[ONLINEBANKING] 16-jähriger Schüler findet 17 Banken mit ernsthaften Sicherheitslücken ...

Re: [ONLINEBANKING] "OddJob" (Session-Hijacking Trojaner) Trojanisches Pferd führt heimlich Überweisungen aus

user96106 — Mon, 28 Feb 2011 19:03:11 GMT

ja ne is klar. das möcht ich sehen wie das bei mobile TAN funktionieren soll, wenn die TANs nur kurze zeit gültig sind und für jede neue transaktion ein neuer MTAN angefordert wird.

[ONLINEBANKING] "OddJob" (Session-Hijacking Trojaner) Trojanisches Pferd führt heimlich Überweisungen aus

Vorauseilender Gehorsam — Mon, 28 Feb 2011 17:48:55 GMT

Online-Banking | 26. Februar 2011
Trojanisches Pferd führt heimlich Überweisungen aus (c) PC Magazin / Frank Ziemann

http://www.magnus.de/news/trojanisches-pferd-fuehrt-heimlich-ueberweisungen-aus-1093262.html

Ein Schädling neuen Typs kapert beim Online-Banking die Browser-Sitzung und führt noch Transaktionen durch, wenn der Kontoinhaber glaubt, er habe sich schon längst beim Bank-Server abgemeldet. Auf der Festplatte hinterlässt "OddJob" kaum Spuren, er ist ein echter Online-Schädling.

Online-Banking sei sicher, wiederholen die Banken stereotyp, weil sie damit eine Menge Geld sparen. Doch das gilt bestenfalls, wenn der vom Kunden dazu benutzte Rechner nicht mit Malware verseucht ist. Welche Tricks Online-Kriminelle einsetzen, um Zugriff auf fremde Bankkonten zu erlangen, illustrieren kürzlich publizierte Informationen über einen neuartigen Schädling namens "OddJob".

Amit Klein vom Sicherheitsunternehmen Trusteer berichtet im Blog seiner Firma über ein Trojanische Pferd, das seine Kollegen und er bereits seit einigen Monaten beobachten. Bislang seien die vermutlich in Osteuropa beheimateten Hintermänner von OddJob vor allem bei Banken in den USA, Polen und Dänemark aktiv geworden. Laufende Behördenermittlungen hätten eine frühere Veröffentlichung der gesammelten Informationen verhindert.

Die Täter scheinen sehr intensiv an der Weiterentwicklung ihres Schädlings zu arbeiten, denn Trusteer habe häufige Veränderungen an den von OddJob an den Tag gelegten Techniken festgestellt, meldet Klein. Die Code-Analyse der von Klein als völlig neuer Schädlingstyp bezeichneten Banking-Malware könne daher auch nicht als abgeschlossen gelten.

OddJob hängt sich in den Web-Browser, Internet Explorer oder Firefox, um den Datenverkehr zwischen dem Kunden und seiner Bank zu belauschen und zu manipulieren. Er fängt die Session-ID ab, die den Kundenrechner gegenüber der Bank identifiziert. Mit dem Ausspionieren von Login-Daten und dergleichen muss er sich nicht aufhalten - das Opfer ist ja bei seiner Bank eingeloggt. OddJob sendet alle Daten in Echtzeit an sein Mutterschiff, den Kommando-Server der Täter.

Diese können damit über den PC ihres Opfers Überweisungen auslösen oder die des Kunden manipulieren, etwa den Überweisungsempfänger und den Betrag ändern. Das Opfer bekommt davon nichts mit, weil es manipulierte Web-Seiten zu sehen bekommt. Sie zeigen dem Bankkunden die Ergebnisse seiner Transaktionen, die er erwartet.

Meldet er sich dann bei der Bank ab, unterdrückt OddJob dieses Kommando und hält die Verbindung offen, zeigt dem Kunden jedoch eine Bestätigung. So können die Täter weiter das Bankkonto plündern, während sich ihr Opfer in trügerischer Sicherheit wiegt.

OddJob speichert seine Konfiguration nicht auf der Festplatte des Opfers, denn derartige Festplattenaktivitäten könnten den Verdacht eines Antivirusprogramms erregen, das mit Verhaltensanalyse arbeitet - wie meisten modernen Virenscanner. Vielmehr holt sich OddJob stets eine frische Konfigurationsdatei vom Server der Täter.

