nicht angemeldet
Sicherheit beim Online-Banking
Auf der Webseite http://teltarif.de/arch/2004/kw27/s14195.html wird behauptet
Durch einen Fehler im Internet Explorer kann eine Website dann theoretisch auf das Fenster mit den Bank-Informationen zugreifen. Dabei sei es nicht nur möglich, eingegebene Informationen wie die Geheimnummer mitzulesen, sondern diese auch zu manipulieren. Damit könnte etwa ein Transaktionscode (TAN) noch während der Eingabe verдndert werden. Der Kunde bekommt von der Bank dann eine Fehlermeldung zurück, während die Hacker hinter dem Spionageprogramm den richtigen Code dann zur freien Verwendung haben.
Meine Frage ist "Gilt diese Aussage auch in dem Falle, wenn die Transaktionen per https:// abgewickelt werden?"
Danke im voraus
Gustav
-
Hi,
Durch einen Fehler im Internet Explorer kann eine Website dann theoretisch auf das Fenster mit den Bank-Informationen zugreifen. Dabei sei es nicht nur möglich, eingegebene Informationen wie die Geheimnummer mitzulesen, sondern diese auch zu manipulieren. Damit könnte etwa ein Transaktionscode (TAN) noch während der Eingabe verдndert werden. Der Kunde bekommt von der Bank dann eine Fehlermeldung zurück, während die Hacker hinter dem Spionageprogramm den richtigen Code dann zur freien Verwendung haben.
Meine Frage ist "Gilt diese Aussage auch in dem Falle, wenn die Transaktionen per https:// abgewickelt werden?"
Der Zugriff findet von Browserfenster zu Browserfenster statt.
Also auf HTML-Dokumente bzw. deren Elemente.Da interessiert es nicht die Bohne, ob das Dokument auf dem Weg vom Server zum Browser verschlüsselt war oder nicht.
cu,
Andreas--
MudGuard? Siehe http://www.Mud-Guard.de/
Fachfragen per E-Mail halte ich für unverschämt und werde entsprechende E-Mails nicht beantworten. Für Fachfragen ist das Forum da.-
Hi,
Damit könnte etwa ein Transaktionscode (TAN) noch während der Eingabe verändert werden. Der Kunde bekommt von der Bank dann eine Fehlermeldung zurück, während die Hacker hinter dem Spionageprogramm den richtigen Code dann zur freien Verwendung haben.
Wenn auf dem Bankserver die Transaktionen an eine Session gebunden sind, dann kann der Bösewicht mit der gefischten TAN von seinem PC aus auf das Konto doch nicht zugreifen? Ich kenne mich mit dem Thema safe-Transaktionen nicht besonders aus, aber die simpelste und obligatorische Prüfung auf dem Server während einer Session wäre doch bei jeder Transaktion zu prüfen ob der Client, der die Session gestartet hat, immer noch die IP-Adresse hat, die beim Öffnen der Session registriert wurde?
Kann dann der
Hacker hinter dem Spionageprogramm den richtigen Code
noch für sein Unfug einsetzen, sprich das Konto auf dem Bankserver manipulieren?
gruss
Gustav
-
Hi Gustav
Damit könnte etwa ein Transaktionscode (TAN) noch während der Eingabe verändert werden. Der Kunde bekommt von der Bank dann eine Fehlermeldung zurück, während die Hacker hinter dem Spionageprogramm den richtigen Code dann zur freien Verwendung haben.
Wenn auf dem Bankserver die Transaktionen an eine Session gebunden sind, dann kann der Bösewicht mit der gefischten TAN von seinem PC aus auf das Konto doch nicht zugreifen? Ich kenne mich mit dem Thema safe-Transaktionen nicht besonders aus,...
Du hast Recht; Du kennst Dich nicht aus.
Du verstehst den Ablauf bzw. die Begriffe von Online-Banking nicht.
Die TAN-Nummer sind nicht (und können nicht) an eine Session gebunden. TAN-Nummern haben nichts mit einer Session zu tun. Lies mal nach bei einer Bank-Seite, wie Online-Banking funktioniert.Andreas Walter
-
Hi Andreas,
Du verstehst den Ablauf bzw. die Begriffe von Online-Banking nicht.
Die TAN-Nummer sind nicht (und können nicht) an eine Session gebunden. TAN-Nummern haben nichts mit einer Session zu tun. Lies mal nach bei einer Bank-Seite, wie Online-Banking funktioniert.Ich glaube nicht und habe auch nicht gefunden (zumindest bei meiner Hausbank und der Dresdner Bank) solche technische Details über Online-Banking. Zu einem sind die Benutzungshinweise zum Online-Banking ohnehin umfangreich und kompliziert genug - zu anderem das wäre doch eine Einladung/ Anleitung für die Hacker, um das System anzugreifen.
Habe das Netz nach 'pin tan session onlinebanking' durchegsucht und eine Menge Treffer entdeckt, die belegen, dass die Aussage
TAN-Nummern haben nichts mit einer Session zu tun
kann so nicht 100% stimmen. Zum Beispiel bei der Deutschen Bank
https://wob.deutsche-bank.de/trxm/login/login_hinweis_frame.html?anchor=neuimTRXM&link=ext;from-txm_login-B-hinweis_neuimTRXM-TX;to-pu_trxm_login_hinweis findet man im 'Sicherheitshinweis' eine Thema 'Session TAN für Wertpapieraufträge'.Ansonsten meinte ich, wenn die Zugehörigkeit der Nachrichten zu einer Session bei Online-Transaktionen in jetzigen OnlineBanking-Verfahren nicht geprüft wird, vielleicht wäre es sinnvoll, diese doch zu prüfen?
