Sicherheit: Betrugsmail Volksbank Paketbestätigung

by Leave a Comment

Uiui,
jetzt werden schon die Banken beim Phishing vermischt. Macht ja nichts, merkt ja keiner.
Hier wird das Logo „EuroExpresszahlung“ von der Sparkasse für eine Volksbank Phishing-Mail missbraucht. Mich würde hier die Statistik des Webservers der Sparkasse interessieren. Wie oft wird das Bild wohl heruntergeladen?

Ich verlinke das Bild absichtlich nicht. Wer unbedingt das Logo sehen möchte, muss den Link in die Browseradresse kopieren.
https://portal.sska.de/ifdata/72050000/IPSTANDARD/3/content/www/pixel/gv_hinweise/express_ohne_hinweis.jpg

Schnell überweisen in Deutschland und Europa Mit der EURO-Expresszahlung online ist Ihr Auftrag schneller beim Empfänger als mit einer normalen Überweisung – sowohl in Deutschland als auch in Europa. Der Preis einer EURO-Expresszahlung online beträgt 10,00 Euro. —————————————————————————-

27. November 2014 um 04:21:51 Uhr

Wir haben den Volksbank benachrichtigt, dass der Artikel verschickt werden kann. Alle Details zu dieser Zahlung:
Zahlungsbestätigung – 552479999799.

Betrugsmail Volksbank

Die Zahlungsbestätigung verweist im Link, einer Zip-Datei, natürlich auf einen gehackten Server.

Ber „Den Volksbank“? Naja, da hat der automatische Übersetzer google-Translate wohl nicht bemüht…

 

Sicherheit: Prävention mit Malwarebytes Anti Exploit

by Leave a Comment

Ich bin ja schon längere Zeit ein Freund der Produkte von Malwarebytes, unlängst wurde der Virenscanner sogar Testsieger in der PC-Welt (neben Bitdefender, deren Produkt ebenfalls eine Erkennungsquote von hervorragenden 100% hatte).

Die Scanner von Malwarebytes finden häufig noch Viren auf PCs, deren Virenscanner bereits von Schadsoftware beeinträchtigt sind. Um den Virenscanner soll es aber hier nicht gehen.

Hier möchte ich stattdessen ein hervorragendes Tool zur Verhinderung von Infektionen vorstellen. Eines der Haupteinfallstore von Viren und trojanischen Pferden sind Sicherheitslücken im Browser und Erweiterungen des Browsers, sogenannte Exploits. Viele Mails und Links zielen alleine darauf, User auf scheinbar harmlose, aber gehackte und manipulierte Internetseiten zu lotsen, um von dort mit sogenannten Exploit-Kits den Besucher-PC systematisch auf hunderte Sicherheitslücken abzuklopfen. Über entdeckte Sicherheitslücken werden dann Schadprogramme auf die Rechner überspielt und schon ist der Computer unter fremder Kontrolle. Unter diesen gehackten Webseiten sind leider auch prominente „große“ Internetseiten zu finden, es ist leider ein großer Irrtum, dass man sich Schadsoftware nur auf den „dunklen“ Seiten des Webs einfangen kann.

Das Antiexploit-Tool von Malwarebytes ist dabei kein Antiviren-Programm, sondern eine Ergänzung dazu. Auf eine gute Antiviren-Software kann nicht verzichtet werden. Es erkennt zuverlässig die bekannten Exploit-Scanner und verhindert damit die Ausnutzung der vorhandenen Sicherheitslücken. MWB Antiexploit läuft meines Wissens problemlos parallel zu vorhandenen Virenscannern.

Downloadadresse:
http://de.malwarebytes.org/antiexploit/

Die Betrüger selbst sind übrigens meist nicht die Urheber dieser Exploits-Kits. Diese werden  bei Profis gekauft oder können sogar gemietet werden – mit Updateservice und Erfolgsgarantie. Ein professioneller Markt also, ähnlich lukrativ wie Drogenhandel und Menschenhandel. Das dabei Regierungsorganisationen wie die Geheimdienste auch noch als Käufer auftreten, ist nicht unumstritten. Die gekauften Sicherheitslücken werden ja nicht zum Wohle der eigenen Bürger gestopft, sondern zu Spionagezwecken erworben.

Lesen Sie dazu auch diesen Artikel bei heise.

Ergänzung:
Das Tool ist inzwischen in das kommerzielle Produkt eingeflossen, steht aber weiterhin als BETA-Version kostenlos zur Verfügung. Die Version kann über das Forum bezogen werden. Ich empfehle die Nutzung aber nur noch Menschen, die Englisch einigermaßen gut verstehen können. Im Bereich „latest Version“ kann man den Link zum Download finden (Stand Juli 2017).

Sicherheit: Sparkassen-Phishing: Gebühren sparen

by 2 Comments

Ja, wer möchte da nicht Gebühren sparen?