Die von OddJob benutzte Technik des "Session-Hijacking" ist im Grunde schon lange bekannt. Neu ist lediglich, dass ein Schädling damit offenbar so virtuos umgehen kann. Welche Antivirusprogramme OddJob und seine Varianten bereits zuverlässig erkennen, ist nicht bekannt.

Re(13): Handy TANs sind eher UNsicherer (als Papier-TANs)

gibberish — Tue, 23 Nov 2010 15:28:13 GMT

Da rennst bei mir offenen Türen ein, ich bin felsenfest davon überzeugt, dass die mobileTAN die sicherere Lösung als jeder Zettelkram ist. Da brauch in an geklonte SIMs und sonstigen Schamott keinen weiteren Gedanken verschwenden...

Re(12): Handy TANs sind eher UNsicherer (als Papier-TANs)

AVS_reloaded — Tue, 23 Nov 2010 15:22:02 GMT

der wichtigste Part ist aber IMHO dieser da:

Jede mobileTAN wird bei Anforderung erzeugt und kann auch nur zur Unterschrift dieser Transaktion verwendet werden. Wenn die Transaktion gelöscht oder verändert wird, verfällt die mobileTAN sofort, es kann jederzeit eine neue angefordert werden.

was bedeutet: Ändere irgendwas an dem Auftrag (Empfänger, Summe) und die TAN ist sofort ungültig.
Damit tut sich der Mann in der Mitte schon verdammt schwer, wenn es ihm nicht gelingt, Bankkonto UND Hendi zu hacken.

Re(11): Handy TANs sind eher UNsicherer (als Papier-TANs)

gibberish — Tue, 23 Nov 2010 15:10:09 GMT

ich hab extra grad in der SMS von vor 1h nachgesehen

Gut, is akzeptiert!

Interessanterweise grad gefunden: https://businessnet.bankaustria.at/help/help_area/tp_allgemeineHilfe_mobileTAN:m$cc/nsindex.html#ob

Wie lange ist eine mobileTAN gültig?
Eine mobileTAN ist ab der Zustellung 30 Kalendertage gültig (bzw. bis sie korrekt verbraucht wird).

Wobei da sicher eher die Klammer zum Tragen kommt!

Re(10): Handy TANs sind eher UNsicherer (als Papier-TANs)

AVS_reloaded — Tue, 23 Nov 2010 15:02:43 GMT

5 ist besser als 10

ich pass bei der nächsten Überweisung mal genauer drauf auf!

ich hab extra grad in der SMS von vor 1h nachgesehen

Re(9): Handy TANs sind eher UNsicherer (als Papier-TANs)

gibberish — Tue, 23 Nov 2010 14:57:24 GMT

sorry, aber da irrst du: Kto + BLZ + Betrag

Mag sein, ich pass bei der nächsten Überweisung mal genauer drauf auf!

Und der TAN gilt nur für die Aktion und AFAIK nur 10min

5 Minuten in Österreich, AFAIK!

Re(8): Handy TANs sind eher UNsicherer (als Papier-TANs)

AVS_reloaded — Tue, 23 Nov 2010 14:45:52 GMT

In einer Mobile TAN der Bank Austria zB. steht lediglich die BLZ des
Empfängers drin sowie der Betrag zur Kontrolle, kein Empfängerkonto.

sorry, aber da irrst du: Kto + BLZ + Betrag
Und der TAN gilt nur für die Aktion und AFAIK nur 10min

Re(8): Handy TANs sind eher UNsicherer (als Papier-TANs)

*patrick star* — Tue, 23 Nov 2010 14:39:40 GMT

Nochmal, weils beim ersten Mal vglw. untergegangen ist: In einer Mobile TAN der Bank Austria zB. steht lediglich die BLZ des Empfängers drin sowie der Betrag zur Kontrolle, kein Empfängerkonto.

schau lieber mal genau

Re(9): [ONLINEBANKING] 16-jähriger Schüler findet 17 Banken mit ernsthaften Sicherheitslücken ...

dEUS@offline — Thu, 04 Nov 2010 14:47:58 GMT

der tan kommt per sms und gilt nur 2-3 Minuten, doch um einiges sicherer als eine tan liste die monate etc. gilt

Re(8): Handy TANs sind eher UNsicherer (als Papier-TANs)

lsr — Tue, 26 Oct 2010 19:50:08 GMT

>>ist die Zeit ned wert,

Dito.

