Onlinebanking über Virtualbox

[geier22]

Fängt man sich beim unseriösen Surfen Malware in dieser VM ein, sagen wir im schlimmsten Fall einen Keylogger, so ist der wirkungslos, wenn die VM abgeschaltet ist.

Dagegen sollte ein Passwortmanager helfen. Wenn man die Gemeinsame Zwischenablage nicht deaktiviert sollte es schwer werden vom Host aus irgend etwas auszuspionieren.

Ansonsten bin ich genauso "paranoid" (oder spielfreudig ) wie TomL
Meine Bankgeschäfte laufen in einer Windows VM Über ein Banking Programm mit Zwei-Faktor-Authentifizierung via Flicker Code. Der Browser und andere Programme dürfen nicht in Netz. ---> Das mach ich schon immer so und fühl mich wohl dabei
Ein Banking Programm bietet darüber hinaus auch entschiedene Vorteile (Kontobewegungen alles Banken über Jahre archiviert)

Um den ganzen noch eins Drauf zusetzen hab ich eine Mini VM (Xfce + Chromium + firejail) die nur meine Bankverbindungen an surfen kann.
(2,2 GB gross), allerdings hab ich die auf konventionellen Weg hergestellt :

Wenns interessiert (als weitere Variante);
Minimal-Installation - mit Netinst CD
dann die /etc/apt/apt.conf erstellen oder ändern mit

Code: Alles auswählen

APT::Install-Recommends "0";
APT::Install-Suggests "0";

Code: Alles auswählen

apt-get install xserver-xorg xserver-xorg-core xfonts-base xinit x11-xserver-utils
apt-get install xfwm4 xfce4-panel xfce4-settings xfce4-session xfce4-terminal xfdesktop4/ xfce4-taskmanager tango-icon-theme
apt-get install lightdm lightdm-gtk-greeter

Neustart und dann halt noch ein paar Tools und den Browser

Zum Schluss alles, was überflüssig ist, entfernen (das braucht ein bisschen Handarbeit mit apt-mark manual , damit nicht zu viel deinstalliert wird.

[uname]

Ich habe nicht mal eine Windows VM geschweige denn Windows. Webbasiertes Banking mit Flicker-Code ist kein Problem.

[TRex]

Ich schließe mich mal an der Stelle niemand an und bestätige ein sicheres Gefühl mit TAN-Generator auf dem ganz normalen, sauberen Linux-Rechner - allerdings mit hibiscus statt einem Browser. Das hat ein eigenes Passwort und ist portable - ich könnte es also gegen Manipulation schützen, indem ich es auf einen USB-Stick packe oder in eine verschlüsselte Partition.. aber mir reicht die Eigenverschlüsselung.

[geier22]

Ich habe nicht mal eine Windows VM geschweige denn Windows.

Ich hab Hibiscus ausprobiert und Moneyplex sogar mal gekauft. Doch auf meinem Bildschirm (2560 * 1600) war die Grafik einfach nicht zu ertragen.
Das einzige Programm, was mir optisch und von den Möglichkeiten gefallen hat war kmymoney. jedoch gab es da immer wieder Probleme mit aqbanking.

allerdings mit hibiscus statt einem Browser.

. Da ist halt für mich auch wichtig. Der Browser ist nun mal das schwächste Glied in der Kette, schlichtweg weil - egal auf welchem Betriebssystem - die Sicherheitslücken identisch sind und er eine Massenware ist. Dadurch ist er das ideale Angriffsziel für Ganoven.
Banking über HBCI umgeht zumindest diesen Gefahrenpunkt (Web- Interface der Banken, sowie einen separaten Server) und ist auch keine Massenware, also weniger attraktiv für Ganoven. Ausserdem beschränkt sich der Kontakt mit dem Bankserver auf wenige Sekunden.
Allein schon das Login auf der Webseite der Bank (in der Regel Kontonummer und max 6-Stellige PIN) lässt mich grausen.
Damit hat der Angreifer zwar noch kein Geld von meinem Konto, aber zumindest sämtliche Daten und Kontostände, was häufig der erste Schritt zur Konto Plünderung ist.
Das ist im Grunde alles. Man sollte die kleinstmögliche Angriffsfläche bieten:D .

Hier könnt Ihr eure Bank testen : https://www.ssllabs.com/ssltest/index.html

[mullers]

So aus Neugier: Mich würde mal interessieren, ob jemandem selbst oder ob jemand jemanden kennt, dem mal irgendetwas Böses mit seinem Online Konto passiert ist. Und zwar ohne erstens grob fahrlässig gehandelt zu haben. Und zweitens einfach mit einem durchschnittlich gesichertem System, mit einem durchschnittlich gesicherten Browser.

