Sparda Baden-Wuerttemberg schafft iTAN und mobile TAN ab

Beide TAN Verfahren nur noch bis Ende 2016 unterstützt

 
B.N.
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 235
Dabei seit: 12 / 2006
Betreff:

Re: Sparda Baden-Wuerttemberg schafft iTAN und mobile TAN ab

 ·  Gepostet: 15.12.2016 - 11:34 Uhr  ·  #41
Zitat geschrieben von Holger Fischer

Zu dem Dieb und einzeln den Angriff abwickeln: Doch es gibt auch manuelle Angriffe, die einzeln durchgeführt werden. Die meisten Angriffe laufen aber in der Tat voll automatisiert auf dem Rechner des Opfers und im Browserbanking.


Das ist sogar eher selten der Fall, zumindest wenn wir vom iTAN-Verfahren reden. Denn hier werden in erster Linie Phishing Seiten verwendet auf denen die Leute ihre Daten dann eingeben. In sofern hinkt hier auch der Vergleich "HBCI Software ist nicht betroffen" weiter oben. Denn natürlich wird kein Angreifer sich auch noch eine HBCI Software installieren nur um darüber die abgegriffenen TANs zu verwenden, wieso auch? Geht über das Online-Banking natürlich schneller die Daten zu verwenden.

Davon mal ganz abgesehen, sehe ich keinen Grund wieso ein Trojaner nicht auch eine HBCI Software angreifen können sollte. Diese würde sich genauso manipulieren lassen sobald ein Trojaner auf dem Nutzerrechner ist. Der einzige Grund warum das nicht passiert ist der, dass es dafür zu wenige HBCI Nutzer gibt und zu viele Programme die man gezielt angreifen müsste. Den Aufwand macht sich natürlich keiner. Das ist aber eine reine Frage der Nutzung. MacOS war früher auch kein Angriffsziel, dass hat sich inzwischen aufgrund der Verbreitung aber auch geändert.
Holger Fischer
Benutzer
Avatar
Geschlecht:
Herkunft: Korschenbroich
Alter: 53
Beiträge: 6205
Dabei seit: 02 / 2003
Betreff:

Re: Sparda Baden-Wuerttemberg schafft iTAN und mobile TAN ab

 ·  Gepostet: 15.12.2016 - 11:59 Uhr  ·  #42
Zitat geschrieben von B.N.

Diese würde sich genauso manipulieren lassen sobald ein Trojaner auf dem Nutzerrechner ist. Der einzige Grund warum das nicht passiert ist der, dass es dafür zu wenige HBCI Nutzer gibt und zu viele Programme die man gezielt angreifen müsste. Den Aufwand macht sich natürlich keiner. Das ist aber eine reine Frage der Nutzung. MacOS war früher auch kein Angriffsziel, dass hat sich inzwischen aufgrund der Verbreitung aber auch geändert.

Ganz so einfach ist das bei Programmen zum Glück nicht (aber natürlich auch möglich).
Browser sind dazu konzeptioniert:
alles was anzeigbar ist anzuzeigen, alles was abspielbar ist abzuspielen, alles was ausführbar ist auszuführen, Schnittstellen für zusätzliche Programme zu bieten, Darstellungen von Webseiten zu ändern uvm.
Eine Banking Software ist nicht offen, das macht die Manipulation komplexer. Da das Browserbanking auch in anderen Ländern genutzt wird, die Inhalte wesentlich einfacher auszulesen sind und auch einfacher zu manipulieren sind, es wenige Browser mit einer hohen Verbreitung gibt, ist es einfacher einen Trojaner zu entwickeln der eine Vielzahl von Webseiten der Banken (in verschiedenen Ländern) kennt und deren Darstellung im Browser manipulieren kann ist es einfacher und lohnenswerter ein Browser anzugreifen.

bzgl der iTAN liegst Du nicht ganz richtig. Die heutigen Angriffe sind so generisch, dass es dem Angreifer egal ist, welches Verfahren eingesetzt wird. Wenn ich einem Kunden einen Geldeingang vorgaukel und der zurück überweisen werden soll, ist es egal mit welchem Sicherheitsmedium ich das mache. Solange ich den Kunden davon überzeugen kann, dass er sich selber beklauen soll funktioniert der Angriff immer. Daher fallen die "alten" Angriffe, die nur bei der iTAN funktionieren natürlich als solche mehr auf. Sind aber heute nicht mehr der Standard.

