichen zu lassen.

Nein, ich glaube nicht, daß ich als sicherlich Sterblicher normal genug
bin, um einem gut gemachten Phishing-Test zum Opfer zu fallen.

Woher hast Du Deine diesbezügliche Erfahrung?

Selbst wenn ich eine Mail auf dem korrekten Informationskanal bekommen
sollte, wo ich mich einloggen soll um dieses und jenes zu tun, klicke
ich _nicht_ auf einen link sondern logge mich über die selbst
eingegebene Adresse ein und überprüfe neben dem SSL Zertifikat den
Sachverhalt. Kann man niemandem beibringen? Dem widerspreche ich.

Dann registriere ich eine (zertifizierte) Domain mit einem Tippfehler
und warte 10 Minuten...

Mach hin!

Zu erfolgreichem Phishing gehört (wie beim Spamming) das Volumen.
Schickt der böse Bube 10.000 Phishing-Mails weg und ein einziger geht
ihm auf den Leim (also ein minimaler Promillesatz der Angeschriebenen),
so hat es sich für ihn schon gelohnt.

ChipTAN finde ich ok und zumindest zu Hause gut nutzbar.

Angenehm ist es nicht.

ACK.

> Notwendig und hinreichend sicher i.a. schon.

Hinreichend sicher ist Chip-TAN. Notwendig ist es nicht.


2FA ist zu einer oft unnützen Seuche wie die Cookie Zustimmung auf
Webseiten geworden, Sinn und Zweck mittlerweile oft verfehlt, leider.

2FA ist einfach nur eine Sache von Wahrscheinlichkeit und Aufwand.
Der Aufwand, um 2 Faktoren _gleichzeitig_ zu knacken steigt in erster
Näherung quadratisch. Der Aufwand für den User für 2FA nur linear.

Nö. Der Aufwand für den User ist ggf. deutlich mehr als linear höher.

> Verbrechen müssen in erster Linie ökonomisch rentabel sein.

Motive gibt es viele, siehe Strafrecht. Wer den Nebenbuhler absticht,
hat kein primär ökonomisches Motiv.

Wenn die Bereicherung Ziel des Verbrechens ist, dann ja.

Ist der Aufwand zu hoch, lohnt es sich nicht mehr. Das ist der primäre
Ansatzpunkt für Sicherheitsmaßnahmen. Es geht niemals darum, 100% sicher
zu sein.

Das laß nicht hören, wenn Du mal in Germanistan bist. Für viele Deutsche
ist nichts außer der absolut sichersten Sicherheit akzeptabel. Für sie
nehmen sie selbst die absurdesten Bedienungsbehinderungen inkauf.
 
Volker Bartheld <news2022@bartheld.net> schrieb:

Auch für dieses Posting:
xp + fup2 de.etc.finanz.banken+broker


Mich hat mal eine Arschgeige namens \"Markus Brunner\"
(markusbrunner.68@t-online.de) in diesem tragischen DSLR-Forum
(https://www.dslr-forum.de/) um den durchaus erheblichen Geldbetrag von
250¤ geprellt. Konkret ging es dabei um ein fotografisches Objektiv
(ein 105mm F/2.8 AF Micro Nikkor), das am 11.06.2013 für 250¤ zum
Verkauf stand, von mir nach Erhalt einer DHL-Tracking-ID per
Überweisung bezahlt, jedoch nie geliefert wurde.

9 Jahre her. Quod nocet, docet.

Wie man eine gültige DHL-ID fälscht, die in meinen Postleitzahlenbereich
zeigt, wußte sich die DHL auch nicht zu erklären. Sie verschwand
jedenfalls einige Tage später im digitalen Nirvana.

Die Telekom wollte sich zu den Personalien des Herrn Brunner trotz
vorliegendem Aktenzeichen wegen gewisser \"Persönlichkeitsrechte\" nicht
äußern: \"Bestandsdaten zur E-Mail Adresse müssen von den
Ermittlungsbehörden bei der für das Bundesland zuständigen Telekom AG,
ReSA abgefragt werden. Wir können Ihnen nicht helfen.\"

Der Forenbetreiber Rüdiger Hofner zeigte sich auch vergleichsweise
unkooperativ, u. a. mit dem Verweis darauf, daß er nicht für die von
ihm gehosteten Inhalte verantwortlich sei. Plötzlich war die
Verkaufs-URL: http://www.dslr-forum.de/showthread.php?t=1280692, die
ich zu Beweissicherungszwecken speichern wollte, nicht mehr abrufbar.

Zu diesem Zeitpunkt ahntest Du bereits, daß da was faul sein könnte.
Man hätte somit ERST den Thread abphotographieren können, bevor man den
Forenbetreiber anschreibt.

Obs was geholfen hätte, rechtzeitig Beweissicherung getrieben zu haben,
hätte man allerdings erst hinterher gesehen.

Einen Servercrash mit Rollback habe es gegeben, dabei seien leider
einige Daten verlorengegangen. Kann ja immer mal passieren.