Re(7): Handy TANs sind eher UNsicherer (als Papier-TANs)

gibberish — Tue, 26 Oct 2010 14:55:49 GMT

Das ist nach wie vor keine Quellenangabe.

Was willst hören? Den Namen meiner Firma? Willst Statistiken sehen oder die Verträge mit den Banken mit den Verkaufspreisen? Volumenstatistiken der letzten Monate, schön aufgedröselt nach Bankunternehmen? Sorry, das spielts ned. Glaubs oder glaubs ned.

Man nehme einen Man-in-the-browser-Attack um die Benutzereingaben (Betrag,
Empfaenger) Richtung Banksystem zu tuerken; einen GSM Sender (fuer das
Mobiltelefon des SMS-Empfaengers) und eine geklonte SIM fuer das Abfangen der
Original-SMS.

Wetten hätt ich mich getraut, dass diese Mär wieder aufgewärmt wird und noch immer nicht tot ist. Geh, klon mir doch mal bitte meine SIM-Karte, is ja ein leichtes, kann ja jeder so ohne weiteres. Die IMSI meiner SIM musst aber selbst rausfinden, schaffst aber sicher leicht. Schaß halt, wenn die Original-SIM und das geklonte Wunderwerk "gleichzeitig" ins Netz eingebucht sein sollten....

MIR geht es darum, dass - soferne diese Daten in der SMS drinstehen (Threadersteller) - jemand (3rd person, govt) mitlesen kann, wem ich wann was und wieviel ueberweise.

Nochmal, weils beim ersten Mal vglw. untergegangen ist: In einer Mobile TAN der Bank Austria zB. steht lediglich die BLZ des Empfängers drin sowie der Betrag zur Kontrolle, kein Empfängerkonto.
Aber Science Fiction ist halt was schönes. Für mich ist hier Schluss, ist die Zeit ned wert, sorry! Schönen Tag wünsch ich noch!

Re(6): Handy TANs sind eher UNsicherer (als Papier-TANs)

lsr — Tue, 26 Oct 2010 12:31:37 GMT

>>ist für andere tägliches Geschäft - und damit die Quelle
Das ist nach wie vor keine Quellenangabe. Mein Punkt steht. Deine Behauptung ist so gut wie meine Annahme.

>>Wie willst du eine TAN-SMS abfangen und für ein getürkte Überweisung verwenden

Das sind zwei Sachen, die beide so nicht zur Diskussion stehen.

Mein Standpunkt war, dass
a) eine SMS unsicherer ist (da leichter abfangbar und duplizierbar; weil erwartet und zeitnah zur Transaktion) als ein Papierdokument (ausserdem Klartext)

b) Es technisch moeglich waere. Man nehme einen Man-in-the-browser-Attack um die Benutzereingaben (Betrag, Empfaenger) Richtung Banksystem zu tuerken; einen GSM Sender (fuer das Mobiltelefon des SMS-Empfaengers) und eine geklonte SIM fuer das Abfangen der Original-SMS.

c) MEINE Sicherheit ist eine andere: MIR geht es darum, dass - soferne diese Daten in der SMS drinstehen (Threadersteller) - jemand (3rd person, govt) mitlesen kann, wem ich wann was und wieviel ueberweise.

Im Risikomanagement ist nicht alles binaer.

Re(5): Handy TANs sind eher UNsicherer (als Papier-TANs)

gibberish — Tue, 26 Oct 2010 07:30:44 GMT

Nur 20k Ueberweisungen pro Tag mittels SMS-TAN? Ich kann mir nicht vorstellen, dass das so wenig ist.

Laut CWsoft ja der meist verwendete Satz hier im Forum....er düfte recht haben. Was du dir "nicht vorstellen kannst" ist für andere tägliches Geschäft - und damit die Quelle. Und nicht nur für eine Bank, sondern für mehrere.

Zur Sicherheit von GSM empfehle ich die laufende Lektuere von einschlaegigen Fachpublikationen und zB den Besuch der C3's (beim letzten gab's einen super Talk dazu - und ein hauseigenes GSM-Netz).

