besondere Sicherheit: Banking per Boot-CD/DVD

by Leave a Comment

Das Windows XP am Ende seiner Lebensdauer angekommen und mangels Updates inzwischen als sehr unsicher gilt und auch die neueren Microsoft-Betriebssysteme im Visier der Betrüger und Schadsoftware-Programmierer stehen, ist allgemein bekannt. XP dürfte meiner Meinung nach nicht mehr für sicherheitskritische Tätigkeiten wie Onlinebanking oder Online-Shopping eingesetzt werden, auch E-Mail-Nutzung halte ich für gefährlich.

Für viele ist aber der aufwändige Wechsel des Betriebssystems keine kurzfristig umsetzbare Option.

Ein Konzept, die Sicherheit immens zu erhöhen, ist der Start des Computers von einer Boot-CD. Der Computer startet dabei nicht von einer Festplatte, sondern von einer garantiert virenfreien Boot-CD oder von einem speziellen USB-Speichermedium. Meist kommt ein spezielles Linux System zum Einsatz. Das auf der Festplatte installierte Betriebssystem ist beim Start dabei außen vor und die Daten sind nach dem Start üblicherweise nicht beschreibbar, so dass niemand Angst um seine Daten haben muss noch dass am Windows-System etwas manipuliert würde.

Es gibt viele Ansätze, einige, z.B. das c’t bankix-Projekt startet auf Wunsch sogar die open-source Software hibiscus als Zahlungsverkehrssoftware. c’t bankix ist besonders auf die Sicherheit beim Onlinebanking hin optimiert worden.

Knoppix LogoWer sich nicht nur für super-sicheres Banking interessiert, sondern auch mal ein Linux-Systeme kennen lernen möchte, dem empfehle ich knoppix von Klaus Knopper. Mit diesem Live-Linux-System habe ich schon häufig Daten von nicht mehr lauffähigen Windows-Systemen retten können und es ist wirklich einfach zu verstehen. Wer Windows gewohnt ist, sollte schnell mit dem neuen System klar kommen und es finden sich viele Hilfen im Internet. Die Adriane-Version ist für stark sehbehinderte oder blinde Menschen gedacht. Ein Test mit geschlossenen Augen vermittelt auch Sehenden neue Erkenntnisse…

Vorbereitungen:

aufklappen: Start auf DVD/CD oder Stick umstellen
Da der Start vom internen Datenspeicher der meist voreingestellte Standard ist, reicht es nicht, einfach eine Linux-Live CD ins Laufwerk zu schieben oder einen USB-Stick einzustecken und den Rechner neu zu starten. Zum Start muss meist die Bootreihenfolge geändert werden.

Hier finden Sie eine Anleitung zur Einstellung des Rechners für ältere Systeme: http://www.edv-lehrgang.de/bios-bootreihenfolge-aendern/

und hier für neuere, aktuelle Rechner:
http://www.edv-lehrgang.de/uefi-bios-bootreihenfolge-aendern/
(genau merken, ggf. fotografieren, was Sie ändern, damit Sie im Notfall die Einstellungen zurücknehmen können).

Wichtig: die ISO-Dateien zum Download nicht einfach nur anklicken, sondern den Link mit der rechten Maustaste auswählen und im Kontextmenü „Ziel speichern unter“ auswählen. Hier ist eine gute Anleitung zu finden, wie man mit der freien Software XPBurner ISO-Dateien brennt. (der erste Absatz ist nur für die Uni interessant, lesen Sie unter 2 weiter):
http://www.zdv.uni-mainz.de/279.php
Da ich der Qualität meiner Medien nicht traue, stelle ich im Dialog noch die max. Brenngeschwindigkeit auf max. 4-fach bei DVDs und auf max. 16-fach bei CDs um. Dies kann man erst durchführen, wenn das leere Medium bereits eingelegt wurde.

Apps mit FinTS-Zugang: Starmoney App

by Leave a Comment

Im Menü „Einstellungen“,
„Konten verwalten“ sind die „Zugangsdaten“ zu überprüfen.
Hier in beide Bankzugangsfelder die komplette VR-Kennung eintragen (großes VRK mit allen 16 Ziffern).