Immerhin rutschte ihm der Spruch raus, ein Revierkommissariat
Aschersleben in Sachsen-Anhalt würde sich ebenfalls mit der
Angelegenheit befassen, und das schon seit geraumer Zeit und
interessanterweise bevor(!) das o. g. Inserat geschaltet wurde.

PP.

Die in Berlin ansässige Bank des Begünstigten (Norisbank, IBAN
DE66100777770029486800) ließ sich gar nicht zu einer Aussage mir
gegenüber herab und wollte auch kein Geld zurückerstatten.

Das ist ja auch in Ordnung so. Schließlich hättest Du der böse Bube sein
können, der auf das Konto eines unbescholtenen Kunden zugreifen
wolltest.

Die Norisbank ist seit 2012 reine Online-Bank, war es also bereits bei
dem von Dir beschriebenen Vorfall.

https://www.t-online.de/finanzen/news/unternehmen-verbraucher/id_55175020/norisbank-schliesst-bis-august-alle-filialen.html

| Norisbank schließt bis August [2012] alle Filialen

| Die Norisbank schließt alle ihre Filialen in Deutschland und
| wird zu einer reinen Direktbank.

Der hiesigen Staatsanwaltschaft ließ [die Norisbank] mitteilen,
Herr Brunner hätte unter falscher Identität ein Konto eröffnet

Das könnte prinzipiell Schuld der Bank sein, der Mann muß bei der
Kontoeröffnung dazu ja einen gefälschten Ausweis vorgelegt haben (oder
die Bank hat bei der Kontoeröffnung geschlampert).

und es nach der Tat maskiert am Bankautomaten leergeräumt. Ich
stelle mir das lustig vor, in der Filiale aufzutauchen, mit Strumpfmaske
über dem Kopf und gefälschtem Perso ein Girokonto klar zu machen.

Ich stelle mir das völlig normal vor, in einer Postfiliale aufzutauchen
und das Post-Ident klarzumachen. Man muß dabei einen Ausweis vorlegen,
der Angestellte vergleicht das Photo auf dem Ausweis mit dem Menschen,
der vor ihm steht. Weiß einer, ob der Ausweis im Verlauf auch
abphotographiert wird?

Und maskiert Geld vom Geldautomaten abzuholen habe ich auch schon ein
paarmal gemacht, zugegebenermaßen nicht 2013, sondern zwischen 2019 und
2022.

Aber vielleicht sind die da genauso kompetent wie die andere Bank
mit den Goldbarren.

Vielleicht auch geht Dir einfach die Phantasie durch.

> Schließlich wurde das Verfahren eingestellt, Täter nicht zu ermitteln.

250 Euro Schaden, da sieht so mancher Staatsanwalt kein öffentliches
Interesse.

Was lernen wir daraus? Ohne detaillierten Hintergrundcheck machst Du
besser keine Privat(ver)käufe gegen Vorlieferung oder -kasse,
zumindest, wenn es um relevante Beträge geht.

Jou.

> Gut wirkt nach meinen Erfahrungen der Bluff mit \"Bar bei Abholung\"

Auch bei \"Bar bei Abholung\" sind schon Betrugsfälle vorgekommen.

(hätte sich Herr Brunner wohl reiflich überlegt, mir vielleicht aber
auch einen Prügel über die Birne gezogen)

Eben.

> und entsprechende Treuhandverwaltung.

Paypal halt.

Der Trick mit dem Versand irgendwelcher Ziegelsteine statt echter Ware
und die Rücksendung von wertlosem Müll in der Originalverpackung eines
kostspieligen Produkts an Amazon hat zwar auch schon einen Bart,
scheint aber immer noch prima zu funktionieren. Schätze, daß 90% der
Rezensionen à la \"das Teil ist total Scheiße!\" darauf zurückzuführen
sind, daß der verärgerte Rezensent keine oder total ramponierte
Originalware bekam.

Also wenn ich mal keinen Bock mehr auf redliche Arbeit hätte, ich wüßte
schon, was ich täte. Schafe gibts ja genug und die wollen offenbar
geschoren werden.

Anno 2013 warst Du das Schaf.

Selbst wenn ich eine Mail auf dem korrekten Informationskanal bekommen
sollte, wo ich mich einloggen soll um dieses und jenes zu tun, klicke
ich _nicht_ auf einen link, sondern logge mich über die selbst
eingegebene Adresse ein und überprüfe neben dem SSL Zertifikat den
Sachverhalt.

*LOL*

Kann man niemandem beibringen? Dem widerspreche ich.

Dem Widerspruch widerspreche ich. Entschieden.

Ein (einigermaßen) sicheres Verhalten kann man vielen Leuten beibringen,
aber halt nicht allen. Und die, die sich nicht sicher verhalten, werden
halt leichter Opfer als die, die sich (einigermaßen) sicher verhalten.