Das ist keine Antwort - wie zu erwarten war. Nochmal konkret: Wie willst du eine TAN-SMS abfangen und für ein getürkte Überweisung verwenden, konkretes Beispiel bitte.

Re(4): Handy TANs sind eher UNsicherer (als Papier-TANs)

lsr — Tue, 26 Oct 2010 05:12:20 GMT

Zuerst ned pingelig sein und dann "korrekt runden"? Ich bin mir bewusst, wie man kaufmaennsich rundet, nur wenn ich das Porto eh nicht mitrechne, ist das genau egal. Man nennt das Ueberschlagsrechnung.

Nur 20k Ueberweisungen pro Tag mittels SMS-TAN? Ich kann mir nicht vorstellen, dass das so wenig ist. Quellen?

>>nicht oder knapp unter 4 Cent. Verhandlungsspielraum im Zehntelcent-Bereich
Banken sind anders.

>>Ja, TAN-SMS sind billiger, aber auch praktischer und - sicherer.
Dazu aeuszere ich mich mehr. Sicherheit ist immer relativ.

Zur Sicherheit von GSM empfehle ich die laufende Lektuere von einschlaegigen Fachpublikationen und zB den Besuch der C3's (beim letzten gab's einen super Talk dazu - und ein hauseigenes GSM-Netz).

Re(4): Handy TANs sind eher UNsicherer (als Papier-TANs)

lsr — Tue, 26 Oct 2010 05:04:33 GMT

Wie schon erwaehnt geht es (in diesem Beispiel) eben NICHT NUR um den TAN (sondern um den Empfaenger/Betrag der Transaktion; setzt man voraus, dass das in der SMS steht wie der Erstposter geschrieben hat).

Sinn, Unsinn, Erdapfel, Kartoffel ... es ist ein Angriffsvektor und eine Moeglichkeit. Die Anwendung ueberlasse ich dann jemandem mit mehr krimineller Energie.

Re(3): Handy TANs sind eher UNsicherer (als Papier-TANs)

*patrick star* — Mon, 25 Oct 2010 22:09:56 GMT

was machts fuer einen sinn deine sms mitzuschneiden? der tan code ist nur für die von dir eingegebenen transaktionen gültig.

Re(3): Handy TANs sind eher UNsicherer (als Papier-TANs)

gibberish — Mon, 25 Oct 2010 21:53:58 GMT

Pardon - der hat 48 TANs. Die fangen doch glatt korrekterweise bei 0 zu zaehlen an

Samma ned pingelig und ned päpstlicher als der Papst.

demzufolge kostet ein TAN: EUR 2.20/47 = EUR 0,047

Korrekterweise also 2,20 Euro/48= 0,046€ (kaufmännisch gerundet). Und genaugenommen müsste da jetzt sehr wohl noch das Porto mitberücksichitgt werden, enthalten doch auch die SMS-Kosten der Bank auch den Transport der SMS. Wie auch immer, weiter im Text:

Wenn ich eine Bank bin und sagen wir mal 100k SMS/Tag (vermutlich zu wenig geschaetzt)

Für österreichische Banken viel zu viel geschätzt, und zwar um den Faktor 5! Und das umfasst schon den TAN-Traffic PLUS reinen Info-SMS-Traffic. Und selbst bei guten Angeboten zahlst für hochqualitative Anbindungen (extrem hohe Zustellrate, top Zustellzeiten - in Österreich gilt ein mobiler TAN nur 5 Minuten! -, DLRs on board, Protokoll wahlweise smpp oder http, freier Absender, nicht oder knapp unter 4 Cent. Verhandlungsspielraum im Zehntelcent-Bereich bei Mengensprüngen jeweils 500k/Monat!
Ja, TAN-SMS sind billiger, aber auch praktischer und - sicherer.
Dafür, wie du eine SMS (deren Inhalt die Bnak und der Kunde kennt) und die bei meiner Bank zB. lediglich die Empfänger-BLZ (keine Kto.Nr.!) sowie zur Kontrolle den Betrag beeinhält, am Weg zum Kunden abfangen willst, bist du noch die Erklärung schuldig - die würde mich brennend interessieren.