[guennid]

Mich würde mal interessieren, ob jemandem selbst oder ob jemand jemanden kennt, dem mal irgendetwas Böses mit seinem Online Konto passiert ist.

Wenn die Wirklichkeit der Teorie widerspricht: Um so schlimmer für die Wirklichkeit! (Hegel, er hat's anders gemeint, als es hier passt, aber schön find' ich's trotzdem. )

Grüße, Günther

[thoerb]

Die meisten die ich kenne, hatten schon mal richtig üble Schadsoftware auf ihrem Rechner. Und auch kenne ich welche, die angezeigt wurden für Musik-Downloads. Aber ich kenne keinen dem irgendetwas böses mit seinem Online Konto passiert ist.

[TomL]

Ich kenne niemanden, dem mit Deinen Rahmenbedingungen Schaden zugefügt wurde. Und soweit ich mich erinnere, wurde in 25 Jahren auf unseren Rechnern (Familie) noch nie auch nur ein einziger Virus gefunden. Das ist aber nicht die Grundlage meiner Vorsicht. Ich tue das, was ich tue, allein aus dem Grund, weil ich nicht mehr einschätzen kann, wozu andere (mit krimineller Energie) imstande sind etwas zu tun, was mir schaden kann. Dabei unterstelle ich einfach, dass der aktuelle Stand der Technik in Verbindung mit subversiven Erfindungsreichtum bessere Malware schaffen kann, als es noch vor Jahren möglich war. Meine Vorsicht entspringt allein dem Gedanken und der subjektiven Selbsteinschätzung, dass meine Fähigkeiten nicht mehr reichen, das alles wirklich selbst in der Hand zu haben und auch dauerhaft erfolgreich kontrollieren zu können.

[guennid]

Ich tue das, was ich tue, allein aus dem Grund, weil ich nicht mehr einschätzen kann, wozu andere (mit krimineller Energie) imstande sind etwas zu tun, was mir schaden kann.

Dann mach' halt dein Ding und lass andere weiterquatschen. Wie Dirk schon sagte: Schaden wird's nicht.

Grüße, Günther

[thoerb]

Dann mach' halt dein Ding und lass andere weiterquatschen.

Oder mach halt dein Ding, aber mache nicht alle anderen verrückt damit. Der ein oder andere liest das und ist anschließend total verunsichert.

[TomL]

Oder mach halt dein Ding, aber mache nicht alle anderen verrückt damit. Der ein oder andere liest das und ist anschließend total verunsichert.

Ok... entschuldige bitte.... mir war nicht klar, dass es unerwünscht ist, wenn man erklärt, warum man sich für einen bestimmten Weg entschieden hat. Ich habe auch nicht gewusst, dass sich andere Leser aus verschiedenen konträren Standpunkten keine eigene Meinung bilden können sollen, wenn (möglicherweise) gewisse Standpunkte nur zum Teil relevant sind. Ausserdem war mir nicht bewusst, dass Meinungen unerwünscht, wenn sie nicht auf Fakten verweisen können .... weil ich annahm, dass eine Meinung nur eine Meinung ist, auf die man natürlich verzichten kann, wenn man auf Fakten verweisen könnte.... aber ich habe hier leider nur ne Meinung.

Also ...bitte entschuldige meine Unachtsamkeit.

[thoerb]

Ausserdem war mir nicht bewusst, dass Meinungen unerwünscht, wenn sie nicht auf Fakten verweisen können .... weil ich annahm, dass eine Meinung nur eine Meinung ist, auf die man natürlich verzichten kann, wenn man auf Fakten verweisen könnte.... aber ich habe hier leider nur ne Meinung.
Also ...bitte entschuldige meine Unachtsamkeit.

Dafür musst du dich nicht entschuldigen, meine Meinung ist auch nur eine Meinung von vielen Meinungen. Aber was Sicherheit betrifft, die gibt es nicht. Nicht im Internet und auch nicht im realen Leben. Dir kann immer irgend was zustoßen. Und ein Leben im Bunker ist kein Leben. Augen auf im Straßenverkehr! Vorausschauend denken, reale Gefahren sehen und sich darauf einstellen, aufmerksam sein und alles wird gut. Alles andere ist überflüssig. Wenn ich auf der Autobahn auf einen Stau zu fahre und der LKW-Fahrer hinter mir eingeschlafen ist, rettet mich wahrscheinlich auch der Airbag nicht mehr. Aber wenn ich weiß, dass dort ein Stau ist, kann ich eine andere Route fahren und komme erst gar nicht in diese Situation.