Das haben sämtliche Gewerbetreibende, die irgendwas mit vertraulichen
Daten zu tun haben, auch schon gepeilt. Und deswegen benutzen sie
weder das mausetote S/MIME, das noch totere PGP oder das schon ziemlich
stinkende DE-Mail zur Kommunikation, sondern nötigen ihre Kunden dazu,
auf ihrer proprietären SSL-Website einen proprietären Account
einzurichten, mit 100-Faktor-Authentisierung, Sicherheitsabfrage,
PIN/TAN/SuperTAN, 100 Zeichen langen Superpaßworten mit 14 Tage
Verfallsdatum und Captcha.

Der Kunde benutzt das dann alles auf seinem Smartphone, bündelt es mit
dem Google-Account und trägt die (=sämtliche) Paßworte im Chrome-Browser
ein.

2FA ist zu einer oft unnützen Seuche wie die Cookie Zustimmung auf
Webseiten geworden, Sinn und Zweck mittlerweile oft verfehlt, leider.

Leider hat der Gesetzgeber 2FA vorgeschrieben, so dass die Banken nicht
frei entscheiden können, bei welchen Aktionen 2FA Sinn macht und bei
welchen nicht.

Jup.

Nope. Banken können sich durchaus in einem gewissen Rahmen entscheiden,
ob sie dem Kunden ohne 2FA Einblick in seine Finanzübersicht und die
Kontoauszüge gewähren. Die Vorschrift verlangt in diesem Fall eine
einmalige 2FA innerhalb von 90 Tagen. Die oben genannte Norisbank bietet
ihren Kunden diese Bedienungserleichterung*. Andere deutsche Banken tun
das nicht, sondern schützen ihre Kunden vor den eigenen Daten.

*Die Option ist schaltbar, sicherheitsbesoffene Kunden dürfen sich nach
ihrer Wahl auch jedes Mal 2-Faktor-authentisieren.

NB: Auf meinem Depot liegt ein deutliches Vielfaches des
Girokontostandes. Kein Zirkus mit 2FA, noch nicht einmal mit TANs.
Einfach einloggen mit Nutzerkennung und Paßwort. Für wenige Dinge wollen
sie mTAN. Das ist etwas lästig: Bei der Heißleine anrufen,
mTAN-Verfahren einschalten lassen (geht auf Zuruf), dann so etwas
großvolumiges wie einen Freistellungsauftrag elektronisch ausfüllen und
quittieren, hinterher wieder bei der Heißleine anrufen, mTAN-Verfahren
wieder abschalten lassen (auch das geht auf Zuruf!), weil man in Zukunft
nicht für jeden Sch*** eine mTAN eingeben will.
 
Helmut Schellong <rip@schellong.biz> schrieb:

> Die Alternativen nach Beendigung des iTAN-Verfahrens überstehen _keinen_ EMP!

Die Server der Bank auch nicht.

> Ich will nur sagen, daß die iTANs auf Papier extrem robust und langzeitig aufbewahrt sind.

Wenn das ganze Internet via EMP ausfällt, hilft Dir das allerdings
nicht.


Zugegeben: Das ist ein Elektronik-Thema.
 
On Sun, 28 Aug 2022 20:20:04 +0200, Rupert Haselbeck wrote:
Axel Berger schrieb:
Volker Bartheld wrote:
[...] darf ausschließlich zu dienstlichen Zwecken erfolgen.
insbesondere [...] das Streaming [sind verboten]\"
Ehrlich gesagt finde ich das weder unangemessen noch neu.
Das sind natürlich durchaus nachvollziehbare und vernünftige Gründe

Klar. Wie so oft hat die Medaille zwei Seiten. Kann ich eine private
Angelegenheit schnell vom Büro aus klären, oder melde ich mich für einen
halben Tag krank? Kann der Arbeitgeber maßgeblich mitbeeinflussen.

Dazu kommen bekloppte Betreiebsräte, die freiwillige Großzügigkeit der
Arbeitgeber zunichtemachen.

Nur wenn die private Nutzung ausdrücklich verboten ist [...] darf ein
Vertreter oder sonst ein Kollege auf das Email-Konto eines Kollegen
zugreifen können.

Weil rollenbasierte Kommunikationssysteme und E-Mail-Verteiler wie
support@xyz-gmbh.de ja noch nicht erfunden wurden. Was daran übrigens
verpönt sein soll, erschließt sich mir nicht so recht. Kannst ja einen
virtuellen Mitarbeiter namens Benjamin.Bluemchen@xyz-gmbh.de erfinden,
wenn es an persönlichem Touch mangelt.

Wenn ich als Kunde an eine Firme schreibe und die
mir bekannte direkte Mailadresse eines Mitarbeiters verwende, dann
erwarte und verlange ich, daß sich bei dessen Krankheit oder Urlaub ein
anderer der Sache annimmt.

Weil automatische Weiterleitungen und Out-of-Office-Responder (gerne
auch fein nouanciert nach Adreßbucheinträgen und intern/extern) ja noch
nicht erfunden wurden.