Beim Alias reicht der Eintrag ins erste Feld (nicht verwenden, wenn Sonderzeichen im Alias enthalten sind).

Die HBCI-Version FinTS 3.0 sollte die App selbständig richtig eintragen.

 

GLS eBank / Windata: Versionsangabe und Update

by Leave a Comment

Die Versionsangaben von GLS eBank / Windata können Sie direkt im ersten Startfenster links unten sehen.

menue_windata_versionsangabe_anmeldung

Auch während des Betriebs ist die Version immer im unteren Fensterrand sichtbar.

menue_windata_versionsangabe_unten

Die ddbac-Angaben sind insbesondere dann wichtig, wenn FinTS/HBCI-Zugänge nicht richtig funktionieren. „ddbac“ bezeichnet das Übertragungsmodul zur Bank, es wird auch in Lexware, Wiso etc. eingesetzt.

Ob Updates vorliegen, prüfen Sie mit dem Klick oben in die Menüzeile auf „Update“.

Auch in diesem Fenster sind umfangreiche Versionsangaben zu erkennen und auch die Lizenznummer. Es bietet sich an, diese zu notieren, falls ein Rechnerwechsel ansteht.

Führen Sie vor jedem Update unbedingt eine frische Datenbanksicherung durch (auch wenn windata eine eingebaute Sicherungsfunktion hat).

menue_windata_versionsangabe_Update_und_Lizenz

Klicken Sie auf den Button „Jetzt Version prüfen …“

menue_windata_versionsangabe_Updatebutton

menue_windata_versionsangabe_Updatehinweis

Wenn neue Versionen verfügbar sind, erhalten SIe diese Meldung.

Aktualisieren SIe die Software mit Klick auf „Jetzt aktualisieren …“.

 

menue_windata_versionsangabe_Aktualisierenbutton

Sie werden durch den Updateprozess geleitet. Lesen Sie sich die Hinweise durch und bestätigen Sie mit „weiter“. Ggf. benötigen Sie Adminrechte.

menue_windata_versionsangabe_Updatehinweis2

Welche Module aktualisiert werden müssen, hängt vom Softwarestand und von der verwendeten Version ab. Aktualisieren SIe alle veralteten Komponenten.

menue_windata_versionsangabe_Updateversionen

Je nach Internetverbindung kann diese länger dauern. Die Updates können schon durchaus mehr als 100 MB haben, so dass Sie unbedingt eine Breitbandverbindung benötigen.

FinTS/HBCI Fehlermeldung: Doppeleinreicherkontrolle

by Leave a Comment

Die Fehlermeldung lautet sinngemäß: Dieser Auftrag wurde bereits verarbeitet. Buchung wurde bereits durchgeführt.

„9010 – Die Überweisung wurde bereits ausgeführt“

Folgendes gilt nur für Banken mit dem alten Banksystem der exGAD (bank21). Bei der GLS Bank erfolgt die Systemumstellung am 20.07.19:

Überweisungen werden unter FinTS/HBCI abgelehnt, wenn innerhalb von zwei Tagen die Daten  vollständig übereinstimmen. Im Gegensatz zu den Altsystemen wird hier nun auch der Verwendungszwck beachtet. Achtung: Es gibt Buchungsysteme, die  dynamische Verwendungszwecke generieren, um z.B. die Buchungensdaten mit den Auszugsdaten abzugleichen. Hier sind irrtümliche Doppelbuchungen möglich.

Terminierte Überweisungen werden nicht beachtet.

Wichtig: Es werden Kalendertage beachtet, nicht Arbeitstage! Eine bereits am Freitag vorgenommene Buchung wird am Montag also nicht angehalten.

 

Für Altsysteme mit bank21 gilt noch folgendes (GLS Bank bis 20.07.19):

Bei den meisten GAD-Banken wird überprüft, ob die gleiche Buchung heute oder gestern bereits einmal verarbeitet wurde. Entscheidend ist dabei die Summe des Auftrags, die Empfängerdaten IBAN und ggf. BIC und die IBAN/Kontonummer des Auftrags.