Vor ca. 15 Jahren habe ich in einer Firma unachtsam einen E-Mail-Virus aktiviert. Ich will hier gar nicht näher auf die Folgen eingehen, aber danach war ich geimpft.

Und ich glaube auch nicht, dass es möglich ist über einen Browser in ein System einzudringen und von dort aus irgendwas zu manipulieren. Cracker sind immer auf die Unachtsamkeit und Leichtgläubigkeit (Dummheit) von Usern angewiesen um richtigen Schaden anzurichten. Ansonsten gibt es da garantiert so gut wie keine Möglichkeiten.

[dirk11]

Wenn ich auf der Autobahn auf einen Stau zu fahre und der LKW-Fahrer hinter mir eingeschlafen ist, rettet mich wahrscheinlich auch der Airbag nicht mehr.

Quizfrage: welcher Autofahrer weiß noch, wofür die sog. "Rückspiegel" sind!?

[thoerb]

Wenn ich auf der Autobahn auf einen Stau zu fahre und der LKW-Fahrer hinter mir eingeschlafen ist, rettet mich wahrscheinlich auch der Airbag nicht mehr.

Quizfrage: welcher Autofahrer weiß noch, wofür die sog. "Rückspiegel" sind!?

Ich verstehe die Frage nicht so ganz. Wenn vor dir alles steht nutzt dir der Blick in den Rückspiegel auch nichts mehr. Dann siehst du, wie bei dem hinter dir der weiße Rauch aus den Radkästen kommt und dann kannst du nur noch hoffen dass er es noch rechtzeitig schafft zum stehen zu kommen. Und richtig geil ist es, wenn es sich dabei um einen LKW handelt.

[halo44]

Als Starter dieses Threads fühle ich mich inzwischen gewissermaßen "mitschuldig", wenn TomL hier teilweise heftig angegangen wird, was m.E. unangemessen ist.

Ich fragte damals

... Die Lösung von TomL mit einem gedebootstrapten Mini-Debian in einer virtuellen Maschine würde ich gerne versuchen, weiß allerdings nicht, wie ich dies anstellen soll ...

Diese Frage hat TomL beantwortet und ich habe seine Lösung inzwischen erfolgreich im Einsatz. Für und Wider der Anwendung werden ja hier diskutiert, wobei viele Beiträge auch sehr hilfreich sind. Dies sollte auch so bleiben.

Gruss H.

[dirk11]

Ich verstehe die Frage nicht so ganz.

War mir klar. "Der Tod kommt von hinten" ist auf der Autobahn, vor allem am Stau-Ende, keine ganz neue Weisheit, weshalb es sich empfiehlt, immer Raum für die "Flucht nach vorne" im Auge zu behalten. Das kann der Platz zwischen den Spuren sein, aber auch der Standstreifen oder der Randstreifen links. Und wenn das alles nicht geht, kann man beim Blick in den Rückspiegel immer noch aus dem Fahrzeug springen. 400m Abstand zum vorletzten Stau-Steher ist übrigens keine Alternative, dann wird man im Fall der Fälle halt draufgeschleudert wie eine Billard-Kugel.

[thoerb]

@dirk11, Ich habe solche Situationen schon öfters erlebt und konnte auch einmal einen Auffahrunfall verhindern, in dem ich auf den Seitenstreifen ausgewichen bin. Und einmal habe ich es erlebt, dass der hinter mir in die Leitplanke gefahren ist um mir nicht auffahren zu müssen. Bis jetzt habe ich immer Glück gehabt und alles ist gut gegangen, deswegen werde ich weiterhin PKW fahren und mir zur meiner Sicherheit keinen Panzer kaufen müssen. Um wieder zum Thema zurückzukommen, beim Online-Banking sehe ich das genauso. Mittlerweile macht fast jeder Online-Banking und die Meisten davon auf Windowssystemen, auf denen Software installiert ist, die wer weiß wo heruntergeladen wurde und die permanent nach Hause telefoniert. Wenn das so unsicher wäre hätte man schon davon gehört. Nicht nur in den Medien, sondern auch im persönlichen Umfeld. Deswegen fühle ich mich mit einem Debian-User speziell fürs Banking zusammen mit dem chipTAN-Verfahren auf der sicheren Seite. Und außerdem spart man auch nicht sein ganzes Vermögen auf dem Giro-Konto.

@TomL: Es ist wohl so herübergekommen, dass ich dich heftig angegangen habe. Der eine Satz von mir kam vielleicht etwas grob herüber, war aber eigentlich gar nicht so gemeint. Sonst hätte ich auch den Smiley nicht gesetzt. Du wurdest ja nach deiner Lösung gefragt und hast nur darauf geantwortet.