Den Rechner oder Mailaccount darf keiner
anfassen, weil Privates drauf sein könnte, ist sowas von absurd und
lächerlich -- kam aber vor.
Das ist in deinen Augen ja vielleicht lächerlich oder absurd aber es
entspricht schlicht und ergreifend der Rechtslage :-

Damit wären wir beim nächsten Punkt. Meinen Arbeitsrechner (und das
damit verbundene Exchange-Konto) kann und wird natürlich jeder
anfassen, der befugt ist. Da mache ich mir angesichts der Erlebnisse
mit NNTP keine Sorgen. Und seit sich *trommelwirbel* die IT-Zentrale
prontissimo mit mir in Verbindung setzte, als ich die Chuzpe besaß, ein
selbst entwickeltes C++ Testprogramm für ein Render-Engine-Plugin
dllhost.exe zu nennen und auszuführen.

Diskussion ergab, daß es sich bei dllhost.exe zufällig um einen
Dateinamen handelte, der auch als Windows-Binary in %WINDIR%\\System32\\
existiert und es ein Charakteristikum von Schadsoftware sei, den Namen
solcher Binaries anzunehmen. Vollkommen egal, ob die Software nun mit
dem Firmenzertifikat digital signiert ist oder nicht.

Abhilfe? Ich möge die Datei bitte umbenennen.

Ich werde also den Teufel tun und Outlook für irgendwelche private
Kommunikation verwenden. POP3(S) und (S)SMTP habe ich mir inzwischen
auch schon verkniffen, gibt ja schließlich Webmail über https und den
Chrome-Paßwortspeicher. Meine legale Mucke und das was ich sonst so an
privatem Zeugs zur Steigerung der Produktivität zu brauchen glaube,
liegt auf einem VeraCrypt-Volume, denn eigentlich wären sogar (private)
Smartphones (wegen der Kamerafunktion) am Arbeitsplatz verboten.

Aber selbst die VeraCrypt-Idee hatte ihre Tücken, denn irgendwann suchte
die ebenso nutzlose wie lästige Druva-In-Sync-Automagie 10GB an unter
dem Laufwerksbuchstaben B: eingehängten Medien zu sichern. Ich konnte
noch nicht herausfinden, ob man VeraCrypt beibringen kann statt
Laufwerksbuchstaben Netzwerkpfade wie
\\\\localhost\\MySecretVeraCrpytVolume zu benutzen.

Also erzähl mir bloß nichts von mißliebigem Verhalten.

Volker
 
On Sun, 28 Aug 2022 22:28:03 +0200, Martin Gerdes wrote:
Volker Bartheld <news2022@bartheld.net> schrieb:
Auch für dieses Posting:
xp + fup2 de.etc.finanz.banken+broker

Ignoriert.

Mich hat mal eine Arschgeige namens \"Markus Brunner\"
in diesem tragischen DSLR-Forum [...] um den durchaus erheblichen Geldbetrag von
250¤ geprellt.
9 Jahre her. Quod nocet, docet.

Und deswegen uninteressant? Mit Deinem kleinen Latrinum kannst Du
Konifere mich überhaupt nicht imprägnieren.

Der Forenbetreiber Rüdiger Hofner zeigte sich auch vergleichsweise
unkooperativ
Zu diesem Zeitpunkt ahntest Du bereits, daß da was faul sein könnte.
Man hätte somit ERST den Thread abphotographieren können, bevor man den
Forenbetreiber anschreibt.

Hätte man, ja. War wohl naiv.

Die Norisbank ist seit 2012 reine Online-Bank, war es also bereits bei
dem von Dir beschriebenen Vorfall.

Dann werden sie ja wohl vernünftige Online-Verfahren zur
Identitätsprüfung haben, oder?

Der hiesigen Staatsanwaltschaft ließ [die Norisbank] mitteilen,
Herr Brunner hätte unter falscher Identität ein Konto eröffnet
Das könnte prinzipiell Schuld der Bank sein, der Mann muß bei der
Kontoeröffnung dazu ja einen gefälschten Ausweis vorgelegt haben (oder
die Bank hat bei der Kontoeröffnung geschlampert).

Das sehe ich ähnlich.

und es nach der Tat maskiert am Bankautomaten leergeräumt.
Und maskiert Geld vom Geldautomaten abzuholen habe ich auch schon ein
paarmal gemacht, zugegebenermaßen nicht 2013, sondern zwischen 2019 und
2022.

Ich glaube eher, da hat genau gar niemand irgendwelche Aufzeichnungen
von Schalterhalle oder Geldautomat angeschaut. Reine Schutzbehauptung.

Schließlich wurde das Verfahren eingestellt, Täter nicht zu ermitteln.
250 Euro Schaden, da sieht so mancher Staatsanwalt kein öffentliches
Interesse.

Bei mir. Der umtriebige Herr Brunner hat ein gutes Dutzend Gutgläugige
um ihr Geld geprellt, nicht nur im DSLR-Forum.

Also wenn ich mal keinen Bock mehr auf redliche Arbeit hätte, ich wüßte
schon, was ich täte. Schafe gibts ja genug und die wollen offenbar
geschoren werden.
Anno 2013 warst Du das Schaf.

Unstrittig. Wir diskutierten ja die Lernfähigkeit. Die würde ich Schafen
aberkennen. Ich habe meine Schlüsse gezogen und hier vorgestellt. U. A.,
damit Andere an diesem Beispiel (hoffentlich) etwas lernen.