Re(2): Handy TANs sind eher UNsicherer (als Papier-TANs)

lsr — Mon, 25 Oct 2010 20:51:57 GMT

Meine Aussage ist weniger richtig wenn man davon ausgeht, dass das Hostsystem kompromittiert ist. Das mag bei einem 0815 DAU zutreffen - bei mir aber nicht.

Ich fuer mich bewerte das Risiko, welches durch die Moeglichkeit des Abschnorchelns MEINER Transaktionsdaten auf dem Wege einer SMS entsteht hoeher als jenes eines kompromittierten Hostsystems. Weil das Hostsystem steht unter MEINER Kontrolle - der SMS Weg nicht.

Zu den Kosten siehe hier:

http://forum.geizhals.at/t722616,6205884.html#6205884

(Dazu zwei Wahrheiten: Analog ist IMMER teurer; und die Banken arbeiten VERDAMMT kostenoptimal - vor allem bei so Faessern ohne Boden wie Retail bzw. Zahlungsverkehr - der ist naemlich immer schwer defizitaer.)

Edit: Wobei hier 'defizitaer' noch nichtmal iSv rote Zahlen verstanden werden muss; sobald der Bereich-ROI kleiner als der Durchschnitt ist, verschlechtert er schon das Gesamtergebnis ... wie eh ueberall...

Re(2): Handy TANs sind eher UNsicherer (als Papier-TANs)

lsr — Mon, 25 Oct 2010 20:51:57 GMT

Meine Aussage ist weniger richtig wenn man davon ausgeht, dass das Hostsystem kompromittiert ist. Das mag bei einem 0815 DAU zutreffen - bei mir aber nicht.

Ich fuer mich bewerte das Risiko, welches durch die Moeglichkeit des Abschnorchelns MEINER Transaktionsdaten auf dem Wege einer SMS entsteht hoeher als jenes eines kompromittierten Hostsystems. Weil das Hostsystem steht unter MEINER Kontrolle - der SMS Weg nicht.

Zu den Kosten siehe hier:

http://forum.geizhals.at/t722616,6205884.html#6205884

(Dazu zwei Wahrheiten: Analog ist IMMER teurer; und die Banken arbeiten VERDAMMT kostenoptimal - vor allem bei so Faessern ohne Boden wie Retail bzw. Zahlungsverkehr - der ist naemlich immer schwer defizitaer.)

Edit: Wobei hier 'defizitaer' noch nichtmal iSv rote Zahlen verstanden werden muss; sobald der Bereich ROI kleiner als der Durchschnitt hat, verschlechtert er schon das Gesamtergebnis ... wie eh ueberall...

Re(2): Handy TANs sind eher UNsicherer (als Papier-TANs)

lsr — Mon, 25 Oct 2010 20:51:57 GMT

Re(2): Handy TANs sind eher UNsicherer (als Papier-TANs)

lsr — Mon, 25 Oct 2010 20:45:13 GMT

Das weis ich nicht; aber durchschnittlich kostet ein zu 100 % automatisierter Geschaeftsbrief aus der Druckstrasse (Erstellung, Papier, Druck, Falz, Kurvertierung, KEIN Porto) ca EUR 2.20 (Quelle: Vorlesung - ca 2004).

Ein TAN Brief hat 47 TANs, demzufolge kostet ein TAN: EUR 2.20/47 = EUR 0,047 (nota bene - noch immer kein Porto)

Da ist noch nicht eingerechnet, dass man ein komplettes TAN Set verlieren und sperren lassen kann (deshalb sind die wahren Kosten vermutlich hoeher).

Wenn ich eine Bank bin und sagen wir mal 100k SMS/Tag (vermutlich zu wenig geschaetzt) einkaufe, dann zahle ich SICHER keine 4 Cent pro SMS (fairerweise sind da die Kosten fuer die IT noch nicht drin; ich glaube aber, das ist umgelegt nicht so signifikant).

Ich habe zwar 4yrs im der Bank-IT gearbeitet - aber nur nicht im Retail (thank god).

Edit: Pardon - der hat 48 TANs. Die fangen doch glatt korrekterweise bei 0 zu zaehlen an .

