Hi,

Damit könnte etwa ein Transaktionscode (TAN) noch während der Eingabe verändert werden. Der Kunde bekommt von der Bank dann eine Fehlermeldung zurück, während die Hacker hinter dem Spionageprogramm den richtigen Code dann zur freien Verwendung haben.

Wenn auf dem Bankserver die Transaktionen an eine Session gebunden sind, dann kann der Bösewicht mit der gefischten TAN von seinem PC aus auf das Konto doch nicht zugreifen? Ich kenne mich mit dem Thema safe-Transaktionen nicht besonders aus, aber die simpelste und obligatorische Prüfung auf dem Server während einer Session wäre doch bei jeder Transaktion zu prüfen ob der Client, der die Session gestartet hat, immer noch die IP-Adresse hat, die beim Öffnen der Session registriert wurde?

Kann dann der

Hacker hinter dem Spionageprogramm den richtigen Code

noch für sein Unfug einsetzen, sprich das Konto auf dem Bankserver manipulieren?

gruss

Gustav