Volker
 
Volker Bartheld wrote:
Weil rollenbasierte Kommunikationssysteme und E-Mail-Verteiler wie
support@xyz-gmbh.de ja noch nicht erfunden wurden. Was daran übrigens
verpönt sein soll, erschließt sich mir nicht so recht.

Du bist noch nie Opfer des Callcenterunwesens gewesen? Wenn ein Betrieb
etliche Mitarbeiter beschäftigt, dann, weil ein einzelner den
Kundenstamm nicht mehr überblicken kann. Wenn ich mit Herrn Müller schon
über mein Objekt gesprochen habe, u.U. sogar vor kurzem und in derselben
Sache, dann kann der sich wahrscheinlich erinnern und weiß, um was es
geht. Herrn Maier muß die komplette Geschichte wieder von Adam und Eva
vorbeten, was eine unnötige Verschwendung meiner, seiner und der Zeit
und Mühe seines Arbeitgebers wäre.

Also wende ich mich zu einem bekannten Thema und Anlaß an den
Mitarbeiter, der früher schon einmal genau damit befaßt war.
Insbesondere natürlich wenn genau der mich um \"ich brauche dazu noch\"
gebeten hat. Und jetzt ist der am nächsten Tag krank oder sonst privat
verhindert.

> wenn es an persönlichem Touch mangelt.

Darum geht es dabei genau gar nicht.

Weil automatische Weiterleitungen und Out-of-Office-Responder (gerne
auch fein nouanciert nach Adreßbucheinträgen und intern/extern) ja noch
nicht erfunden wurden.

Erfunden vielleicht. Bis in alle Betriebe, mit denen ich in der
Vergangenheit zu tun hatte, durchgesprochen hat es sich offenbar nicht.


--
/¯\\ No | Dipl.-Ing. F. Axel Berger Tel: +49/ 221/ 7771 8067
\\ / HTML | Roald-Amundsen-Straße 2a Fax: +49/ 221/ 7771 8069
 X in | D-50829 Köln-Ossendorf http://berger-odenthal.de
/ \\ Mail | -- No unannounced, large, binary attachments, please! --
 
On 08/28/2022 22:28, Martin Gerdes wrote:
Helmut Schellong <rip@schellong.biz> schrieb:

Ich habe mich gefreut, daß die ING-Bank bis heute das iTAN-Verfahren nutzt.

Das benutzt auf Papier gedruckte TANs.
Diese Freigabe-Nummern auf Papier dürften >100 Jahre lesbar sein.
Sogar ein EMP aufgrund einer Atom-Explosion hat keine Wirkung auf das Papier.

Bist Du Dir ganz sicher, daß diese Anfrage hier in der richtigen NG ist?

In der Regel ist es so, daß einzelne Sätze oder Absätze in einem Artikel
nur im gesamten Text den richtigen Sinn ergeben.

Du bist hier der Zweite oder Dritte, der die obigen Sätze
isoliert und damit sinnentstellt bewertet.

Es geht u.a. um den Nachweis einer großen Robustheit im Vergleich
zu im nachfolgenden Text beschriebenen Alternativen.
Ohne den ganzen nachfolgenden Text ist eine Betrachtung sinnlos und einfach Quatsch.


--
Mit freundlichen Grüßen
Helmut Schellong var@schellong.biz
http://www.schellong.de/c.htm http://www.schellong.de/c2x.htm http://www.schellong.de/c_padding_bits.htm
http://www.schellong.de/htm/bishmnk.htm http://www.schellong.de/htm/rpar.bish.html http://www.schellong.de/htm/sieger.bish.html
http://www.schellong.de/htm/audio_proj.htm http://www.schellong.de/htm/audio_unsinn.htm http://www.schellong.de/htm/tuner.htm
http://www.schellong.de/htm/string.htm http://www.schellong.de/htm/string.c.html http://www.schellong.de/htm/deutsche_bahn.htm
http://www.schellong.de/htm/schaltungen.htm http://www.schellong.de/htm/math87.htm http://www.schellong.de/htm/dragon.c.html
 
On 08/28/2022 22:28, Martin Gerdes wrote:
Helmut Schellong <rip@schellong.biz> schrieb:

Die Alternativen nach Beendigung des iTAN-Verfahrens überstehen _keinen_ EMP!

Die Server der Bank auch nicht.

Wahrscheinlich überstehen die Server das!

Elektromagnetische Strahlung kann abgeschirmt werden.
Galvanische Verbindung kann durch Glasfaser ersetzt werden.

Ich will nur sagen, daß die iTANs auf Papier extrem robust und langzeitig aufbewahrt sind.

Wenn das ganze Internet via EMP ausfällt, hilft Dir das allerdings
nicht.

Wenn wichtige Daten sicher untergebracht sind, kann weitergemacht werden.

Zugegeben: Das ist ein Elektronik-Thema.

Ja, das Thema hier habe ich auch zur Ablenkung von 100% OFFtopic gesetzt.
Es ist allerdings noch nicht 100% ONtopic.