Aber ich höre auf mit der Fragerei, ich dachte, es gibt auf meine Frage
es wäre doch sinnvoll, zu prüfen ob der Client, der die Session gestartet hat, immer noch die IP-Adresse hat, die beim Öffnen der Session registriert wurde?
eine Antwort, die nicht so tief in Details geht.
Gustav
-
-
Moin,
Wenn auf dem Bankserver die Transaktionen an eine Session gebunden sind, dann kann der Bösewicht mit der gefischten TAN von seinem PC aus auf das Konto doch nicht zugreifen?
Der Bösewicht kann ja auch einfach die PIN mitabgefangen haben und sich dann nach eigenem Gusto eine eigene Session aufmachen.
Ich kenne mich mit dem Thema safe-Transaktionen nicht besonders aus, aber die simpelste und obligatorische Prüfung auf dem Server während einer Session wäre doch bei jeder Transaktion zu prüfen ob der Client, der die Session gestartet hat, immer noch die IP-Adresse hat, die beim Öffnen der Session registriert wurde?
Nein, das wäre eine extrem blöde[tm] Idee[1]. Es gibt eine Reihe Benutzer (vermutlich die meisten AOLer) die hinter ganzen Proxy-Batterien sitzen, zwischen denen irgendeine Form von Load Balancing gemacht wird. Da kann es im Prinzip problemlos passieren, dass jede Anfrage von einem anderen Proxy kommt.
(Natürlich werden die Proxies sich nicht in SSL-Verbindungen einmischen, aber selbst mit Keep-Alive wird der Client davon in der Regel mehrere öffnen die dann im wieder über verschiedene Proxies gehen können.)
[1] Was quasi eine Garantie dafür ist, dass irgendjemand sie implementiert hat. Keine Frage.
--
Henryk Plötz
Grüße aus Berlin
~~~~~~~~ Un-CDs, nein danke! http://www.heise.de/ct/cd-register/ ~~~~~~~~
~~ Help Microsoft fight software piracy: Give Linux to a friend today! ~~
-
-
-
Hi,
Meine Frage ist "Gilt diese Aussage auch in dem Falle, wenn die Transaktionen per https:// abgewickelt werden?"
Obwohl ich deine Frage nicht 100%ig beantworten kann, würde ich sagen ja. Ich glaube es gibt keine Bank, die Homebanking-Transaktionen nicht per https macht, und da liegt es fast auf der Hand, dass diese Aussage auf jeden Fall Geltung hat, da in dem Beitrag wahrscheinlich sowieso angenommen wird, dass der Browser per https eingeloggt ist. AUßerdem gab es unlängst sogar bei Planetopia so ein Beispiel wie leicht es für einen,der sich auskennt ist, so etwas durchzuführen.
Wenn du meine Meinung wissen willst, halte ich es sowieso für Selbstmord solche Dinge mit dem IE zu praktizieren. aber mein Konto ist es ja nicht.Vielleicht bin ich ja etwas paranoid, aber ich habe bei solchen Dingen erst ein sicheres Gefühl, seit ich nur mehr Linux benutze.
Markus.
-
Hi,
Vielleicht bin ich ja etwas paranoid, aber ich habe bei solchen Dingen erst ein sicheres Gefühl, seit ich nur mehr Linux benutze.
ich mag Linux auch, aber was Du da erzählst ist wirklich Unsinn!!!
Nur weil Du ein sicher(er)es Auto fährst, probierst Du die Stabilität auch nicht am nächsten Baum aus, oder?Gruß
Reiner -
Moin,
AUßerdem gab es unlängst sogar bei Planetopia so ein Beispiel wie leicht es für einen,der sich auskennt ist, so etwas durchzuführen.
Das war IIRC etwas anderes. Sie mussten wohl eine Sendezeitlücke stopfen und haben dafür mal eben über 2 Jahre alte Monkey-in-the-middle-Angriffe aus der Schublade geholt. Das ist im Prinzip auch kinderleicht, man muß 'nur' den Benutzer davon überzeugen, dass er das überdimensionale Warnfenster mit der Meldung "Sie werden gerade betrogen" (o.ä.) ignoriert.
Warnung: Dieses Posting könnte Sarkasmus enthalten.
--
Henryk Plötz
Grüße aus Berlin
~~~~~~~~ Un-CDs, nein danke! http://www.heise.de/ct/cd-register/ ~~~~~~~~
~~ Help Microsoft fight software piracy: Give Linux to a friend today! ~~ -
Hi,
Vielleicht bin ich ja etwas paranoid, aber ich habe bei solchen Dingen erst ein sicheres Gefühl, seit ich nur mehr Linux benutze.
Linux allein macht Dich sicher nicht.
http://www.heise.de/newsticker/meldung/49049
Es gibt nur zwei Browser, die nicht betroffen sind: Firefox 0.9x und Mozilla 1.7x (von den frühen 1.8ern weiß ich nichts, sie haben nämlich auch ein paar regressions). Evtl. auch noch Opera 7.52.
Linux und Mozilla bieten einen (allerdings unter Umständen entscheidenden) Hauch an Sicherheit - mehr nicht. Ansonsten gilt das, was ich mir auch manchmal wohlmeinend zumurmle: PEBKAC ;)
Viele Grüße,
Bubax
-
-
hi
hier wird nicht wirklich von online-banking (auch wenn es im volksmund so bezeichnet wird) gesprochen, sondern von internet-banking, eben die sache über den browser bzw. die homepage des instituts.
online-banking funktioniert via hbci und ist ziemlich sicher. allerdings sit es etwas kostspieliger (geht ab 40 EUR los), da ein terminal angeschafft werden muß.
so long
ole
(8-)> -
Hallo.
Wenn deine Bank für sich aus der verwandten Technik ergebende Risiken haftet, ist das System hinreichend sicher; vorher nicht.
MfG, at