Die gleiche Buchung kann im FinTS/HBCI aus Sicherheitsgründen nicht zweimal übertragen werden – im Browserbanking kann man dies mit einer Bestätigung übergehen.

Glauben Sie mir, dieses Sicherheitsfeature hat schon vielen BuchhalterInnen den Hals gerettet.

Wie können Sie die Buchung trotzdem durchführen?
– buchen Sie einen Sammler in einer anderen Zusammenstellung
– nutzen Sie das Onlinebanking per Browser
– warten Sie ab, bis die Buchung wieder funktioniert oder nutzen Sie die Terminbuchung

nicht bei jeder Bank möglich:
Batchbooking-Flag nutzen, also Sammelbuchung beauftragen und einzeln buchen lassen.

Browserbanking: Browserwechsel erforderlich

by Leave a Comment

Das Banksystem erkennt Ihren Browser nicht und meldet sich mit dieser Meldung?

Brow­ser­wech­sel er­for­der­lich ! Ihre Brow­ser­ver­si­on un­ter­stützt nicht alle Funk­tio­nen der On­line-Fi­lia­le. Prü­fen Sie bitte Ihren Brow­ser auf Ak­tua­li­tät. Die ak­tu­el­len und un­ter­stütz­ten Brow­ser fin­den Sie hier.

Bei mir wird der Text angezeigt im aktuellen „Midori“ Browser unter Debian Squeeze (Linux, Xfce).

Die Meldung kann man getrost ignorieren, solange der Browser CSS3-fähig ist, der Server kennt die Browserkennung einfach nicht.

Wichtig
Prüfen Sie in jedem Fall die Version Ihres Browsers! Ist dieser aktuell, sind alle Updates installiert? Nur mit einem Browser, der noch aktualisiert wird, ist die sichere Internetnutzung möglich!

Ein weiterer Grund kann eine manuell geänderte Browserkennung/User-Agent sein. Diese Funktion wird von Web-Entwicklern genutzt, um das Verhalten der Internetseite zu prüfen, da nicht jeder Browser wie der andere arbeitet. Der Bankrechner „glaubt“ dann, er habe es mit einem alten System zu tun.

Mozilla Firefox: Prüfen Sie Ihre Erweiterungen (Plugins/Addons).
Expertentipp: Prüfen Sie die Einstellungen (about:config) und suchen Sie nach „exotischen“ Einstellungen. Ein Kunde berichtete mir: Es war ein Schlüssel "general.useragent.override" mit dem Wert "-" gesetzt. Der Schlüssel muss entfernt werden, es nützt nichts, den Wert zu löschen.

Seamonkey und andere Mozilla-Versionen: Die obigen Informationen gelten auch dafür. Wenn das Rechenzentrum die Browserkennung nicht kennt, wird der Hinweis angezeigt. Es gibt Addons, die den Useragent auf Bedarf umstellen können, beispielsweise das Tool „User Agent Switcher“.

Internet-Explorer 11: Starten Sie mit F12 die Entwicklertools und wählen Sie unten links das Computer/MobilTel. Symbol oder drücken Sie STRG-8. Das Browserprofil und die Browser-Kennung können Sie an den mit Pfeilen gekennzeichneten Stellen einstellen. Stellen Sie die Emulation so um, dass dem Banksystem kein mobiler Browser gemeldet wird.
Ergänzung: Prüfen Sie ebenfalls, ob der Kompatiblitätsmodus für die Webadresse aktiviert ist: Link zur Hilfeseite von Microsoft

Safari: Aktivieren Sie das Entwicklermenü mit der Apfel und Komma-Taste (oder im Menü mit Safari/Einstellungen, Karteikarte „Erweitert“)
Bildschirmfoto 2014-12-15 um 14.31.12

Profi cash Menue Version Datensicherung und Update

by Leave a Comment
letzte Änderung 30.03.2016
Suchwort #profup

Die Version prüft man am einfachsten direkt im Anmeldemenü oder nach der Anmeldung per Klick auf das große Profi cash Banner rechts in der Icon Zeile.