100% ONtopic ist ganz klar: http://www.schellong.de/htm/schaltungen.htm#inhalt


--
Mit freundlichen Grüßen
Helmut Schellong var@schellong.biz
http://www.schellong.de/c.htm http://www.schellong.de/c2x.htm http://www.schellong.de/c_padding_bits.htm
http://www.schellong.de/htm/bishmnk.htm http://www.schellong.de/htm/rpar.bish.html http://www.schellong.de/htm/sieger.bish.html
http://www.schellong.de/htm/audio_proj.htm http://www.schellong.de/htm/audio_unsinn.htm http://www.schellong.de/htm/tuner.htm
http://www.schellong.de/htm/string.htm http://www.schellong.de/htm/string.c.html http://www.schellong.de/htm/deutsche_bahn.htm
http://www.schellong.de/htm/schaltungen.htm http://www.schellong.de/htm/math87.htm http://www.schellong.de/htm/dragon.c.html
 
On 08/29/2022 09:47, Axel Berger wrote:
Volker Bartheld wrote:
Weil rollenbasierte Kommunikationssysteme und E-Mail-Verteiler wie
support@xyz-gmbh.de ja noch nicht erfunden wurden. Was daran übrigens
verpönt sein soll, erschließt sich mir nicht so recht.

Du bist noch nie Opfer des Callcenterunwesens gewesen? Wenn ein Betrieb

Eine gute Maßnahme sind die Negativ- und Positiv-Listen beim Telefon-Provider.

Ich habe dadurch einen etwa 99%-igen Erfolg.
Beispielsweise wird in der Negativ-Liste durch \'+3\' komplett Italien gesperrt.
Die Lebensmittel von dort sind zwar gut, aber die kaufe ich wöchentlich im örtlichen Supermarkt.


--
Mit freundlichen Grüßen
Helmut Schellong var@schellong.biz
http://www.schellong.de/c.htm http://www.schellong.de/c2x.htm http://www.schellong.de/c_padding_bits.htm
http://www.schellong.de/htm/bishmnk.htm http://www.schellong.de/htm/rpar.bish.html http://www.schellong.de/htm/sieger.bish.html
http://www.schellong.de/htm/audio_proj.htm http://www.schellong.de/htm/audio_unsinn.htm http://www.schellong.de/htm/tuner.htm
http://www.schellong.de/htm/string.htm http://www.schellong.de/htm/string.c.html http://www.schellong.de/htm/deutsche_bahn.htm
http://www.schellong.de/htm/schaltungen.htm http://www.schellong.de/htm/math87.htm http://www.schellong.de/htm/dragon.c.html
 
On Monday, August 29, 2022 at 9:47:30 AM UTC+2, Axel Berger wrote:
Volker Bartheld wrote:
Weil rollenbasierte Kommunikationssysteme und E-Mail-Verteiler wie
sup...@xyz-gmbh.de ja noch nicht erfunden wurden. Was daran übrigens
verpönt sein soll, erschließt sich mir nicht so recht.
Du bist noch nie Opfer des Callcenterunwesens gewesen? [...] Wenn ich mit Herrn Müller schon
über mein Objekt gesprochen habe, [...] dann kann der sich wahrscheinlich erinnern und weiß, um was es
geht. Herrn Maier muß die komplette Geschichte wieder von Adam und Eva
vorbeten

Subaddressing nach https://www.rfc-editor.org/rfc/rfc5233 existiert. Das erlaubt Konstrukte wie
support+herr_mueller@xyz-gmbh.de und support+herr_maier@xyz-gmbh.de
, wobei sie alle äquivalent zu support@xyz-gmbh.de sind (dergestalt, daß sie in derselben Mailbox landen), aber immer noch die Namensinformation tragen und bei Bedarf automagisch zugeordnet und weitergeleitet werden können.

Warum dieses sog. \"Subaddressing\" seit 2008 nicht über den Proposal-Status hinausgekommen ist, die meisten ernstzunehmenden MTAs das über seit einem Jahrzehnt trotzdem problemlos unterstützen, muß uns vermutlich nicht interessieren.

Besser als \"Herr Müller\" <support@xyz-gmbh.de> ist es aber allemal, denn den Text zwischen den Apostrophen darf jeder verunstalten, ganz wie es ihm beliebt.

Also wende ich mich zu einem bekannten Thema und Anlaß an den
Mitarbeiter, der früher schon einmal genau damit befaßt war.

Das kannst Du. Existierende Technologie und existierende Standards sollten eben sinnstiftend angewendet werden, anstatt immer und immer wieder dem NIHS zu verfallen. Es schaffen ja auch einige wenige hochentwickelte Firmen voller IT-Cracks ohne RFC5233 und erkennen den Nutzen einer dem Betreff hinzugefügten Ticket-ID.

Weil automatische Weiterleitungen und Out-of-Office-Responder (gerne
auch fein nouanciert nach Adreßbucheinträgen und intern/extern) ja noch
nicht erfunden wurden.
Erfunden vielleicht. Bis in alle Betriebe, mit denen ich in der
Vergangenheit zu tun hatte, durchgesprochen hat es sich offenbar nicht.