Guten Tag, Unser System hat festgestellt, dass Ihre bei uns hinterlegten Daten aus Sicherheitsgründen bestätigt werden müssen.

Bitte benutzen Sie dieses Formular um die bestätigung Ihrer Daten kostenfrei zu ändern.

Andernfalls müssen wir Ihr Konto mit 14,99€ belasten und die Änderung schriftlich über den Postweg bei Ihnen einfordern.

Bitte laden und öffnen Sie das Sicherheitszertifikat angebracht und folgen Sie den Anweisungen oder wie folgt ausführen:

1. Öffnen Sie die Datei in Ihrem Emailanhang und wählen Sie „öffnen mit“ aus!
2. Füllen Sie alle Daten aus und klicken Sie dann auf „Daten absenden“!
3. Eine kostenfreie bestätigung erhalten Sie schriftlich nach 5-7 Werktagen!

Für weitere Fragen steht unser Online Support unter direkt@sparkasse.de 24Std. für Sie zur Verfügung.

Mit freundlichen Grüßen Ihre Sparkasse Sparkassen-Finanzportal GmbH
Telefon: 01805 – 32 33 00
(0,14 Euro/Min. aus dem deutschen Festnetz; Mobilfunk max. 0,42 Euro/Min.)
Fax: 030 – 24 63 67-01Datenabgleich/Aktualisierung Unser Tipp: Jetzt Online ausfüllen und Gebühren sparen!

Der Anhang ist eine html-Datei, als solche noch  recht harmlos, bedient sich schamlos beim Webcontent der Sparkasse Leipzig. Die Formulare verweisen dann aber bei den Feld-Eingaben auf eine gehackte Webseite, bei der die Daten dann schlussendlich weiterverarbeitet werden.

Ich frag mich ja immer, was die Betrüger mit den Daten machen wollen – außer anrufen? Und tatsächlich gibt es diese Versuche seit längerem.

Mir ist rätselhaft: Wer gibt seine Daten zum Abgleich ein, Daten, die meine Bank sowieso schon haben müsste? Und wie kann man am Telefon eine Überweisungs-TAN weitergeben – denn das ist ja schließlich das Ziel der Betrüger. Eine TAN, die eindeutig mit eine Buchung verbunden ist?

Gibt es denn immer noch Menschen, die nicht verstehen, dass eine Internetseite einfach nachgebaut werden kann? Menschen, die aber einen html-Mailanhang öffnen können, können doch nicht ganz unbedarft und naiv sein, oder?

einfach zu schön

by Leave a Comment

Meine Güte, da hat sich der google-Translator aber einen abgebrochen…

Aufmerksamkeit: Der Präsident / CEO
Sehr geehrter Herr / Frau

Dringende Telegraphic / SWIFT-Überweisung von USD $ 35.000.000,00 (fünfunddreißig Millionen US-Dollar nur) ich bin Herr [Name entfernt], Group Managing Director (GMD) / Vorsitzender Debt Versöhnungskommission Hong Kong Highways Department (HKHD); Ich habe Ihre Kontaktdaten von Januar 2010 weltweite Datenbank und Branchenbuch Lexikon nach reiflicher Überlegung glauben Sie hoch angesehene Persönlichkeit. Obwohl, ich weiß nicht, in welchem ​​Umfang Sie mit Ereignissen vertraut sind, damit ich Sie kontaktieren.

Erstens muss ich Ihre streng vertraulich in dieser Transaktion zu erbitten; Dies ist aufgrund seiner Natur als völlig vertraulich und „Top Secret“ mit großem Ausmaß mit einer anstehenden Transaktion maximal Vertrauen erfordern, bin ich sicher und haben Vertrauen Ihrer Fähigkeit und Zuverlässigkeit, um diese herrliche Transaktion zu verfolgen. Die neue Regierung hat in erster Linie den Auftrag, zu überprüfen und mich versetzt ausstehenden Zahlungen überfällig allen Auftragnehmern über Verträge seit Mai 1998, Juni 2009 vergeben, unter den Regimen des ehemaligen Staatschefs. Jeweils im Mai 2001 ein Vertrag im Wert von USD $ 285,000,000.00 (Two Hundred & Eighty-Five Million US-Dollar nur) wurde zu einer ausländischen Firma durch Hong Kong Highways Department (HKHD) für die Instandhaltung von Autobahnstrukturen in Hong Kong Island ausgezeichnet, Kowloon und New Territories 2002-2005. Ich habe bewusst über-Rechnung den Vertrag mit USD $ 35.000.000,00 (fünfunddreißig Millionen US-Dollar Only).

