'nur' theroretisch

1. Die Hacker-Website fragt den User nach seinen Login-Daten.
2. Der Hacker loggt sich bei der Postbank ein.
3. Der Hacker gibt den Überweisungsauftrag ein, wird nach iTAN gefragt.
4. Die Hacker-Website fragt den User nach der iTan.

Wenn der User jetzt genug Geduld gehabt hat, gibt er genau die gesuchte iTan ein.

Was ist daran theoretisch?

Der Hacker musste sich mit der herkömmlichen TAN ja auch beeilen, zu überweisen, bevor Verdacht aufkommt.

Benutzer Alexda schrieb:

ich sagte ja "nur"....
wir sprechen hier von einem MITM-Attack. Das gab es schon früher und wird es auch leider in der Zukunft weiter geben. Jeder mündiger Bürger, der auf sowas reinfällt, sollte sich erstmal fragen, wieso er nicht etwas "sachverstand" hat, und wahllos seine daten preisgibt, und erst dann andenkt, was er gerade getan hat.

stell dir vor, bei dir klopft es an der tür, und eine skuriele person fragt freundlich, ob sie sich mal bei dir in der wohnung umsehen dürfte, weil die sicherheit des kühlschranks überprüft werden müsste - spätestens da sollten alle alarmglocken klingeln ;-)))

p.s. die ganze thematik mit phishing geht so gross durch die medien - da sollten wir bürger eingentlich sensibilisiert sein - zumindest hoffe ich das *g+

Bei einfachen Phishing Methoden (e-mail die auf irgendeine Webseite leitet, meist sogar auf Englisch und in fast allen Fällen mit schlechter Rechtschreibung) ist das sicher gut mit der skurrilen Person vergleichbar. Problematisch wird es bei Routing-Manipulationen wie bei Man in the Middle. Wenn diese Variante mit einem gefälschten DNS-Server kombiniert wird und die Kopie der Bank-Website 1:1 dem Original entspricht. Das ist aufwendig, aber möglich. Es gibt für den User dann fast keine Möglichkeit mehr zu erkennen, ob er mit dem Original oder der Fälschung verbunden ist. Auf die Verwundbarkeit eines DNS-Servers hat der einzelne Nutzer zudem meist keinen Einfluss. Solange es keine beidseitige Authentifizierung z.B. über Zertifikate gibt (wie bei HBCI mit Karte), gibt es dagegen keinen Schutz. https reicht nicht.

Ein passender Vergleich mit dem realen Leben wäre dann: Du gibst einem Freund von Dir oder einem Familienmitglied Geld, bemerkst aber nicht, dass es sich um einen Klon handelt. Oder noch realer: Du gehst zu einem Geldautomaten, gibst die Geheimzahl ein und erhältst eine Fehlermeldung aber kein Geld (Plombe leer, o.ä.). Der Automat spuckt die Karte wieder aus und Du gehst verärgert weiter. Beim Automaten handelt es sich um eine Fassade vor dem echten Gerät, Deine Karte wurde kopiert und die PIN gespeichert. Das gab es übrigens schon.

Da man bisher die Leute schon mit einfachen e-mails zum Rausrücken der Daten bewegen konnte, waren aufwendige Verfahren natürlich nicht nötig, aber das ist vermutlich nur eine Frage der Zeit...

Nur darauf zu verweisen, dass das Problem vor dem Computer sitzt, reicht da nicht.

(siehe auch DHCP basierte Angriffe, DNS basierte Angriffe, ARP Cache Vergiftung, etc.)

Benutzer blntel schrieb:

Richtig, genau das wollte ich auch noch posten.


Ein Blick auf das SSL-Zertifikat sollte schon Sicherheit geben, aber da werfen die Wenigsten einen Blick drauf.
Es gibt ja auch Anbieter, die SLL-Zertifikate ungeprüft ausstellen, das bloße Vorhandensein eines Zertifikats sollte jetzt nicht bedeuten, daß man auf der richtigen Seite ist.
Außerdem gibt es selbst da noch Möglichkeiten, den Fake zu verschleiern, Stichwort Homographieattacken.


Nein, da muß man leider sagen, daß der Nutzer theoretisch nur dagegen geschützt ist, wenn er direkt die IP-Adresse des Bankservers eingibt...


https ist ja auch nur ein Protokoll. Mit HBCI hab ich mich noch nicht ausreichend beschäftigt, um da genug was zu sagen zu können, aber theoretisch besteht da auch die Gefahr, daß es durch MITM-Attacken wirkungslos wird. Diese Angabe ohne Gewähr.


Die Bankkunden lernen dazu, die Phisher auch


Richtig, die Banken haben bei Phishing ja immer noch die Ausrede, daß der Kunde nicht sorgfältig genug mit seinen Zugangsdaten umgegangen ist... Bei Pharming (DNS-Spoofing etc) greift das natürlich nicht mehr.


dito

Benutzer Alexda schrieb:

Du hast 0. vergessen ;-) User prüft Zertifikat und Fingerprint und dadurch erledigt sich 1.-4. ....

Benutzer honkitonk schrieb:

Was hat das mit einer iTAN zu tun?

Hier geht es gerade um die *vermeintlich* zusätzliche Sicherheit, die eine iTAN ggü. einer herkömmlichen TAN bietet.