E-Mail ist seit ihrer Erfindung Ende der 1980er Jahre ja auch noch ein vergleichsweise junges Medium. Wir müssen einfach nochmal 40 Jahre Geduld haben.

Volker
 
On 27.08.2022 19:54, Heinz Schmitz wrote:

Funk und Handy haben meiner Ansicht nach nichts in der Nähe meines
Kontos zu suchen.

Du betreibst Online-Banking?
Dann wohnt dein Konto überall. Auch in der Nähe von Funk und Handy. :)
 
\"Bernd W.\" <lesichnicht@gmx.com> wrote:
Am 26.08.22 um 15:09 schrieb Hans-Peter Diettrich:
Speziell die Postbank macht mir das Online-Banking schwer. Alle paar
Wochen wird mein Account gesperrt und ich muß mir eine neue PIN per Post
schicken lassen. Will mich vielleicht jemand ärgern und loggt sich mit
meiner ID und (natürlich) falschem Passwort so oft ein, bis mein Account
gesperrt wird? So eine Art DoS Attacke? :-(

bin auch bei der Postbank und nutze BestSign. Da muss ich den LogIn über
die BestSign App auf meinem iPhone mit meinem Fingerabdruck bestätigen.
Ist für mich komfortabel und kommt mir sicher vor.
Jede Aktion/Überweisung muss ich ebenso mit dem Fingerabdruck bestätigen.

Und wenn Dein Telefon kompromittiert ist, freut sich der Angreifer.

That being said, die Security, die Apple auf dem iPhone realisiert
hat, ist insbesondere im Vergleich zu einem handelsübliche Windows-PC
_richtig_ gut. Im Gegensatz dazu stinkt Android aus jeder
Gehäuseöffnung.

Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | \" Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom \" |
Nordisch by Nature | Lt. Worf, TNG \"Rightful Heir\" | Fon: *49 621 72739834
 
Am 30.08.22 um 14:57 schrieb Marc Haber:

bin auch bei der Postbank und nutze BestSign. Da muss ich den LogIn über
die BestSign App auf meinem iPhone mit meinem Fingerabdruck bestätigen.
Ist für mich komfortabel und kommt mir sicher vor.
Jede Aktion/Überweisung muss ich ebenso mit dem Fingerabdruck bestätigen.

Und wenn Dein Telefon kompromittiert ist, freut sich der Angreifer.

Bislang hat es allen Unkenrufen zum Trotz keine größeren, erfolgreichen
Angriffe auf Android gegeben.

Falls es dir trotzdem unheimlich ist, verzichtest du auf den Komfort des
Fingerabdruck und erteilst die Freigabe in Bestsign mittels Passwort.
Die Eingabe desselben erfolgt über eine App-interne Bildschirmtastatur
und ist somit für eventuelle Malware nicht belausch- oder simulierbar.


That being said, die Security, die Apple auf dem iPhone realisiert
hat, ist insbesondere im Vergleich zu einem handelsübliche Windows-PC
_richtig_ gut. Im Gegensatz dazu stinkt Android aus jeder
Gehäuseöffnung.

Deine Informationen sind stark veraltet.

Halbwegs aktuelle Android-Versionen (10+) arbeiten mit exakt dem selben
Sicherheitskonzept wie Apple, d.h.
- jede App läuft streng isoliert in einer Sandbox.
- jede App hat ihr eigenes, streng isoliertes Datenverzeichnis im Flash,
auf das nur diese App Zugriff hat.
- Datenaustausch ist für normale Apps nur über Medienobjekte (Bilder,
Videos, Musik, Dokumente) möglich. Nur Apps mit Sondergenehmigung von
Google dürfen noch auf das Dateisystem zugreifen, in welchem diese
Objekte liegen.

Hergen
 
On 8/30/22 6:23 PM, Hergen Lehmann wrote:
Am 30.08.22 um 14:57 schrieb Marc Haber:

Halbwegs aktuelle Android-Versionen (10+) arbeiten mit exakt dem selben
Sicherheitskonzept wie Apple, d.h.

Mein Smarphone ist leider völlig veraltet. Nach einem factory-reset, um
den vorherigen Besitzer loszuwerden, gibt es keine Apps und Updates
mehr, es funktionieren nur noch die eingebauten Funktionen Stand vor
über 10 Jahren. Damit kann ich gerande noch die SMS mit der Pin
empfangen und diese dann im Windows Browser eintippen.

Muß ich mir jetzt Sorgen über neue Malware auf dem Handy machen?

DoDi
 
On Tue, 30 Aug 2022 18:23:08 +0200, Hergen Lehmann wrote:
Am 30.08.22 um 14:57 schrieb Marc Haber:
bin auch bei der Postbank und nutze BestSign. Da muss ich den LogIn über
die BestSign App auf meinem iPhone mit meinem Fingerabdruck bestätigen.
Und wenn Dein Telefon kompromittiert ist, freut sich der Angreifer.
Bislang hat es allen Unkenrufen zum Trotz keine größeren, erfolgreichen
Angriffe auf Android gegeben.