Re(2): Handy TANs sind eher UNsicherer (als Papier-TANs)

lsr — Mon, 25 Oct 2010 20:45:13 GMT

Das weis ich nicht; aber durchschnittlich kostet ein zu 100 % automatisierter Geschaeftsbrief aus der Druckstrasse (Erstellung, Papier, Druck, Falz, Kurvertierung, KEIN Porto) ca EUR 2.20 (Quelle: Vorlesung - ca 2004.

Ein TAN Brief hat 47 TANs, demzufolge kostet ein TAN: EUR 2.20/47 = EUR 0,047 (nota bene - noch immer kein Porto)

Da ist noch nicht eingerechnet, dass man ein komplettes TAN Set verlieren und sperren lassen kann (deshalb sind die wahren Kosten vermutlich hoeher).

Wenn ich eine Bank bin und sagen wir mahl 100k SMS/Tag (vermutlich zu wenig geschaetzt) einkaufe, dann zahle ich SICHER keine 4 Cent pro SMS (fairerweise sind da die Kosten fuer die IT noch nicht drin; ich glaube aber, das ist umgelegt nicht so signifikant).

Ich habe zwar 4yrs im der Bank-IT gearbeitet - aber nur nicht im Retail (thank god).

Re(2): Handy TANs sind eher UNsicherer (als Papier-TANs)

lsr — Mon, 25 Oct 2010 20:45:13 GMT

Das weis ich nicht; aber durchschnittlich kostet ein zu 100 % automatisierter Geschaeftsbrief aus der Druckstrasse (Erstellung, Papier, Druck, Falz, Kurvertierung, KEIN Porto) ca EUR 2.20 (Quelle: Vorlesung - ca 2004).

Ein TAN Brief hat 47 TANs, demzufolge kostet ein TAN: EUR 2.20/47 = EUR 0,047 (nota bene - noch immer kein Porto)

Da ist noch nicht eingerechnet, dass man ein komplettes TAN Set verlieren und sperren lassen kann (deshalb sind die wahren Kosten vermutlich hoeher).

Wenn ich eine Bank bin und sagen wir mahl 100k SMS/Tag (vermutlich zu wenig geschaetzt) einkaufe, dann zahle ich SICHER keine 4 Cent pro SMS (fairerweise sind da die Kosten fuer die IT noch nicht drin; ich glaube aber, das ist umgelegt nicht so signifikant).

Ich habe zwar 4yrs im der Bank-IT gearbeitet - aber nur nicht im Retail (thank god).

Re(2): Handy TANs sind eher UNsicherer (als Papier-TANs)

lsr — Mon, 25 Oct 2010 20:45:13 GMT

Das weis ich nicht; aber durchschnittlich kostet ein zu 100 % automatisierter Geschaeftsbrief aus der Druckstrasse (Erstellung, Papier, Druck, Falz, Kurvertierung, KEIN Porto) ca EUR 2.20 (Quelle: Vorlesung - ca 2004).

Ein TAN Brief hat 47 TANs, demzufolge kostet ein TAN: EUR 2.20/47 = EUR 0,047 (nota bene - noch immer kein Porto)

Da ist noch nicht eingerechnet, dass man ein komplettes TAN Set verlieren und sperren lassen kann (deshalb sind die wahren Kosten vermutlich hoeher).

Wenn ich eine Bank bin und sagen wir mahl 100k SMS/Tag (vermutlich zu wenig geschaetzt) einkaufe, dann zahle ich SICHER keine 4 Cent pro SMS (fairerweise sind da die Kosten fuer die IT noch nicht drin; ich glaube aber, das ist umgelegt nicht so signifikant).

Ich habe zwar 4yrs im der Bank-IT gearbeitet - aber nur nicht im Retail (thank god).

Edit: Pardon - der hat 48 TANs. Die fangen doch glatt korrekterweise bei 0 zu zaehlen an .

Re: Handy TANs sind eher UNsicherer (als Papier-TANs)

gibberish — Fri, 22 Oct 2010 18:33:18 GMT

Der einzige Grund fuer SMS-TANs und gegen Papier TANs ist, dass letztere teurer fuer die Banken sind.

Das würd mich jetzt genauer interessieren: Was meinst, was eine Bank für eine TAN-SMS in Österreich bezahlt?

Re: Handy TANs sind eher UNsicherer (als Papier-TANs)

*patrick star* — Fri, 22 Oct 2010 18:06:05 GMT

Deine Aussage ist imho nicht richtig;

Solange du das Banking nicht auf dem gleichen Device bedienst, das auch den Tan empfängt, ist der SMS Tan einfach ein anderer Channel und das bietet mehr Sicherheit.

