Hallo Thomas,
nun, ich bin jetzt nicht so der Verschlüsselungs-Experte, deswegen weiß ich
auch nicht genau,
wie man-in-the-middle-fest das Verfahren ist. Bei der Registrierung des
TAN-Geräts muss man
eine Nr. eingeben, welche eindeutig dem TAN-Gerät und dem Konto zugeordnet ist.
Theoretisch
könnte man noch ein 2. Gerät oder mehr registrieren (z.B. für die Frau),
welches auch Zugriff auf's
Konto hat.
So denke ich auch, dass die TAN lokal im Gerät (oder SM) errechnet wird, nicht
auf dem Bankserver.
Wie sicher dann das SM ist steht dann anderswo geschrieben...
Statt die TAN händisch in das Browserfeld einzugeben, hat man bei meiner Bank
auch die Möglichkeit
einen Ziffernblock-Fenster im Browser anzeigen zu lassen und via Maus die TAN
einzutippen. Das
geht dann aber nur mit JavaScript und nicht in Netsurf. Ein Kollege meinte,
dass wäre ein sicherere
Methode als Tastatur, weil die Ziffern nicht im Klartext übermittelt werden.
Ob's so ist weiß ich nicht ;-)
(JavaScript ist ja auch so'n Thema für sich)...
Und ja, da gebe ich euch Recht, vor manchen "Neuerungen"schaften dann kann's
eine schon grausen :-( ...
Gruß,
Jürgen
-----Ursprüngliche Nachricht-----
Von: Thomas Milius
Gesendet: Fr. 18.01.2019 20:22
An: archimedes@xxxxxxxxxxxxx
Betreff: [archimedes] Re: Homebanking
In message
freak67@xxxxxxxxxxxx wrote:
Hallo zusammen,
mische mich auch mal bei diesem Thema hier ein ;-) ...
;-)
Hoffe aber trotzdem, das es ein wenig hilft, was ich geschrieben habe :-) .
Eine sehr anschauliche Beschreibung. Ich betreibe kein Internet Banking
kann mir jetzt aber gut vorstellen, was da läuft. Ich glaube, Raiks Problem
war aber, daß er den QR-Code garnicht zu Gesicht bekam. Da könnte helfen
einfach mal alles aus Netsurf zu exportieren. Irgendwo in einem
Unterverzeichnis findet sich dann evt. auch der gesuchte QR-Code als Bild ...
Den einzuscannen ist unter RISC OS ein anderes Thema, aber das Jahr ist
ja noch lang.
Aber mal ehrlich, inwieweit hilft so ein Teil gegen einen
Man-in-the-Middle-Angriff? Ich vermute, die Idee dahinter ist wahrscheinlich
das registrierte Handy, was nicht automatisch bedient werden kann (oder
besser gesagt nicht bedient werden können sollte, bei Smartphones ist dann eh
alles verloren). Dumm nur, daß man selbst das mittlerweile, wenn auch mit
hohem Aufwand, knacken kann. Ich hatte das Schema noch für das Sicherste
gehalten. Trojaner mit Zugangsdaten auf Rechner des Opfers einschleusen. Man
bekommt jetzt die Bank-Zugriffsdaten. Evt. läuft auch noch die Handy
Registrierung elektronisch und die IMSI kann über den Bankaccount abgefragt
werden. Notfalls vor Ort aufwendig scannen. Dann ist fast alles bereit.
Regelmäßig Terminkalender des Opfers scannen, auch die Ansicht der Online
gekauften Operntickets kann helfen. Wenn das Opfer in der Oper ist, hat man
freie Bahn, denn das Handy ist ja deaktiviert. Zur Sicherheit einen
Kontrollanruf aufs Handy tätigen. Bei den modernen Handys kann es natürlich
sein, daß sie verbunden bleiben. Da wird es dann schwierig und man muß das
Netz vor der Oper stören. Einfacher ist das vor der Haustür des Opfers. Auch
der Arbeitsweg bietet sich an, Deutschland ist voll von Funklöchern ...
Dann INSI mit manipuliertem Handy simulieren. Rechner in Internet Cafe
starten oder über einen beliebigen gehackten Rechner zugreifen. TAN versenden
Geld in Empfang nehmen, schlimmstensfalls über irgendeine arme Sau, die man
vorher als Strohmann fürs Weiterleiten von Dingen angeworben hat und die dann
unschuldig ins Gefängnis gesteckt wird.
Wenn alles auf dem gleichen Rechner läuft, hat man bei einem Man-in-the
Middle-Angriff eh leichtes Spiel.
Irgendwie begeistert mich die moderne Technik nicht. Ok für Leute denen Recht
und Gesetz nie so ganz wichtig war, bietet sie zynisch ausgedrückt bestimmt
auch neue Möglichkeiten :-(.
Ich bevorzuge lieber die konventionelle Methode, beobachte aber leider
ähnliche Entwicklungen wie Alexander auch :-(.
PS: Wir haben jetzt auch teilweise bis zu 1 cm Schnee ... Und das Tollste:
Die Bahn fuhr, von einer liegengebliebenen S-Bahn mal abgesehen, sogar, wenn
auch mit Verspätung, aber das hat nichts mit dem Schnee zu tun ...
Thomas Milius
-----Ursprüngliche Nachricht Ende-----
