Bezahldienstleister des tages

Wisst ihr, wie pubertierende an den geschlechtsverkehr herangehen? Einfach, schnell und gefährlich.

Das gibts natürlich auch für erwaxene. Bezahlen sie ganz smart, bekwem und totalsuperdupersicher mit ihrem scheißwischofon dank revolut und visa, wisst schon, ist einfach nur genial! Was kann dabei schon schiefgehen? Ist ja auch genial sicher, der werber hats euch doch gesagt, und sein stinkender bruder von jornalist fands auch gleich ganz toll und hats für die beste erfindung seit der banknote gehalten:

Der Angriff erfolgte übers Handy. Mehrere Revolut-Kunden erhielten ein SMS. Man soll sein Konto „verifizieren“ […] Dazu gabs einen Link. Wer diesen anklickte und darauf seine Daten mit Passwort eingab, war verloren […] Die Kunden riefen sofort bei Revolut an. Dort nahm niemand ab. Es gibt nur Schriftverkehr und Warteschlaufen […] Die Gangster verschoben via der Kreditkarte des Kunden, welcher dieser mit seinem Konto bei Revolut verbunden hatte, hohe Beträge auf fremde Konten […] Die Gelder sind weg

Hej, kommt leute und stellt euch nicht so an. Da habt ihr halt mal ein paar tausend oder auch mal ein paar zehntausend fränkli als lehrgeld für eine kleine, freundlich erteilte sicherheitsbelehrung an kriminelle bezahlt, die euch hoffentlich fortan dabei hilft, nie wieder so unendlich doof zu sein und auf irgendeine reklame reinzufallen und euer geld einem scheißwischofon anzuvertrauen! Und hej, sicherheitsbelehrte: euer gezwitschertes gejammer „mein konto wurde gehäckt“ ist auch ganz schön doof. Klingt aber irgendwie viel epischer als „ich fingere an meinem wischofon auf allem herum, was man befingern kann und gebe dann arglos irgendwelche bänkingdaten ein“. 🎣

Zum glück hat dieses „revolut“ schon ausgemacht, wer jetzt schuld daran ist, dass es zu so einem massenhafen, erfolgreichen und ertragreichen phishing kommen konnte: der telekom-dienstleister, über den die phishing-SMS versendet wurden.

Im Tages-Anzeiger gab Revolut der Swisscom die Schuld. Die Phishing-SMS liefen über das Netz des Schweizer Telekom-Riesen

Da muss man erstmal drauf kommen! 🤦🤣👏🤣

Also ruhig so weitermachen, leute! Das hat doch alles nix damit zu tun, dass man teuer teuer geld über sein wischofon bewegt — also über einen kompjuter, der so gebaut ist, dass man ihn gar nicht sicher machen kann und auf dem man bänking-äpps benutzt, die nicht mehr laufen, wenn man sich unter aufopferung der gewährleistung wenigstens durch „rooten“ ein aktuelles betrübssystem besorgt hat. :mrgreen:

Ein kleiner und völlig kostenloser sicherheits-tipp von mir: schlangenöl hilft auch nicht gegen doofheit, die auf kriminelle energie prallt. Dagegen hilft nur hirn. Gegen phishing gibt es nämlich eine ganz einfache und völlig kostenlose sicherheitsmaßnahme, die hundertprozentig wirksam ist.

Security des tages

Ist hier jemand bei der spaßkasse und macht dort diese moderne internetz-fernkontoführung?

The vulnerability is located in the `firstname`, `lastname` and `companyname` values of the `newsletter` module. The vulnerable parameters are f[1][v], f[2][v] & f[2][v] (sic!). Remote attackers are able to inject own malicious script code via POST method request to the application-side of the sparkasse dns domain mailing service. The attack vector of the vulnerability is persistent on the application-side and the request method to inject is POST […] The exploitation of the persistent input validation web vulnerability requires low user inter action and no privileged application user account. Successful exploitation of the vulnerability results in session hijacking, persistent phishing, persistent external redirects to malicious sources and persistent manipulation of affected or connected web module context

Auch weiterhin viel spaß bei der fernkontoführung! Ist ja sicher. Diese ini-mini–wini-winzig-klitze-kleine sicherheitlücke, mit der jeder hansel sich gegenüber kunden als spaßkasse ausgeben konnte, wurde auch nur als „mittelgroß“ eingestuft. Woher sollten die bei der spaßkasse auch wissen, dass man eingabedaten irgendwie validieren muss? Und es geht ja auch nur um geld. Was kann da schon passieren?

Händi-fernkontoführung des tages

Die folgende anmerkung zur fernkontoführung mit dem wischofon wird ihnen nicht von einem häcker, sicherheitsforscher oder sonstigen nörgler, sondern vom kundendienst der comdirect bank AG auf dem zwitscherchen präsentiert.