Tatsächlich ist die Firma, die die Verträge ausgeführt wurde voll bezahlt und die Projekte offiziell commissioned.Therefore aufgrund epigrammatischer Entscheidung, die ausstehende Zahlung präsentiere ich Ihnen als Begünstigter, präsentieren Originalrechnung erneut bewerben und die fremde zu ersetzen, neu zu definieren Unternehmen, die bei ihrer Präsentation auf Central Bank of Hong Kong (CBHK) Ihr Bankkonto wird bedingungslos gutgeschrieben. Nach Eingang Ihrer sofortige Reaktion, werden wir besprechen die Modalitäten obligatorisch. Ich habe alle notwendigen Unterlagen / Genehmigungen, um den Transfer zu Ihren Gunsten zu sichern.

Hinweis als Pflicht, ich wünschte, die Klarstellungen wie folgt zu machen: Dass Sie das Recht, 25% der gesamten Mittel teilen. Die Beamten 70% und 5% wird aufgehoben, alle lokalen und ausländischen Nebenkosten entstehen werden. Ich folglich fordern Sie Ihre maximale Unterstützung und Genehmigungen, um die Übertragung der oben genannten Mittel aus Central Bank of Hong Kong (CBHK), wobei diese Mittel hinterlegt erleichtern. nach Bestätigung Ihrer Bereitschaft, diese herrliche Transaktion mit mir ausführen, werden Sie dringend benötigt, um Ihre Unternehmen zu erbringen Papier mit Briefkopf signiert & gestempelt, privat Telefon & Fax-Nummern, Bankname und Anschrift, Ihre Unternehmensbankkontonummer werden.

Abschließend möchte ich gewährleisten, dass diese Operation unter einer legitimen Anordnung, die uns aus einer Verletzung law.Please nehme zur Kenntnis zu schützen wird ausgeführt; Ich bin außerhalb von Hongkong derzeit wegen dringender internationalen Konferenz in London, und ich möchte, um zu gewährleisten, dass alle notwendigen Vorbereitung ist getan, während ich weg bin aus meinem Land. ich möchte Sie auf unverzüglich anzuzeigen Ihr Interesse für mich, so dass ich mit Ihnen in Kontakt zu bekommen, während ich in London bin und erhalten die notwendigen Informationen, um den Fonds auf Sie übertragen bekommen. Bitte kontaktieren Sie mich auf dieser privaten E-Mail für weitere Informationen in Bezug auf diesen Vorschlag.

Bitte geben Sie die folgenden Kontaktinformationen;

1. Name und vollständige Anschrift
2. FIRMENNAME
3. BERUF
4. Alter / TELEFON und Faxnummern.
5. Bankdaten

Antwort über Diese E-Mail: x@outlook.com

Mit freundlichen Grüßen,

[Name anonymisiert – nacher gibt es den armen Menschen wirklich] Hong Kong Straßenbauamt HKHDMailttext

Ähhhh? Worum geht es? Eine doppelte Rechnung soll auf ein Firmenkonto gebucht werden?

Was wollen die Leute mit den paar Daten anfangen, was kommt danach?

Sehr merkwürdig. Oder ist die Idee dahinter: Wer so dämlich ist, auf diese Nachricht zu antworten, dem kann man auch anderes verkaufen…?

HBCI-Chipkarte: Die girocard mit HBCI/FinTS Funktion

by Leave a Comment

Einige GAD-Banken nutzen den Multifunktions-Chip der girocard („ec-Karte“, „Bankcard ec“) für die FinTS/HBCI-Funktion.  Im Gegensatz zu den anderen VR-NetWorld cards, also der unpersonalisierten Basic-Karte oder der personalisierten, ist die Karte für das Bezahlen an der Kasse (POS) und zum Geldabholen, bzw. zum Kontoauszüge-Ziehen geeignet und damit am Magnetstreifen auf der Rückseite zu erkennen. Genau dort findet sich auch das FinTS-Logo, so dass man dort sehen kann, ob die Karte die HBCI-Funktion erhalten hat.

Verschlüsselung:
 Die Karte verschlüsselt bei genossenschaftlichen Banken mit dem RDH-7 Verfahren. Der Chip beherrscht aber ebenfalls noch das veraltete RDH-3/RDH-5 und das RDH-9 der unpersonalisierten Karten. Er kann bei fehlerhafter Einstellung oder durch eine alte HBCI-Software umgestellt werden (siehe Reparatur). Das Betriebssystem der Karte ist seccos-6.

Laufzeit:
Die Bankzertifikate auf der Karte laufen spätestens nach 4 Jahren ab, die Karte wird bei den meisten Banken dann automatisch und rechtzeitig verschickt und muss nicht abgeholt werden.