Viele Grüße

Holger
lisari
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 234
Dabei seit: 06 / 2013
Betreff:

Re: Sparda Baden-Wuerttemberg schafft iTAN und mobile TAN ab

 ·  Gepostet: 15.12.2016 - 14:27 Uhr  ·  #43
Um mein Argument nochmal zu erklären:

HBCI mit Schlüsseldatei funktioniert NUR mit einer Banking-Software und gar nicht im Browser.
Es wird keine TAN benötigt, Hier müsste ein Angreifer die Software angreifen UND den Schlüssel stehlen UND dessen PIN.

Ich halte dieses Verfahren schon für sicherer als jede im Browser eingegebene TAN, egal wie sie generiert wird.

Gruß
Lisa
infoman
Benutzer
Avatar
Geschlecht:
Beiträge: 7401
Dabei seit: 06 / 2008
Betreff:

Re: Sparda Baden-Wuerttemberg schafft iTAN und mobile TAN ab

 ·  Gepostet: 15.12.2016 - 14:48 Uhr  ·  #44
a.) ein keylogger und schon ist deine Argumentation dahin
b.) es ging um dein posting #36

aber das können wir unendlich drehen und wenden, Tatsache ist alles in Sachen PC bekommst sowieso nicht sicher, denn selbst wenn wir sichere Verfahren unterstellen, kann die Software/App buggy sein, da es kein sicheres/fehlerfreies Produkt gibt. (siehe bspw. N26 Meldung der letzten Tage)
sicher muss auch nicht sein, da die Banken idR den Schaden dann doch übernehmen, zumal die Gerichte verbraucherfreundlich sind


//@msa
die OLB Oldenburgische Landesbank AG usw. ja auch - siehe https://hbciweb.olb.de/financebrowser5/
msa
Benutzer
Avatar
Geschlecht:
Herkunft: München
Alter: 62
Beiträge: 7571
Dabei seit: 03 / 2007
Betreff:

Re: Sparda Baden-Wuerttemberg schafft iTAN und mobile TAN ab

 ·  Gepostet: 15.12.2016 - 14:51 Uhr  ·  #45
Zitat geschrieben von lisari
HBCI mit Schlüsseldatei funktioniert NUR mit einer Banking-Software und gar nicht im Browser.

Das ist so nicht richtig. Es gibt durchaus auch Plugins, bei denen im Browser mit HBCI mit Chipkarte oder Schlüsseldatei gearbeitet wird. Die Sparkasse Fürstenfeldbruch bietet z.B. zu ihrem Brauserbänking auch eine Zugangsmöglichkeit mit HBCI/Chipkarte...
Holger Fischer
Benutzer
Avatar
Geschlecht:
Herkunft: Korschenbroich
Alter: 53
Beiträge: 6205
Dabei seit: 02 / 2003
Betreff:

Re: Sparda Baden-Wuerttemberg schafft iTAN und mobile TAN ab

 ·  Gepostet: 15.12.2016 - 17:12 Uhr  ·  #46
Zitat geschrieben von lisari

HBCI mit Schlüsseldatei funktioniert NUR mit einer Banking-Software und gar nicht im Browser.
Es wird keine TAN benötigt, Hier müsste ein Angreifer die Software angreifen UND den Schlüssel stehlen UND dessen PIN.

Ich halte dieses Verfahren schon für sicherer als jede im Browser eingegebene TAN, egal wie sie generiert wird.

Auch wenn ich jetzt gegen die Schlüsseldatei argumentiere: Ich mag und nutze sie selber ;-)
Der Angreifer muss nur Zugriff auf den PC erlangen und wissen was eine Schlüsseldatei ist. Die kopiert er sich weg und hat anschliessend unendlich viele Möglichkeiten die PIN zu ermitteln (BruteForce). Das ganze ohne dass Du mitbekommst, dass die Schlüsseldatei kopiert wurde. Wenn der Angreifer anschliessend die PIN hat benötigt er nur noch die Software und räumt das Konto leer.