Du nutzt die banking App und erhältst beim Öffnen der App u. g. Fehlermeldung? Keine Sorge! Hierbei handelt es sich um einen bekannten Fehler. In Kürze werden wir ein Update bereitstellen. Übrigens: Trotz Fehlermeldung kannst du die banking App wie gewohnt nutzen. /MU -- Fehlermeldung: Etwas oder Jemand verändert Ihre Verbindung. Ein Verbindungstest zu secure.outbank.io hat ergeben, dass eine gesicherte Verbindung unmöglich ist. Bitte kontaktieren Sie den Support! Fehler 200. (f1fc8119, 354, 354)

Bitte gehen sie weiter! Hier gibt es nix zu sehen. Nähere informazjonen würden sie nur beunruhigen. Auch weiterhin viel spaß bei der fernkontoführung mit dem wischofon!

Hinweis via @benediktg5@twitter.com

Fernkontoführung des tages

Machen sie ihre bankgeschäfte bekwem und einfach mit unserer internetz-fernkontoführung (neudeutsch: onleinbänking) und ermöglichen sie es uns damit, achtzig prozent unserer mitarbeiter zu entlassen, ihnen aber weiterhin das gleiche geld abzuknöpfen wie vorher. Was kann dabei schon schiefgehen?

Eine katastrophal schiefgelaufene Migration von Kontodaten in ein neues Datenbanksystem hat Millionen britische Bankkunden aus ihrem Onlinebanking ausgesperrt. Seit Tagen kommen sie nicht an ihr Geld […] Wer sich einloggen kann, hat demnach aber auch Probleme und bekommt Buchungen eventuell nicht zu sehen oder gar einen falschen Kontostand angezeigt. Ein Kunde konnte andere Konten einsehen und hätte sogar überweisen können, erzählte er der BBC […] eine Behebung der Probleme ist nicht in Sicht

Weia!

Ändräut des tages

Na, macht ihr auch alle schön eure fernkontoführung¹ mit einem ändräut-wischofon? Wenn euch doch nur vorher jemand gewarnt hätte… aber hej, ich bin ja ein rückständiger spinner und steinzeitfreund. Und jeder andere auch, der davor warnt. Und außerdem hat der werber im auftrag der bank gesagt, dass man das machen kann und hat echt tolle bilder dazu gemacht, das wirkt nicht so versponnen. Werbung ist wahrheit, und wissen ist steinzeit.

Viel spaß noch in der idiocracy!

Toll auch die benutzerfreundlichkeit, wenn man sich das dingens eingefangen hat:

Um den Schädling loszuwerden, müssen Opfer der Malware in den Android-Einstellungen die Admin-Rechte entziehen. Anschließend soll man GT!tr.spy über die Android Debug Bridge (ADB) deinstallieren können

Ich wünsche betroffenen viel spaß dabei, kurz zu rescherschieren, wie man für sein wischofon die entwickleropzjonen freischaltet (ist nicht so schwierig), anschließend das telefon über USB an den kompjuter anzuschließen und zu guter letzt — eine ändräut-entwicklungsumgebung ist ja auch schnell gesaugt und installiert — über die debugbridge an einer fröhlichen kommandozeile die äpp zu deinstallieren. Wie das geht, findet ihr auch schnell im web, ganz ohne sarkasmus gesagt. Ihr nutzt ja alle ändräut, weil diese spielzeugkompjuter so schön einfach zu benutzen sind, oder?! :mrgreen:

Auch, wenn es im moment noch heißt…

Generell sollte man keine Banking-Apps aus App Stores von Dritt-Anbietern installieren

…dass man den trojaner mit irgendwelchen äpps aus drittkwellen kriegt, ist es nur eine frage der zeit, bis sich andere wege finden. Allein die möglichkeit der installazjon über „stagefright“ dürfte im moment noch mindestens ein drittel der aktiv verwendeten ändräut-wischofone abdecken. Dann läuft es mit einer werbeanzeige, die etwas enthält, das mit dem mulitmedia-subsystem dargestellt wird. Angucken ist dabei genug. Oder vielleicht mit einer mäjhl. Die kriminellen leben davon, dass sie gute metoden finden, und sie werden etwas finden.

Das werden noch zeiten, wenn banken und einzelhandel demnächst das bargeld immer mehr abschaffen — ist ja umständlich, dieses geld, wisst ihr ja, und außerdem ist es viel zu schwer zu überwachen und zu träcken, und daten sind der rohstoff der zukunft — und ein ganzes heer von idjoten alles mögliche mit seinem wischofon bezahlt! Wenn erstmal genug leute so etwas dummes machen, lohnt sich auch der kriminelle angriff. Genau wie der auf die fernkontoführung mit wischofonen.

¹Das ist mein wort für das, was die werber „onlein-bänking“ nennen. Es gefällt mir besser als das wort der werber.