PIN und PUK:
 Die Karte ist im Auslieferungszustand bereits komplett programmiert. Sie hat keine Transport-PIN, sondern eine sofort nutzbare, sogenannte Wirk-PIN. Diese PIN muss also auch nicht geändert werden. Die personalisierten Karten haben eine PUK zum Entsperren. PIN und PUK kommen mit jeder Kartengeneration neu! (woher soll der neue Chip auch die PIN des alten kennen…)

Benutzerkennung, Kartennummer und VR-Kennung (GAD):
Die Benutzerkennung und Kartennummer ist im System hinterlegt, es muss aber die VR-Kennung zusätzlich hinterlegt werden. Die VR-Kennung wird bei den Genoprogrammen automatisch nachgepflegt, viele andere Programme beherrschen diese Komfortfunktion ebenfalls. Falls dies nicht funktioniert, kann man die VR-Kennung im Protokoll nachlesen (3072er Rückmeldecode).

Initialisierungsprozess:
Je nach HBCI-Software kann die Initialisierung leicht anders aussehen. Üblich ist der folgende Weg, den ich für die GAD-Banken beschreibe: Man erhält separat eine 6-stellige PIN und eine PUK in speziellen Briefen. Die PIN zum Bezahlen ist nicht geeignet! Einige GAD-Banken versenden die VR-Kennung separat. In der HBCI-Software wird ein neuer Bankzugang angelegt (BLZ). Die Software schaut online oder in der Datenbank nach, welche Zugänge angeboten werden und bietet die Chipkarte als Verfahren an. Nach Anwahl des Verfahrens versucht die Software, die Karte auszulesen. Die Wirk-PIN ermöglicht das Auslesen der Benutzerkennung und der Zugang kann genutzt werden. Ist die Karte nicht lesbar (falsche PIN), dann „vermuten“ viele Programme, man müsse noch die Transport-PIN eingeben. Das ist nicht richtig, es gibt keine Transport-PIN, hier an dieser Stelle abbrechen und noch einmal probieren.

Im nächsten Schritt zeigt das Programm die Benutzerkennung an, die ausgewählt werden kann (Feld 1). Die anderen 4 Plätze für Benutzerkennungen ignorieren. Es kann auch sein, dass das RDH-Verfahren zur Auswahl angeboten wird, hier muss man bei der personalisierten Karte RDH-7 auswählen. Wenn eine VR-Kennung (GAD-Banken ) vorliegt, muss diese in das zweite Feld eingetragen werden (vollständig, VRK und alle 16 Ziffern). Die Karte wird programmiert und der öffentliche Schlüssel der Bank wird abgeholt. Die Software rechnet den Hashwert des Bankschlüssels aus, so dass man diesen vergleichen kann (auf dem Brief mit der Benutzerkennung steht der Hash normalerweise). Nach Bestätigung des Bankschlüssels wird der öffentliche Schlüssel der Karte zur Bank übertragen und ist sofort verwendbar, ein Ini-Brief ist nicht nötig.

Wird die VR-Kennung nicht vom Programm oder bei der Initialisierung nachgetragen, muss diese manuell eingegeben werden. Das Feld Benutzerkennung darf dabei nicht geändert werden, stattdessen muss das zweite Feld, Kunden-ID mit der VR-Kennung gefüllt werden (vollständig eintragen). Kennt man diese nicht, kann man die VR-Kennung im HBCI-Protokoll nachlesen (Rückmeldecode 3072), wenn die Bank diesen freigeschaltet hat (am Vertriebsweg 17, VRK auf Ja).

PIN&TAN:
 Selbstverständlich kann die Karte auch für das Sm@rtTAN-Verfahren verwendet werden (sowohl HBCI PIN-und TAN, als auch im Browser). Voraussetzung ist eine Anlage im Banksystem der Bank und Freischaltung des Verfahrens und Aktivierung der Funktion im Banksystem.

Sicherheit Die besondere Sicherheit liegt in der Verwendung eines geschützten HBCI-Kartenlesers und darin, dass der Chip nicht kopiert werden kann. Dieser Kartenleser hat eine eigene Tastatur, so dass auch ein sogenannter Banktrojaner nicht die PIN auslesen kann. Die Karten-PIN kann zudem geändert werden und dies sollte man auch regelmäßig tun, da die Eingabe immer gleicher Zahlen am Kartenleser erkennbare Spuren hinterlässt. Die Karte grenzt sich damit von den meisten Sparkassen-Karten ab, die keine PIN-Änderung ermöglichen. Wird die Karten-PIN ausgespäht, kann man diese also einfach ändern und muss die Karte nicht vernichten. Bei Verwendung der Secoder-Technik ist die Kontrolle der Aufträge vor Freigabe möglich.

Besonderheiten/Sonderfälle:
Die Kartenform wird auch von anderen Banken eingesetzt, z.B. die Deutsche Bank, Commerzbank oder National-Bank. Die ganz neuen Karten der DBank können problemlos als HBCI-Karte initialisiert werden und funktionieren reibungslos. Ob ein gemischter Betrieb, also z.B. RDH-5 und 7, möglich ist, weiß ich allerdings leider nicht, ich würde von Experimenten abraten. Obwohl der Chip für einen Betrie an mehren Banken ausgelegt ist, ist dies nicht mehr vorgesehen.