Aktuell ist die Version 10.8b.

Menue_Profi_cash_Version_herausfinden

oder beim Programmstart:

Menue_Profi_cash_Version_herausfinden_AnmeldungVor jedem Update unbedingt in JEDER FIRMA (also in jedem Datenbestand) eine Datensicherung machen: Datei/Datensicherung. Jeder Anwender im Netz muss das Programm verlassen haben, ggf. sieht man, wer noch angemeldet ist (auf das Banner klicken,  s.o.)

Dann unter Datei/Programmupdate das Update durchführen lassen. Es werden ggf. Adminrechte benötigt.

Bei Netzwerkinstallationen (klicken zum Aufklappen)
Führen Sie das Update zeitgleich an allen Arbeitsplätzen durch, sofern das Programm an den Clients einzeln installiert ist. Tipp für Admins, Techniker und meine Empfehlung: Eröffnen Sie an einem Platz eine „Dummy-Firma“, indem Sie in der Anmeldemaske eine neue Firmennummer eingeben, z.B. 9876 (keinen Namen!). Vergeben Sie für die Firma ein Masterpasswort und legen Sie im nächsten Fenster ein Firmenname an (Dummy). Speichern Sie und brechen Sie den Assistenten ab. Führen Sie nun das Update an jedem Platz aus, indem Sie sich mit der Dummyfirma anmelden.

Menue_Profi_cash_Datensicherung_und_UpdateDas Updatemenü:

Wenn Sie einen Rechnerwechsel planen, lesen Sie bitte die Profi cash Tipps zum Rechnerwechsel.

Die Updatedateien werden vom Programm direkt von einem verschlüsselten Server heruntergeladen.

Treten Störungen auf, lesen Sie unten auf der Seite weiter.

 

Menue_Profi_cash_Update

Proficash_Update_Vorgang

Proficash_Update_Vorgang_Infodatei_Frage_und_groesse

Proficash_Update_Vorgang_Abfrage_Datensicherung

bei Störungen:

Profi cash von einer alten CD frisch installiert und auch zu alte Programme können nicht mehr online aktualisiert werden, weil die Verschlüsselung bereits zu alt ist und deshalb keine Onlineverbindung möglich ist. Aktualisieren Sie Profi cash bei der GAD über den Download im Servicemenü. Laden Sie die Updatedatei und installieren Sie diese.

Das ausführbare Programm prüft den Installationsordner und kopiert die Updatedateien in den Updateordner. Dann können Sie – wie oben beschrieben – über das Updatemenü unter „Datei“ und Button „Update ausführen“.

Probleme können auftreten, wenn Virenscanner den Download oder den Updatevorgang stören. Deaktivieren Sie ggf. temporär Ihre Sicherheitssoftware und prüfen Sie die Logfiles. In einigen Fällen wurden vermeintlich verdächtige Dateiteile in die Quarantäne verschoben, ohne dass Sie darüber infomiert wurden. Bisher handelte es sich immer um Fehldiagnosen.

 

FinTS Fehlermeldung: Challengeanfrage abgebrochen

by Leave a Comment
letzte Aktualisierung: 12.11.2020

„Ungültige Challengeanforderung“ bei FinTS/HBCI mit PIN und TAN.

9260 Eine Challenge-Anfrage wurde abgebrochen

Ist Ihr PIN und TAN-Zugang womöglich gesperrt?

Seit der Umsetzung der sogenannten PSD2-Richtlinie ist mindestens alle 90 Tage eine TAN fällig – auch beim Aufruf der Umsatzdaten. Wenn Sie die angeforderte TAN nicht eingeben, wird Ihr Zugang nach einigen Fehlversuchen gesperrt und der Abruf produziert diese Fehlermeldung. Sprechen Sie mit Ihrer Bank!