Freut ihr euch auch schon so?

Freut ihr euch auch alle schon so auf die p’litisch und wirtschaftlich gewünschte abschaffung des bargeldes? Einen kleinen vorgeschmack auf das, was dann schnell mal passieren kann, gibt euch jetzt schon die targobank. Übrigens auch einen vorgeschmack auf die wirklichkeit hinter den hochglanzreklameplakaten mit fotoschoppretuschierten grinsefressen, die „immer für den kunden da“ zu sein vorgeben:

Betroffene Kunden können sich an die Hotline der Bank wenden. Diese ist aktuell aber überlastet

Anders, als man aus dem text bei heise onlein heraus glauben könnte, handelt es sich nicht nur um ein anzeigeproblem — ich habe davon gehört, dass heute auch lastschriften und überweisungen geplatzt sind. Da scheint gerade ein erheblicher teil der gesamten bankbuchführung im datennirvana zu schwimmen, und das ist für die armen schweine von technikern, die damit gestraft sind, kein besonderes fest. Klar, die PRessesprecher blahfaseln mal wieder davon, dass „mit hochdruck“ an einer lösung des angeblichen „anzeigeproblems“ gearbeitet wird, aber es wäre für alle beteiligten viel besser, wenn dies mit großer sorgfalt und der erforderlichen zeit für eine gründliche analyse geschähe, statt mit irgendwelchem „druck“ oder gar „hochdruck“. Aber kennt ihr ja, PRessesprecher und die scheißPResse, wo dampfplauderer mit dampfplauderern zusammenkommen, dass es nur so in den ohren zischt.

Wenn ich vor der entscheidung stünde, mir eine bank zu suchen: eine, die in so einer situazjon vom „hochdruck“ blahfaselt, käme mir nicht in die tüte.

Wischofon-bänking des tages

Ich finde es ja immer wieder lustig, dass werbeheinis den leuten erzählen, an einem wischofon wäre etwas sicher. Mit einem wischofon bankgeschäfte zu machen, ist so, als machte man bankgeschäfte mit einem ungeschützten windohs 95, auf dem sowieso schon jede installierte anwendung ein trojaner ist. Trotzdem wirds immer wieder von scheißwerbern erzählt, dass alles einfach, bekwem und vor allem sicher ist — und die „sicherheit“ beim wischofon-bänking sieht dann so aus:

Durch gezielte Manipulationen im Betrieb der Sparkassen-App fängt ihr Schadcode eine vom Nutzer in Auftrag gegebene Überweisung ab und verändert diese. Die vom Anwender tatsächlich durchgeführte Überweisung sendet dann einen deutlich höheren Betrag an ein anderes Konto. Der Anwender hat dabei keine Chance die Manipulation zu erkennen, da „die angezeigten Daten zu jeder Zeit des Transaktionsprozesses den eingegeben Werten entsprechen“

Ja, es ist in diesem betrübssystem ändräut möglich — zurzeit muss es dafür „gerootet“ sein, aber glaubts mir, die häcker häcken und sie werden wege finden, über eine lücke das system aufzubohren — dass eine dritte äpp die bänking-äpp manipuliert. Warum eigentlich?

Auch weiterhin viel spaß mit euren wischofonen! Mit denen müsst ihr bezahlen, mit denen müsst ihr euer konto führen! Ist ne gute idee! Seht ihr doch immer in der reklame! Und diese tolle reklame habt ihr mit vielen gebühren dafür bezahlt, dass andere euer geld verwalten und durch verleihen mit zinseszinsdynamik zu noch mehr geld machen, ohne euch etwas davon abzugeben. Und wenns demnächst zu massenhaften betrugsfällen mit eurer wischofon-fernkontoführung kommt und die scheißbanken schließlich damit einen verlust gemacht haben, dann werden sie eben diese gebühren noch ein bisschen erhöhen, damit bankkunden diese verluste bezahlen… kommt leute, seid so doof, macht das so! Es ist einfach, bekwem, modern und sicher! 😈

Onlein-bänking des tages bei der „migros bank“

Die „migros bank“ (mit echtem deppen leer zeichen) so zu ihren kunden: wie, sie wollen als betrübssystem für ihre fernkontoführung linux benutzen? Das geht jetzt aber nicht mehr, nehmen sie bitte die kwalitätssoftwäjhr von äppel oder meikrosoft! Und wenn sie die nicht zur hand haben, andräut ist inzwischen so trojanerverseucht, das können sie auch gern nehmen. Um die sicherheit zu erhöhen, haben sie bitte gleich zwei von diesen geräten bereit. Ganz großes kino!

Wer keine kunden haben will, sollte auch keine kunden haben. In meinen augen rechtfertigt diese unverschämtheit ein sonderkündigungsrecht, eventuell sogar mit schadenersatzforderungen.