Vorteile/Nachteile dieser Kartenart:
Die Karte ist sehr sicher und wird regelmäßig ausgetauscht (was gleichzeitig viele als Nachteil empfinden). Sie kann sofort verwendet werden, wenn die Karte bei der Bank freigeschaltet ist. Ein aufwändiger Initialisierungsprozess mit Unterschriftprüfung und Austausch der INI-Briefe ist nicht nötig. Ein Nachteil im Vergleich zur personalisierten und unpersonalisierten Girocard: Personen mit eingeschränkten Vollmachten (A, B, N-Vollmacht) erhalten diese Karte üblicherweise nicht. Auch können keine „fremden“ Banken gespeichert werden.

Ein weiterer Vorteil ist die PUK, die eine gesperrte Karte retten kann. Die Karte kann als erweiterte Signaturkarte (Elster…) eingesetzt werden.

mehr Infos: Kartentausch

 

Störungen durch SSL3-Abschaltungen

by 2 Comments

Der „böse Pudel“ beißt anscheinend die ersten alten Programme tot. Da die Rechenzentralen der Banken nun sehr schnell auf die SSL-Sicherheitslücke reagieren und die unsicheren Verschlüsselungen abschalten, kann es passieren, dass von heute auf morgen die Datenübertragungen mit alten Programmen und unter alten Betriebssystemen nicht mehr wie gewohnt funktionieren.

Browser gehören dringends aktualisiert oder gewechselt, einen Microsoft Browser weiter unter XP zu nutzen ist eine extrem schlechte Idee.

Für einige Programme gibt es Updates oder Umkonfigurationsmöglichkeiten, so kann man versuchen, die Internet-Konfiguration in der Internetsteuerung (in Windows unter Systemsteuerung, Internet-Optionen) so umzustellen, dass SSL3 nicht genommen wird, dafür aber TLS1.2.

Anleitung von Windata zur Umstellung des Systems

Programme, die sich auf die Betriebssystemverschlüsselung stützen, bekommen damit wieder eine sichere oder überhaupt eine Verbindung aufgebaut.

Es versteht sich, dass Onlinebanking unter dem unsicheren XP nicht mehr zu empfehlen ist!  Mir fallen nur noch wenige einigermaßen sichere Onlinebanking-Szenarien mit FinTS/HBCI oder EBICS ein, die ohne Bedenken unter gut geschirmten und konfigurierten XP-Umgebungen genutzt werden können. Es wird dringend Zeit für einen Umstieg.

Das gilt übrigens auch für alte Mac und Linux-Betriebssysteme und auch bei Smartphones bin ich mir nicht sicher…

 

Ergänzung:

Aktuell gibt es offensichtlich bei einigen Programmen  Probleme, wenn diese mehrere Banken hintereinander abrufen. Einzelner Abruf funktioniert, aber die ausgehandelte Verschlüsselung bleibt bestehen, wenn die Aufträge „in einem Rutsch“ übertragen werden. Dann kann eine Verbindung z.B. zu einem Rechenzentrum ohne SSL3 Unterstützung nicht mehr erfolgreich aufgebaut werden.

Abhilfe: Einzeln abrufen und auf ein Update warten.

 

HBCI-Chipkarte: personalisierte VR-NetWorld card

by Leave a Comment

Die personalisierte HBCI-Karte ist am Namen des/der Eigentümers/in auf der Vorderseite erkennbar. Im Gegensatz zur FInTS-fähigen Girocard ist sie aber nicht für das Bezahlen an der Kasse (POS) und zum Geldabholen, bzw. zum Kontoauszüge-Ziehen geeignet. Dazu fehlt auch der Magnetstreifen.

Verschlüsselung:
 Die Karte verschlüsselt bei genossenschaftlichen Banken mit dem RDH-7 Verfahren. Der Chip beherrscht aber ebenfalls noch das veraltete RDH-3/RDH-5 und das RDH-9 der unpersonalisierten Karten. Er kann bei fehlerhafter Einstellung oder durch eine alte HBCI-Software umgestellt werden (siehe Reparatur). Das Betriebssystem der Karte ist seccos-6.

Laufzeit:
Die Bankzertifikate auf der Karte laufen spätestens nach 4 Jahren ab, die Karte wird dann üblicherweise rechtzeitig verschickt.

PIN und PUK:
 Die Karte ist im Auslieferungszustand bereits komplett programmiert. Sie hat keine Transport-PIN, sondern eine sofort nutzbare, sogenannte Wirk-PIN. Diese PIN muss also auch nicht geändert werden. Die personalisierten Karten haben eine PUK zum Entsperren.