Haben Sie eine TAN-Medienbezeichnung eingetragen?
Und wenn ja: Ist diese richtig? Die Medienbezeichnung ist die Kartennummer beim Sm@rtTAN-Verfahren oder die Bezeichnung des Mobiltelefons.

Beim Sm@rtTAN-Verfahren werden die Karten alle paar Jahre ausgetauscht (die sogenannte Kartenhauptausstattung). Ist es möglich, dass Ihre Karte ungültig geworden ist, weil sie abgelaufen ist (Jahreszahl prüfen!) oder weil Sie die neue Karte bereits verwenden? Sie können die aktive Karte und damit die TAN-Medienbezeichung im Onlinebanking selbst kontrollieren (unter „Service“, „TAN-Verwaltung“).

Die Medienbezeichnung ist KEIN Pflichtfeld. Wird sie aber verwendet, dann muss sie exakt stimmen. Bei Änderungen, z.B. weil das Handy gewechselt wurde, muss dann auch das Feld aktualisiert werden. Ich empfehle dringend, das Feld nur in Ausnahmefällen zu verwenden. Es gibt leider Programme, bei denen das Feld gefüllt werden muss.

Hier ein Beispiel aus der VR-NetWorld Software mit einem Sm@rtTAN-Zugang.

9050 Die Nachricht enthält Fehler
9260 Eine Challenge-Anfrage wurde abgebrochen. Der Auftrag wird nicht ausgeführt
3070 Ungültige Challenge-Anforderung
3999 Für den Kunden liegen keine UPD vor
3060 Bitte beachten Sie die enthaltenen Warnungen/HInweise
3920 zugelassene TAN-Verfahren für den Benutzer

Hier war die Medienbezeichnung falsch.

Nach dem Löschen der Einträge funktionierte die Synchronisierung.

Unbestätigt und noch zu testen:

Wurde die für Sm@rtTAN vorgesehene Karte gesperrt?

Challenge Abfrage beim Abruf von Umsatzdaten eines Sparkontos?
Probieren Sie den Abruf vom MT940-Format auf CAMT oder umgekehrt umzustellen.

Prüfen Sie die Bankleitzahl. Die GLS Bank taucht mit mehreren BLZ in den Listen der Programmanbieter auf, u.a. werden Geldauatomaten mitgelistet. Die 43060967 ist hier richtig.

Hilft das nicht, muss die Kontoberechtigung im Banksystem geprüft werden.

Eine Challenge-Anfrage wurde abgebrochen, der Auftrag wird nicht ausgeführt. (9260)
Ungültige Challenge-Anforderung. (3070)
*Auftrag konnte nicht verarbeitet werden. Auftrag abgelehnt. (3999)
9050 Eine Challenge-Anfrage wurde abgebrochen, der Auftrag wird nicht ausgeführt. (9260); Ungültige Challenge-Anforderung.:280,43060967,VRNKEY (3070); *Auftrag konnte nicht verarbeitet werden. Auftrag abgelehnt. (3999) (9260)
Eine Challenge-Anfrage wurde abgebrochen, der Auftrag wird nicht ausgeführt. (9260)
Ungültige Challenge-Anforderung. (3070)
*Auftrag konnte nicht verarbeitet werden. Auftrag abgelehnt. (3999)


Hier ein Beispiel aus einem Buchungsversuch mit Profi cash, noch mit VR-Kennung.

SEPA-Einzelüberweisung (mobile TAN), HBCI-Kürzel: VRK
Status der HBCI-Übertragung: Fehler