Faked dir ein Trojaner im Browser etwas vor und sendet im Hintergrund andere Daten an den Bankserver hat er keine Möglichkeit die Daten der SMS zu manipulieren. In der SMS siehst du, das auf dem Bankrechner andere Konten angegeben wurden, egal was dir im Browser gezeigt wird. Das System steht und fällt mit der Kontrolle der SMS Daten (Empfängerkonto, Betrag) durch den Empfänger.

und btw. du meinst wirklich das ein Brief mit 50 Tans darauf teurer ist als 50 SMS? kann ich mir nicht vorstellen.

Re(12): [ONLINEBANKING] 16-jähriger Schüler findet 17 Banken mit ernsthaften Sicherheitslücken ...

Oliver_nur echt mit 2 Kastratern und Daisy! — Sat, 16 Oct 2010 21:44:15 GMT

Was hat dich denn an seiner Behauptung, dass man XSS unter anderem zum Phishing verwenden könnte, so gestört? Hältst du das für falsch?

Re: [ONLINEBANKING] 16-jähriger Schüler findet 17 Banken mit ernsthaften Sicherheitslücken ...

Oliver_nur echt mit 2 Kastratern und Daisy! — Sat, 16 Oct 2010 21:15:11 GMT

Das kommt davon, wenn die Controller ständig wegen jedem Euro raunzen. Vor lauter Sparen hatte offenbar wieder eine Entwicklergeneration bei den Banken zu wenig Zeit, mit der Netzgeiß zu spielen. Aber zumindest die -in der Regel älteren- Architects müssten doch die OWASP Top 10 von vor drei Jahren nicht gleich völlig vergessen haben.

Mir scheint, da tut sich eine neue Geldquelle auf, indem wir den Herrschaften das Ergebnis eines FH-Projekts als supertolle teure Beratungsdienstleistung anbieten.

Re(4): [ONLINEBANKING] 16-jähriger Schüler findet 17 Banken mit ernsthaften Sicherheitslücken ...

Hardware_Crash — Fri, 15 Oct 2010 22:10:57 GMT

hier

Re(11): [ONLINEBANKING] 16-jähriger Schüler findet 17 Banken mit ernsthaften Sicherheitslücken ...

fatbox — Tue, 12 Oct 2010 13:40:11 GMT

Der Troll bist hier nur DU!
Ohne Hintergrundwissen Links zu posten ist nicht gerade klug

Re(10): [ONLINEBANKING] 16-jähriger Schüler findet 17 Banken mit ernsthaften Sicherheitslücken ...

SinnFrei — Tue, 12 Oct 2010 13:17:18 GMT

Geh ins Heise Forum trollen. Mehr als ein Howto kann ich nun auch nicht als Argument liefern...

Re(10): [ONLINEBANKING] 16-jähriger Schüler findet 17 Banken mit ernsthaften Sicherheitslücken ...

SinnFrei — Tue, 12 Oct 2010 13:17:18 GMT

Geh ins Heise Forum trollen. Mehr als ein ~~Howto~~ Proof-Of-Concept kann ich nun auch nicht als Argument liefern...

Re(9): [ONLINEBANKING] 16-jähriger Schüler findet 17 Banken mit ernsthaften Sicherheitslücken ...

fatbox — Tue, 12 Oct 2010 10:28:28 GMT

Ich bleibe auch dabei: Du hast keine Ahnung.
Gehe andere Leute ärgern

Re(8): [ONLINEBANKING] 16-jähriger Schüler findet 17 Banken mit ernsthaften Sicherheitslücken ...

SinnFrei — Tue, 12 Oct 2010 09:59:50 GMT

Keine Antwort ist auch eine Antwort...