Benutzerkennung, Kartennummer und VR-Kennung (GAD):
 Bei Banken am Rechenzentrum GAD ist die Benutzerkennung und Kartennummer im System hinterlegt, es muss aber die VR-Kennung zusätzlich hinterlegt werden. Die VR-Kennung wird bei den Genoprogrammen automatisch nachgepflegt, viele andere Programme beherrschen diese Komfortfunktion ebenfalls. Falls dies nicht funktioniert, kann man die VR-Kennung im Protokoll nachlesen (3072er Rückmeldecode).

Initialisierungsprozess:
Je nach HBCI-Software kann die Initialisierung leicht anders aussehen. Üblich ist der folgende Weg, den ich für die GAD-Banken beschreibe: Die Karte wird (meist zentral durch einen Dienstleister) fertig programmiert verschickt, man erhält eine 6-stellige PIN und eine PUK in separaten Briefen. Einige GAD-Banken versenden die VR-Kennung separat. In der HBCI-Software wird ein neuer Bankzugang angelegt (BLZ). Die Software schaut online oder in der Datenbank nach, welche Zugänge angeboten werden und bietet die Chipkarte als Verfahren an. Nach Anwahl des Verfahrens versucht die Software, die Karte auszulesen. Die Wirk-PIN ermöglicht das auslesen der Benutzerkennung und der Zugang kann genutzt werden. Ist die Karte nicht lesbar (falsche PIN), dann „vermuten“ viele Programme, man müsse noch die Transport-PIN eingeben. Das ist nicht richtig, es gibt keine Transport-PIN, hier an dieser Stelle abbrechen und noch einmal probieren. Im nächsten Schritt zeigt das Programm die Benutzerkennung an, die ausgewählt werden kann (Feld 1). Die anderen 4 Plätze für Benutzerkennungen ignorieren. Es kann auch sein, dass das RDH-Verfahren zur Auswahl angeboten wird, hier muss man bei der personalisierten Karte RDH-7 auswählen. Wenn eine VR-Kennung (GAD-Banken ) vorliegt, muss diese in das zweite Feld eingetragen werden (vollständig, VRK und alle 16 Ziffern). Die Karte wird programmiert und der öffentliche Schlüssel der Bank wird abgeholt. Die Software rechnet den Hashwert des Bankschlüssels aus, so dass man diesen vergleichen kann (auf dem Brief mit der Benutzerkennung steht der Hash normalerweise). Nach Bestätigung des Bankschlüssels wird der öffentliche Schlüssel zur Bank übertragen und ist sofort verwendbar, ein Ini-Brief ist nicht nötig.

GAD-Banken: Wird die VR-Kennung nicht vom Programm oder bei der Initialisierung nachgetragen, muss diese manuell eingegeben werden. Das Feld Benutzerkennung darf dabei nicht geändert werden, stattdessen muss das zweite Feld, Kunden-ID mit der VR-Kennung gefüllt werden (vollständig eintragen). Kennt man diese nicht, kann man die VR-Kennung im HBCI-Protokoll nachlesen (Rückmeldecode 3072), wenn die Bank diesen freigeschaltet hat (am Vertriebsweg 17, VRK auf Ja).

PIN&TAN:
 Ja, die Karte kann auch für das Sm@rtTAN-Verfahren verwendet werden (sowohl HBCI PIN-und TAN, als auch im Browser). Voraussetzung ist eine Anlage im Banksystem der Bank und Freischaltung des Verfahrens und Aktivierung der Funktion im Banksystem.

Sicherheit Die besondere Sicherheit liegt in der Verwendung eines geschützten HBCI-Kartenlesers und darin, dass der Chip nicht kopiert werden kann. Dieser Kartenleser hat eine eigene Tastatur, so dass auch ein sogenannter Banktrojaner nicht die PIN auslesen kann. Die Karten-PIN kann zudem geändert werden und dies sollte man auch regelmäßig tun, da die Eingabe immer gleicher Zahlen am Kartenleser erkennbare Spuren hinterlässt. Die Karte grenzt sich damit von den meisten Sparkassen-Karten ab, die keine PIN-Änderung ermöglichen. Wird die Karten-PIN ausgespäht, kann man diese also einfach ändern und muss die Karte nicht vernichten. Bei Verwendung der Secoder-Technik ist die Kontrolle der Aufträge vor Freigabe möglich.

Besonderheiten/Sonderfälle:
Die Kartenform wird auch von anderen Banken eingesetzt, z.B. die Deutsche Bank, Commerzbank oder National-Bank. Die ganz neuen Karten der DBank können problemlos als HBCI-Karte initialisiert werden und funktionieren reibungslos. Ob ein gemischter Betrieb, also z.B. RDH-5 und 7, möglich ist, weiß ich allerdings leider nicht, ich würde von Experimenten abraten. Obwohl der Chip für einen Betrie an mehren Banken ausgelegt ist, ist dies nicht mehr vorgesehen.