HIRMG (3060) Bitte beachten Sie die enthaltenen Warnungen/Hinweise. (TRE) ()
HIRMS (20) Bankschlüssel sind aktuell. ()
HIRMS (20) Bankschlüssel sind aktuell. ()
HIRMS (3920) Zugelassene TAN-Verfahren für den Benutzer (972:962:942)
HIRMS (901) PIN OK ()
HIRMS (20) HBCI-Berechtigung ist OK (HBCI)
INBZG Dialog VA4081319314754 Nachricht 0 Segment 0
HIRMG (9050) Die Nachricht enthält Fehler. (TRE) ()
HIRMS (9260) Challenge-Anfrage wurde abgebrochen, der Auftrag wird nicht ausgeführt. (TRE) ()
HIRMS (3070) Ungültige Challenge-Anforderung. (TRE) (280:43060967:VRK1234567890123456)
HIRMS (3999) Für den Kunden liegen keine UPDs vor. (TRP) ()
INBZG Dialog VA4081319314754 Nachricht 2 Segment 3
HIRMG (10) Nachricht entgegengenommen. (TRE) ()
HIRMG (100) Dialog beendet. (TRE) ()

Lesen Sie hier mehr darüber, wie Sie Fehlermeldungen und Protokolle im FinTS/HBCI-Verfahren analysieren können.

Menue: VR-NetWorld Software Lastschriften

by 2 Comments

Menue_VRNWS_Lastschrift_05_mandat

VRNWS_Menue_Ueberweisung_00b_oben

oder in der Baumstruktur (links am Bildrand). Das Baummenü klappt ein (linkes Bild), wenn es nicht „gepinnt“ wird. Ist es nicht zu sehen, kann es oben über Extras wieder aktiviert werden.

         Menue_VRNWS_Menue_Baumstruktur_eingeklapptMenue_VRNWS_Menue_Baumstruktur

Das Erfassungsmenü der SEPA-Lastschrift.

 

Menue_VRNWS_Lastschrift_01_Erfassung

Rechts wählen Sie aus, ob Sie eine „normale“ Basislastschrift oder eine Euro-Eil-Lastschrift einziehen wollen. Die Euro-Eil Lastschrift bietet den Vorteil, dass die Vorlauffrist nur einen Tag beträgt. Dafür kann sie aktuell nur mit deutschen IBAN (DE) verwendet werden und sie muss bei den meisten VR-Banken separat vereinbart und freigeschaltet werden.

Menue_VRNWS_Lastschrift_02_Eil_oder_nicht_eil

Zentraler Punkt ist die Fälligkeit der Lastschrift. Diesen Termin vereinbaren Sie mit Ihren Zahlungspflichtigen. Das Verständnis der Sequenz (erstmalig, wiederkehrend) und Terminsteuerung ist absolut notwendig, um keine bösen Überraschungen zu erleben. Lesen Sie hier etwas zu den Grundlagen der Terminfindung.

Unten zeigt Ihnen die Software den spätesten Versand an. Diese späteste Versand wir errechnet anhand der Feiertage, Wochenenden etc. plus dem in der SEPA-Konfiguration eingestellten Puffer-Tage.

Menue_VRNWS_Lastschrift_02_faelligkeit

Hier können Sie die Sequenz einstellen. Buchen Sie einmalig nur, wenn Sie das zugrundeliegende Mandat nur ein einziges Mal verwenden wollen. Nach der Buchung des einmaligen Mandates ist das Mandat erloschen, man benötigt ein neues.

Die übliche Form sind wiederkehrende Mandate, die „erstmalig“ gebucht werden müssen, wenn die Bank des Zahlungspflichtigen diese Buchung zum ersten Mal erhält. (es geht also nicht um die Einreichung, sondern um die Bank wo eingezogen wird!!!)

Menue_VRNWS_Lastschrift_02_sequenz

Die Verwaltung der Sequenzen und der Mandate kann sehr sehr aufwändig sein. Die VR-NetWorld Software bietet mit der Mandatsverwaltung hier eine hervorragende Unterstützung, damit man den Überblick nicht verliert. Die Mandatsverwaltung muss zwar nicht verwendet werden, ich würde dies aber dringend bei allen Unternehmen und Vereinen empfehlen, die regelmäßige Einzüge planen.

Menue_VRNWS_Lastschrift_04a_mandatsliste

Menue_VRNWS_Lastschrift_04_mandatsliste

Das Mandat mit seiner Mandatsreferenz und seinem Mandatsdatum ist eine Einheit. Das Mandatsdatum (roter Pfeil) muss in der Vergangenheit liegen oder von heute sein. Beides kann aus der Mandatsverwaltung entnommen werden.