Das ist natürlich alles andere als trivial und ganz sicher aufwendiger, als den Brwoser zu manipulieren. Aber es funktioniert ohne die Software angreifen zu müssen. Und bei der definition Starke Kundenauthentifikation heißt es, dass zwei Komponenten von Besitz, Wissen und Inhärenz genutzt werden müssen. Die Frage ist, ob durch die Möglichkeit eine Datei zu kopieren, der Faktor Besitz für eine Schlüsseldatei als gegeben anzunehmen ist. Für beide Seiten gibt es Pro und Contra Argumente.

Viele Grüße

Holger
Raimund Sichmann
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8244
Dabei seit: 08 / 2002
Betreff:

Re: Sparda Baden-Wuerttemberg schafft iTAN und mobile TAN ab

 ·  Gepostet: 16.12.2016 - 08:44 Uhr  ·  #47
Zitat geschrieben von Holger Fischer
Das ist natürlich alles andere als trivial und ganz sicher aufwendiger, als den Brwoser zu manipulieren. Aber es funktioniert ohne die Software angreifen zu müssen.
das würde ich so nicht unterschreiben. Keylogger hat man eh, du brauchst also keine brute-force Methode, um das Passwort zu erraten, wenn der Betrüger eh bereits auf dem Rechner ist.
Aber wir wollen keine Anleitung für Hacker schreiben.
Holger Fischer
Benutzer
Avatar
Geschlecht:
Herkunft: Korschenbroich
Alter: 53
Beiträge: 6205
Dabei seit: 02 / 2003
Betreff:

Re: Sparda Baden-Wuerttemberg schafft iTAN und mobile TAN ab

 ·  Gepostet: 16.12.2016 - 08:56 Uhr  ·  #48
Zitat geschrieben von Raimund Sichmann

Zitat geschrieben von Holger Fischer
Das ist natürlich alles andere als trivial und ganz sicher aufwendiger, als den Brwoser zu manipulieren. Aber es funktioniert ohne die Software angreifen zu müssen.
das würde ich so nicht unterschreiben. Keylogger hat man eh, du brauchst also keine brute-force Methode, um das Passwort zu erraten, wenn der Betrüger eh bereits auf dem Rechner ist.
Aber wir wollen keine Anleitung für Hacker schreiben.

Sorry, bevor das die Runde macht: Doch das kann man so unterschreiben. Das Thema Keylogger ist der so ziemlich meist überschätzte Angriff für das OnlineBanking.
infoman
Benutzer
Avatar
Geschlecht:
Beiträge: 7401
Dabei seit: 06 / 2008
Betreff:

Re: Sparda Baden-Wuerttemberg schafft iTAN und mobile TAN ab

 ·  Gepostet: 16.12.2016 - 09:13 Uhr  ·  #49
dies wurde ua. geschrieben zum letzten MS Patch
Zitat
Ein Angreifer muss ein Opfer lediglich dazu verleiten, eine spezielle präparierte Website in einem der beiden Microsoft-Browser zu öffnen, um die Kontrolle über ein Windows-System zu erlangen. Anschließend kann er unter Umständen Programme installieren, Daten anzeigen, ändern oder löschen oder neue Administratorkonten erstellen.
Zitat
Ein hohes Risiko geht von weiteren Sicherheitslücken in den Windows-Komponenten Verschlüsselungstreiber, Kernel, Kernelmodustreiber, Protokolldateisystem sowie in .NET Framework 4.6.2 aus. Sie können zur Offenlegung von Informationen führen oder eine nicht autorisierte Erweiterung von Benutzerrechten ermöglichen. Darüber hinaus verteilt Microsoft eine neue Version des Flash-Plug-ins von Adobe für seine Browser IE 11 und Edge.

http://www.zdnet.de/88284436/d…d-windows/

wobei sind wir wirklich noch bei dem Thema?
Gewählte Zitate für Mehrfachzitierung:   0