Vorteile/Nachteile dieser Kartenart:
Die Karte ist sehr sicher und wird regelmäßig ausgetauscht (was gleichzeitig viele als Nachteil empfinden). Sie kann sofort verwendet werden, wenn die Karte bei der Bank freigeschaltet ist. Ein aufwändiger Initialisierungsprozess mit Unterschriftprüfung und Austausch der INI-Briefe ist nicht nötig. Der wesentliche Vorteil im Vergleich zur Girocard: Auch Personen mit eingeschränkten Vollmachten können diese KArte nutzen (wie die unpersonalisierte VR-NetWorld card basic). Ein weiterer Vorteil ist die PUK, die eine gesperrte Karte retten kann. Die Karte kann als erweiterte Signaturkarte (Elster…) eingesetzt werden.

 

HBCI-Chipkarten: Die unpersonalisierte (basic)-Karte

by Leave a Comment

Die unpersonalisierte HBCI-Karte trägt keinen Namen des/der Eigentümers/in. Die Karte wird bei Genossenschaftsbanken häufig als „basic-Karte“ bezeichnet. Vollständig lautet der Name  „VR-NetWorld card basic“ mit kursivem basic. Diese Karte gibt es in ähnlicher Form auch von anderen Banken und kann, bzw. konnte auch „am freien Markt“ gekauft werden, z.B. bei matrica.

Verschlüsselung:
Die Karte verschlüsselt bei genossenschaftlichen Banken mit dem RDH-9 Verfahren. Der Chip beherrscht aber ebenfalls noch das veraltete RDH-5 und kann bei fehlerhafter Einstellung oder durch eine alte HBCI-Software umgestellt werden (siehe Reparatur). Das Betriebssystem der Karte ist seccos-6.

Laufzeit:
Da keine zeitbegrenzten Bankzertifikate gespeichert sind, ist die Laufzeit nur durch das Verfahren begrenzt. Sind Zeitangaben aufgedruckt, so sollte man diese als „Mindestlaufzeit“ verstehen.

PIN:
Im Auslieferungszustand ist die Karte noch nicht mit einer Benutzerkennung versehen und hat auch noch keine nutzbare PIN. Stattdessen besitzt sie eine 5-stellige Transport-PIN, die vor der ersten Nutzung in eine mindestens 6-stellige PIN geändert werden muss. Die Transport-PIN besteht aus den letzten 5 Stellen der Kartennummer. Dadurch ist gewährleistet, dass die Karten-PIN direkt mit der gescützten Tastatur des Kartenlesers geändert werden kann. Bei den Vorläufern musste die Karte noch per normaler Computertastatur programmiert werden. Eine dreimalige Fehleingabe der PIN in Folge sperrt den Kartenchip, eine neue Karte muss verwendet werden. Die personalisierten Karten haben eine PUK zum Entsperren.

Kartennummer:
Bei Banken am Rechenzentrum GAD muss die Kartennummer im System hinterlegt sein, ich geh davon aus, dass dies auch bei Fiducia-Banken der Fall ist. Die Kartennummer wurde als Seriennummer auf die Karte aufgelasert.

Initialisierungsprozess:
Je nach HBCI-Software kann die Initialisierung leicht anders aussehen. Üblich ist der folgende Weg, den ich für die GAD-Banken beschreibe:
Die Karte wird mit einer Benutzerkennung und der Transport-PIN (Brief) ausgeliefert. In der HBCI-Software wird ein neuer Bankzugang angelegt (BLZ). Die Software schaut online oder in der Datenbank nach, welche Zugänge angeboten werden und bietet die Chipkarte an. Nach Anwahl des Verfahrens versucht die Software, die Karte auszulesen und „vermutet“ nach korrekter PIN-Eingabe, dass es sich um eine unpersonalisierte Karte handelt, da keine Benutzerkennung zu lesen ist. Sie fordert zur PIN-Vergabe auf, die am Kartenleser erfolgen sollte (Display genau lesen!). Durch Eingabe der Transport-PIN und 2-maliger PIN-Eingabe der selbstgewählten PIN (mindestens 6-Stellen, höchstens 8) wird die Karten-PIN vergeben. Im nächsten Schritt fragt das Programm nach Benutzerkennung und VR-Kennung (GAD). Die Karte wird programmiert und der öffentliche Schlüssel der Bank wird abgeholt. Die Software rechnet den Hashwert des Bankschlüssels aus, so dass man diesen vergleichen kann (auf dem Brief mit der Benutzerkennung steht der Hash normalerweise). Nach Bestätigung des Bankschlüssels wird der öffentliche Schlüssel zur Bank übertragen. Damit die Bank den Schlüssel auf Unversehrtheit prüfen kann, muss der INI-Brief ausgedruckt und unterschrieben werden (vom Inhaber des Zugangs, Vollmachtsinhaber, der nicht der Kontoinhaber sein muss) und zur Bank geschickt. Die Bank prüft den Hashwert durch Eingabe in die eigenen Systeme und danach ist die Karte aktiv und kann verwendet werden.