.... der öffentlich bekannt wurde. Darfst davon ausgehen, daß die Dienste
ihr Köfferchen mit Zerodays gut bestückt haben. Ex-Kollege Martin J.
Münch aka. \"mjm\" machte da ja ein florierendes Geschäftsmodell draus.

Glücklicherweise endlich Geschichte:

https://netzpolitik.org/2022/nach-pfaendung-staatstrojaner-hersteller-finfisher-ist-geschlossen-und-bleibt-es-auch/

Mein Mitleid ungefähr genauso groß wie die Steuergeschichte, die zum Tod
von Abmahnanwalt F. v. Grafenreuth (sp?) geführt hat.

Aber solange es immer noch mehr als genug Leute gibt, die ihre
Kontodaten auf amz0n.de zwecks \"Verifizierung\" eingeben, ein E-Mail
Attachment namens Steuerbescheid.pdf.exe von finanzamt@abcd123xyz.ru
öffnen, einen gefundenen USB-Stick in ihren Rechner stöpseln, am
WiFi-Router gar kein oder das Defaultpaßwort verwenden oder am
Schlaufernsprecher das Adreßbuch nach Facebook exportieren, mache ich
mir über die total ausgefuchsten Zeroday-Exploits von irgendwelchen
Israelis, FBI, BKA, BND und LMAA vergleichsweise wenig Sorgen.

OK, das mit ZLIB (\"Fix a deflate bug when using the Z_FIXED strategy
that can result in out-of-bound accesses.\") ist jetzt natürlich nicht
so prickelnd, wegen ZLIB und PNG und Webbrowser und so, da wird man
halt gucken müssen, was so an Malware bei rumkommt.

Aber bei den ganzen empathieverkrüppelten Zombies, die wie ferngesteuert
draußen rumlaufen und jede freie Sekunde ihres erbärmlichen,
irrelevanten Lebens mit Social-Web-Aktivitäten zukleistern, ist es
vielleicht auch nicht besonders schade. Klingt jetzt etwas
misanthropisch, war allerdings ganz genau so gemeint.

Volker
 
Am 30.08.22 um 21:18 schrieb Volker Bartheld:

On Tue, 30 Aug 2022 18:23:08 +0200, Hergen Lehmann wrote:
Bislang hat es allen Unkenrufen zum Trotz keine größeren, erfolgreichen
Angriffe auf Android gegeben.

... der öffentlich bekannt wurde. Darfst davon ausgehen, daß die Dienste
ihr Köfferchen mit Zerodays gut bestückt haben.

Die US-\"Dienste\" sind sowieso außen vor. Sie senden bei Bedarf einfach
einen \"National Security Letter\" an Google/Apple/Microsoft/etc., welcher
eine Backdoor fordert und zugleich absolutes Stillschweigen darüber.

Das Risiko wirst du nur los, indem du dir a) dein Betriebssystem selbst
kompilierst, und b) mit einem ganzen Team jede einzelne ins Repository
eingecheckte Änderungen prüfst.


Aber solange es immer noch mehr als genug Leute gibt, die ihre
Kontodaten auf amz0n.de zwecks \"Verifizierung\" eingeben, ein E-Mail
Attachment namens Steuerbescheid.pdf.exe von finanzamt@abcd123xyz.ru
öffnen, einen gefundenen USB-Stick in ihren Rechner stöpseln, am
WiFi-Router gar kein oder das Defaultpaßwort verwenden oder am

Ja, das ist für Kriminelle das weitaus lohnendere Ziel.

Malware zu schreiben, ist extrem aufwändig, und wenn man Pech hat,
funktioniert das Ergebnis nur auf wenigen Maschinen in einer ganz
bestimmten Konfiguration und/oder das Loch ist ganz schnell wieder
gestopft. Die einzige Malware-Kategorie, welche noch Konjunktur hat, ist
der Kryptotrojaner für Windows™.


Schlaufernsprecher das Adreßbuch nach Facebook exportieren, mache ich
mir über die total ausgefuchsten Zeroday-Exploits von irgendwelchen
Israelis, FBI, BKA, BND und LMAA vergleichsweise wenig Sorgen.

Kritischer in Sachen Facebook sind Cambridge Analytica und Nachfolger.
Da befördern kleine Lobbygruppen über gezieltes Targeting von
beeinflussbaren Personengruppen ganze Regierungen ins Amt. Facebook
liefert gegen Einwurf von Geld genau die dafür benötigen Infos.


Aber bei den ganzen empathieverkrüppelten Zombies, die wie ferngesteuert
draußen rumlaufen und jede freie Sekunde ihres erbärmlichen,
irrelevanten Lebens mit Social-Web-Aktivitäten zukleistern, ist es
vielleicht auch nicht besonders schade. Klingt jetzt etwas
misanthropisch, war allerdings ganz genau so gemeint.

Das Blöde ist: Auch die dürfen wählen, und sie wählen bevorzugt extrem.
 

Welcome to EDABoard.com

Sponsor

Back
Top