Die Ende-zu-Ende-Referenz ist etwas anders. Sie kennzeichnet den Auftrag selbst, also z.B. den Zweck. Im Gegensatz zum Verwendungszweck muss die Ende-zu-Ende-Referenz bis zu den Zahlungspfichtigen durchgereicht werden und darf – eigentlich – von den beteiligten Banken nicht verändert werden. Gerade zur Verwaltung i
st diese also sehr wichtig, besonders bei Rücklastschriften.

 

Menue_VRNWS_Lastschrift_05_mandat

Die Vorbelegungen stellen Sie unter „Extras“ ein. Menue_VRNWS_Menue_Extras_Einstellungen

Hier können Sie auch die Vorlauffrist konfigurieren

 

Menue_VRNWS_Menue_Extras_Einstellungen_SEPAHier können Sie auch

GLS eBank/Windata Statistik übertragene Zahlungen und Fehler

by Leave a Comment

In GLS eBank / Windata zeigt das Statistik-Menü die übertragenen Zahlungen an. Hier kann ich auch Sammler neu aufschlüsseln und nachdrucken.

Das Menü ist unter „Statistik“ zu finden, dort „übertragene Zahlungen“ anklicken.

Menue_windata_Statistik

Ich empfehle folgende Grundeinstellung (am unteren Rand):
Haken bei „Nur übertragene Zahlungen zeigen“ entfernen und „Erweiterte Informationen“ anhaken.

Menue_windata_Statistik_Fehler

Sicherheit: Jetzt auch noch eine paypal-Mail mit html-Formular

by Leave a Comment

Eiwei, das ist perfide. Eine angebliche Mail von PayPal fordert mich auf, mein PayPal Konto zu aktualisieren. Insbesondere aufgrund der letzten Hinweise, dass 1.2 Mrd Zugangsdaten von Hackern entwendet wurden ist das natürlich keine schlechte Masche. Und es ist wirklich nicht schlecht gemacht – mein Mailaccount zeigt mir das offensichtlich richtige Logo, alles sieht gut aus. Wäre da nur nicht der böse Anhang dran, ein html-Formular, für dass ich unbedingt javascript aktiviert haben müsse. Aber lesen Sie selbst:

Lieber PayPal Kunde,

Aufgrund der jüngsten betrügerischen Aktivitäten haben wir ein neues Online-Sicherheitssystem für den maximalen Schutz der persönliche Daten unserer Kunden gestartet.
Nach dieser Tatsache, wird Ihnen angeboten, ihr PayPal-Konto zu aktualisieren.

Um Ihr PayPal-Konto zu aktualisieren, liegt Ihnen in Ihrer E-Mail Adresse ein Formular zur Verfügung.
Bitte laden Sie das Formular aus, rufen Sie über Ihren Internet-Browser und folgen Sie den Anweisungen auf dem Bildschirm.

Hinweis: Das Formular muss in einem modernen Browser geöffnet werden, dass JavaScript aktiviert hat. (z.B. Internet Explorer, Mozilla Firefox)
Nach Abschluss dieser Phase wird die Aktualisierung Ihres PayPal-Kontos normal funktionieren.

Wir entschuldigen uns für die Unannehmlichkeiten und danken Ihnen für Ihre Zeit.
Für weitere Informationen kontaktieren Sie bitte den Kundenservice.

Mit freundlichen Grüßen,

PayPal-Team.Konto-Status

Die Sprache ist ja einigermaßen gerade. „Ein Browser, dass JavaScript“, ok, dass könnte mir auch im Eifer des Gefechtes passieren 🙂

Paypal_Spionage

Der Anhang ist eine Datei „Personliches Profil – PayPal.hmtl“

Versteht sich, dass dies nicht seriös sein kann. Warum sollte mir PayPal – oder sonst eine Firma – ein html mit Scripten senden, wenn es doch einfach wäre, mir dies innerhalb meines zu aktualisierenden Kontos zur Verfügung zu stellen?