PIN&TAN:
Ja, die Karte kann auch für das Sm@rtTAN-Verfahren verwendet werden. Voraussetzung ist eine Anlage im Banksystem der Bank und Freischaltung des Verfahrens.
Dies gilt nur für Banken mit dem Altsystem bank21 der exGAD. Leider unterstützt das neue System (agree21) diese Funktion nicht.

Sicherheit
Die besondere Sicherheit liegt in der Verwendung eines geschützten HBCI-Kartenlesers und darin, dass der Chip nicht kopiert werden kann. Dieser Kartenleser hat eine eigene Tastatur, so dass auch ein sogenannter Banktrojaner nicht die PIN auslesen kann. Die Karten-PIN kann zudem geändert werden und dies sollte man auch regelmäßig tun, da die Eingabe immer gleicher Zahlen am Kartenleser erkennbare Spuren hinterlässt. Die Karte grenzt sich damit von den meisten Sparkassen-Karten ab, die keine PIN-Änderung ermöglichen. Wird die Karten-PIN ausgespäht, kann man diese also einfach ändern und muss die Karte nicht vernichten. Bei Verwendung der Secoder-Technik ist die Kontrolle der Aufträge vor Freigabe möglich.

Besonderheiten/Sonderfälle:
Da einige Programme den Befehl zur PIN-Änderung der Transport-PIN nicht beherrschen, liefern einige Banken die Karte bereits mit einer geänderten PIN aus und/oder programmieren die Karte vollständig.

Die Kartenform wird auch von anderen Banken eingesetzt, z.B. die Deutsche Bank, Commerzbank oder National-Bank. Die ganz neuen Karten der DBank können problemlos als HBCI-Karte initialisiert werden und funktionieren reibungslos. Ob ein gemischter Betrieb, also z.B. RDH-5 und 9, möglich ist, weiß ich allerdings leider nicht.

Für die Einrichtung bei einer Genobank wird die vollständige Kartennummer benötigt. Wenn die Feldlänge nicht ausreicht, weil die Kartenprüfziffer fehlt, kann diese mit einem geeigneten Tool, z.B. dem Chipcartmaster ausgelesen werden. www.chipcardmaster.de

Vorteile/Nachteile dieser Kartenart:
Die Karte ist sehr sicher und sie ist schnell verfügbar, wenn die Bank diese auf Vorrat liegen hat. Sie hat Platz für 5 verschiedene Banken.

Die Einrichtung benötigt aber einen aufwändigen Initialisierungsprozess mit Unterschriftprüfung und Austausch der INI-Briefe. Der wesentliche Vorteil im Vergleich zur Girocard: Auch Personen mit eingeschränkten Vollmachten können diese Karte nutzen (wie die personalisierte VR-NetWorld card).

weiterer Nachteil: Es gibt keine PUK zur PIN-Neuvergabe. Nach 3x falscher PIN ist die Karte unbrauchbar.

weitere Themen: Kartentausch

HBCI Chipkarte falsch eingestellt: reparieren

by Leave a Comment
letzte Aktualisierungen 28.03.2024
#cardput

-> Ursache und Reparatur scheinbar defekte Folgekarten mit Fehlermeldung „Kundenschlüssel nicht mehr gültig“
oder auch bei neuen Karten, die bei der Inbetriebnahme nicht richtig funktionieren.

Info 2024: Dieser Fehler tritt aktuell häufig bei Lexware-Usern auf. Offensichtlich hatte die ddbac erneut einen Fehler, der die Karten falsch beschreibt!

 Wichtig: Achten Sie darauf, dass Ihr Kartenleser eine aktuelle Firmware hat und dass der von Ihnen verwendete Gerätetreiber aktuell ist. Bei Reiner SCT-Geräten gibt es dazu unter Windows den Gerätemanager, das Programm-Symbol ist ein goldener Kartenchip, dort können Sie den Stand prüfen. 

Die personalisierten Chipkarten der Genobanken beherrschen einige Versionen des HBCI-RDH-Verfahrens, aktuelle sind z.B. RDH-7 (vorpersonalisierte Karten mit Namensdruck) und RDH-9 (basic-Karten).

Erkennt die HBCI-Software nicht die richtige Verschlüsselungsversion oder wird irrtümlich die falsche Version ausgewählt (9 scheint besser als 7, oder?), wird die Karte umprogrammiert.

Es kann ebenfalls passieren, dass die Benutzerkennung umprogrammiert wird, ich hab z.B. uralte VR-Kennungen in den Protokollen gesehen.

D.h. der Chip merkt sich die falsche Information und kann nicht genutzt werden, weil die Bank eine andere Verschlüsselung erwartet.

Mit dem ChipcardMaster können Sie die Karte wieder korrekt einstellen.

Lesen Sie hier weiter.