[uname]

Einige Banken ermöglichen tägliche Obergrenzen um das Risiko zu minimieren. Ach ja und immer schön die Transaktionsdaten kontrollieren.

[guennid]

Etwas OT, aber sei's drum.

Wollte letztlich eine größere Summe nach Australien überweisen: Auskunft meiner Volksbank: Geht online nicht. Frage: zutreffend?

Falls nein:
@uname:
Die Bankdaten, die ich dazu von Schwiegersohn erhalten hatte, hätte ich bei dem, was ich sonst bei einer online-Überweisung von der Bankseite rückgemeldet bekomme, nicht kontrollieren können.

Grüße, Günther

[TomL]

Wollte letztlich eine größere Summe nach Australien überweisen: Auskunft meiner Volksbank: Geht online nicht. Frage: zutreffend?

Ja, ist bei meiner Bank auch so. Allerdings mit uns als 'Kontoführungsparameter' so vereinbart und festgelegt.... ebenso wie ein Tageslimit von 1000€ und monatlich ein paar tausend Euro als Höchstsumme. Höhere Beträge oder Auslandsüberweisungen gehen nur persönlich mit Kundenberater. Deswegen verwende ich fürs Ausland immer eine der Kreditkarten.... aber bei Überweisungen geht das wohl nicht.

[guennid]

Habe meinen letzten Beitrag "leicht" verändert. Wir sind ja hier bei "Sicherheit"

[uname]

Habe meinen letzten Beitrag "leicht" verändert. Wir sind ja hier bei "Sicherheit"
...
Die Bankdaten, die ich dazu von Schwiegersohn erhalten hatte, hätte ich bei dem, was ich sonst bei einer online-Überweisung von der Bankseite rückgemeldet bekomme, nicht kontrollieren können.

Die Bankdaten bestanden bei einer Überweisung aus IBAN und Betrag. Und genau die Informationen musst du überprüfen. Würde dir das Internet-Banking irgendwas komisches rückmelden macht es natürlich nur in Verbindung mit abweichender IBAN und Betrag Sinn. Denn nur so landet das Geld nicht dort wo es hin sollte.

[guennid]

Okay, uname, lassen wir's gut sein, war halt nur so'n theoretisches Problem zu einer theoretischen Lösung.

Die Australier haben möglicherweise andere Bezeichner für das, was deutsche Internationalisierer mit IBAN und BIC meinten bezeichnen zu müssen. "swift code" scheint eine wichtige Rolle zu spielen. Ich werd's noch rauskriegen.

[vnn]

Der Beitrag ist zwar älter und meine Antwort vielleicht hier nicht ganz passend aber ich wollte meine Lösung hier auch anbieten.
Vielleicht kann die jemand gebrauchen.

Hatte unter Windows XP mit der Volksbank Software VR Networld 4 gearbeitet.
Dann wurde die Version 5 eingestellt und man sollte 5 kaufen und monatlich einen Euro bezahlen.
Habe ich nicht eingesehen.
Zuerst mit Virtualbox unter Linux eine Maschine mit Win XP installiert.
Leider hat die Virtualbox keinen Zugriff auf das Disketten Laufwerk; es existiert nicht mehr.
(Wer weis wie ich das in der VirtualBox einrichte dann nur her mit der Info)
Der Schluessel der Bank habe ich nämlich auf Diskette; ob ihr's glaub oder nicht:-)
Vom der Diskette-Laufwerk kann ich mich einfach nicht trennen.

Nun habe ich ein freies Bankprogramm gesucht welches unter Linux läuft.
Ein mulmiges Gefühl war es ja schon da man nie weiss wo der Datenstrom bei einem freien Programm hinläuft und mit dem eigenen Geld arbeitet.
Das Programm welches ich gefunden habe funktioniert sehr gut und ist frei.
Einen Dank für Oliver Willuhn!

https://www.willuhn.de/products/hibiscus/

Es hat ein wenig gedauert bis ich das Programm zum Laufen hatte und den Schluessel für die Bank generiert hatte aber ich bin von dem Programm begeistert!
Ich habe mir den Zugriff über HBCI eingerichtet aber auch das TAN Verfahren ist möglich.

Gruss

vnn

[DeletedUserReAsG]

Anmerkung:

Ein mulmiges Gefühl war es ja schon da man nie weiss wo der Datenstrom bei einem freien Programm hinläuft […]

Im Gegensatz zu unfreien, geschlossenen Programmen kann man bei freier, offener Software nachsehen. Ansonsten kann man im Grunde immer via tcpdump und Co. nachschauen, was wohin gesendet wird – zumindest, solange die Schlüssel in unfreier, geschlossener Software nicht hartcodiert vorliegen.