Re: Online-Banking nur noch mit Anti-Virus-Software?

Florian Weimer schrieb:
> * Falk Willberg:
>
>> Ich habe von meiner Bank (Volksbank) ein "Sm@rtTAN
plus[0][1]"-Gerät
>> bekommen.  In das wird die Bank-Karte gesteckt, ein wechselnder Code
>> eingetippt und das Ergebnis als "TAN" eingegeben.
>
> *hust* Was Du als "wechselnde[n] Code" bezeichnet, enthält einen
Teil
> der Empfängerkontonummer. Die Sicherheit des Verfahrens hängt wesentlich
> davon ab, daß Du das erkennst und prüfst.

Ich gehe davon aus, daß, wenn ich mich da vertippe, eine nicht
funktionierende TAN erzeugt wird. Das reicht.

Es muß ein fünfstelliger "Code" und die ersten sechs Stellen der
Kontonummer des Empfängers eingegeben werden. Zusätzlich muß die
Kundenkarte der Bank eingesteckt sein.

Die erste Stelle des "Codes" is (bei identischen Aufträgen) immer 1, die
anderen vier Stellen wechseln anscheinend zufällig. Die erste Stelle
hängt also entweder von den anderen Daten ab oder ist konstant: Es sind
also nur vier Stellen.

> Also ist das auch dieses Verfahren als potentiell gebrochen einzustufen.

Ich versuche gerade, mir vorzustellen, wie dieses Verfahren mißbraucht
werden kann.

Das Opfer geht auf die Seite aus der eMail des Phishers und gibt
Kontodaten und PIN ein.

Das Script des Phishers ruft die Volksbank-Seiten auf und gibt die Daten
in das Überweisungsformular ein. Dieses erfährt "Code" und
"Data" von
der VB-Seite, blendet diese Daten in die manipulierte Seite ein, das
Opfer tippt das in sein "Sm@rtTAN plus" ein, bekommt eine TAN und tippt
die ein.

Der Phisher hat gewonnen.

Nur, mit welchem Verfahren ließe sich das wirksam absichern?

Falk (ohne Virenscanner)
--
Volker Pispers' history of USA and terrorism mit englischen Untertiteln:
www.youtube.com/watch?v=n4H_E8b-qmo www.youtube.com/watch?v=WOZd3iCknZU
www.youtube.com/watch?v=qRWAyM26YV8 www.youtube.com/watch?v=qQ9Amuri6G8
www.youtube.com/watch?v=Z2ullkbVCL8
[ Auf dieses Posting antworten ]
Antworten

Maik Zumstrull (05.07.2008 23:58)