Benutzer Alexda schrieb:


zitat:
"Allerdings weisen die Forscher explizit darauf, dass sowohl TAN als auch iTAN-Verfahren bei korrekter Überprüfung der SSL-Verbindung sicher sind. Allerdings hätten bisherige Phishing-Angriffe gezeigt, dass die Betroffenen den Schutzmechanismus SSL schlichtweg ignorieren oder einfach nicht verstehen."


und wie man das zertifikat ueberprueft, sollte eigentlich jede bank irgendwo stehen haben, siehe z.b. hier:
http://www.heise.de/security/news/foren/go.shtml?read=1&msg_id=9225534&forum_id=87777

tichy

Benutzer tichy schrieb:

Dann sprich konkret von den Banken, die es nicht machen, und pauschalisiere es nicht auf den gesamten Bankensektor...

Hier mal ein aus meiner Sicht positives Beispiel:

http://www.sparkasse-hannover.de/banking_und_brokerage/spkh_sicherheit/sicherheitshinweise.php

So wie die genaue Erklärung, wie das mit dem Fingerprint funktioniert:

http://www.sparkasse-hannover.de/banking_und_brokerage/spkh_sicherheit/sicherheitshinweise/pin.php?IFLBSERVERID=IF@@014@@IF#sicherheitskomponente4

Und glaub nicht, dass sich diese Informationen nur auf der Internetseite finden ;-)

Benutzer honkitonk schrieb:




mit "sollte eigentlich" meinte ich nicht, dass es ueberall so ist, sondern nur, dass es so sein sollte. was hat das mit pauschalieren zu tun?

tichy

Benutzer Alexda schrieb:

Welche vermeintliche Sicherheit? Es ist eine jedem offensichtliche, denn der Aufwand für einen solchen Angriff ist deutlich höher und hat geringere Erfolgsaussichten.

Wenn ich einmal ein Loch 1m tief mit einem Spaten buddel und mein Schatz dort vergrabe, für das 2. Loch (5m tief) einen Bagger verwende und dort meinen 2. Schatz vergrabe, ist der 5m tiefe doch auch sicherer als der 1m tiefe...

Außerdem ist das Szenario kein Phishingangriff, sondern mitm und das iTan dagegen sicher ist hat nie jemand behauptet... Aber wie einfach dieser Angriff von einem normalen Anwender aufzudecken ist, wird leider immer vergessen zu erwähnen...

Benutzer honkitonk schrieb:


sollten die schatzsucher allerdings geraete haben, die eh bis z.b. 10m alles anzeigen, hat man keinen sicherheitsgewinn. ich denke dabei auch an eine art 3D-durchleuchtung des bodens, oder dass man nach dem fund des ersten schatzes nochmal misst, nicht dass du da jetzt an dem beispiel weiterborst. ist immer alles relativ, auch der aufwand! da die anderen methoden frueher oder spaeter nicht mehr greifen und es sicher doch sehr lohnt, werden MIM-attacken bald zunehmen.

wann werden klasse3-geraete zur pflicht?

tichy

Benutzer tichy schrieb:


In dem Bespiel geht es weniger um das Finden, sondern eher um das darankommen...

Wer sollte das zur Pflicht machen? Die Möglichkeit hat jeder, die Anwender bekommt man nur durch sinnvolle Zusatzanwendungen dahin, allerdings scheinen da der Bund und die Industrie noch nicht richtig zu wollen...

Benutzer honkitonk schrieb:



ok, pflicht ist falsch ausgedrueckt. die banken muessten einfach mehr forcieren und diese geraete auch subventionieren.

tichy

Benutzer tichy schrieb:


tun sie doch oder warum meinst du bekommst du den kartenleser zum halben preis wie im normalen handel...

Benutzer honkitonk schrieb:


reden wir beide von kategorie 3 geraeten?
selbst wenn, meine ich das anders, was fehlt ist dass diese geraete zur massenware werden und dann zu aehnlichen preisen und weniger zu haben sind, als jetzt die bisherigen reinen kartenleser.

tichy

Benutzer tichy schrieb:


Klasse 2 aufwärts, Klasse 3 an sich bringt ja keinen sicherheitsrelevanten Vorteil bei HBCI Chipkarte. Damit sich Klasse 3 Leser durchsetzen, darf sich der Nutzen nicht nur auf das Banking begrenzen und es muß auch von allen Seiten die einen Nutzen davon haben subventioniert werden (Bund,Industrie und Handel, Banken). Die Anwendungen der ersten 2 lassen aber ja leider auf sich warten... In Österreich funktioniert das komischerweise ;-) armes Deutschland eben...

Benutzer honkitonk schrieb:

bei normaler chipkarte wird die PIN am rechner eingegeben, erst bei klasse 3 wuerde ich momentan von sicher reden.



ok, wenn man es so sieht, stimmt es schon, dass nicht nur alleine die banken an deren finanzierung beteiligt sein sollten.

die buergerkarte ist zumindest seit vielen jahren in planung. hoffen wir, dass das mal in die gaenge kommt, denn vieles haengt davon ab. andere laender haben sie schon voll im einsatz, in DE braucht mancher fortschritt deutlich laenger, nicht notwendiger fortschritt wird daegegen vollkommen uebertrieben.

tichy

Benutzer Jan78 schrieb:

Richtig... Der Clou ist ja auch, daß es alles in Echtzeit durch ein Skript geschieht, welches selbständig Formularfelder ausfüllt und einliest, so daß die Verzögerung nicht meßbar ist.


Mit dem Mailserver haben die "angeblichen" Sicherheitsexperten nicht zu tun, die kümmern sich um Forschungsarbeiten und nicht um Wartung von Mailservern, dafür ist das Fußvolk da.
In der Tat genießt die RUB deutschlandweit einen sehr guten Ruf in Sachen IT-Sicherheit, der durch diese Postbank-Aktion nochmal untermauert worden ist.


Ja peinlich war es schon für das Rechenzentrum :)
Wir selber haben uns ja auch nur über die schlappgelacht, aber das ist deren Bier und nicht unseres.