Ich bleib dabei, XSS Lücken kann man zum Phishen nutzen:
http://www.xssed.com/article/5/Paper_Applying_XSS_to_Phishing_Attacks/

Re(5): [ONLINEBANKING] 16-jähriger Schüler findet 17 Banken mit ernsthaften Sicherheitslücken ...

cwa — Mon, 11 Oct 2010 09:58:08 GMT

Signatur- bzw. Bürgerkarte. Seit ca. einem Jahr auf der e-card aktiviert. Erledige damit bis jetzt ohne Probleme Finanzonline, e-Behördengänge und online banking.
Nachdem sowohl mein privates als auch berufliches Notebook einen Kartenleser haben muss ich keinen externen mitschleppen (womit ichs mir schon wieder überlegen würde)

Re(3): Handy TANs sind eher UNsicherer (als Papier-TANs)

extrem_oaga_nick — Mon, 11 Oct 2010 05:18:08 GMT

wie gesagt in meiner sms steht nur die kontonummer des empfängers drinnen - kein betrag, keine bankleitzahl, kein name ...

Re(4): Handy TANs sind eher UNsicherer (als Papier-TANs)

lsr — Mon, 11 Oct 2010 05:08:40 GMT

Ja.

Re(2): Handy TANs sind eher UNsicherer (als Papier-TANs)

lsr — Mon, 11 Oct 2010 05:07:57 GMT

>>da kommt ne sms mit kontonummer des empfängers und 4 stelligem code
Ich bezog mich auf http://forum.geizhals.at/t722616,6186406.html#6186406

>>da musst ja vorher schon in meinem onlinebanking drinnen sein.
Ja.

Re: Handy TANs sind eher UNsicherer (als Papier-TANs)

extrem_oaga_nick — Sun, 10 Oct 2010 19:03:20 GMT

Im Gegensatz kann bei einem SMS-TAN so ziehmlich "jeder" mitlesen, der wissen
will, wem ich wann wieviel ueberweise.

da kommt ne sms mit kontonummer des empfängers und 4 stelligem code - und daraus kannst du ableiten wem ich wieviel überweise? da musst ja vorher schon in meinem onlinebanking drinnen sein.

Re: [ONLINEBANKING] 16-jähriger Schüler findet 17 Banken mit ernsthaften Sicherheitslücken ...

t.pratchett — Sun, 10 Oct 2010 16:16:10 GMT

schon unglaublich,dass sich die Banken dann dafür nicht mal interessieren...

Das Geld ist ja trotzdem weg und kommt dem organisierten Verbrechen zu gute..

Re(3): Handy TANs sind eher UNsicherer (als Papier-TANs)

Bart Simpson — Sun, 10 Oct 2010 15:09:11 GMT

wennn ich richtig informiert bin, funktioniert ja der sms-tan nur für die EINE transaktion, die ich gerade wegsenden will... die sms-tan würde, für eine ganz andere transaktion gar nicht funktionieren...

Re(5): Handy TANs sind eher UNsicherer (als Papier-TANs)

User220621 — Sun, 10 Oct 2010 14:09:45 GMT

Die Erste ist nicht österreichisch?
Nicht alle Menschen sind bei Österreichischen Banken, nur weil sie in Ö leben.

Re(3): Handy TANs sind eher UNsicherer (als Papier-TANs)

Superflo — Sun, 10 Oct 2010 13:49:48 GMT

OK, aber ich mach das 1-2x im Monat, dass ich online eine Überweisung tätige. Da müsste es jemand schon wirklich auf mich abgesehen haben, dass er mich per phising übers Ohr haut UND viele Wochen meinen GSM-Funkverkehr abhört. Die Gefahr dürfte in meinem Fall gegen 0 gehen.

Re(8): [ONLINEBANKING] 16-jähriger Schüler findet 17 Banken mit ernsthaften Sicherheitslücken ...

SinnFrei — Sun, 10 Oct 2010 13:48:31 GMT

Arrrrrr echt ihr Österreicher habt einfach keine Diskussionskultur[1]... wenn ich deiner Meinung nach etwas falsch rüber bring / verstanden habe dann erkläre doch bitte was, statt "Halt die Fresse, du hast keine Ahnung" zu schreiben!

[1] http://forum.geizhals.at/t720909,6170484.html#6170484 mal sehen, wie lang die Rekursion wird...

Re(7): [ONLINEBANKING] 16-jähriger Schüler findet 17 Banken mit ernsthaften Sicherheitslücken ...

fatbox — Sun, 10 Oct 2010 12:05:58 GMT

Du brauchst mir hier nicht Wiki und Co zitieren... Ich sehe das du trotzdem keine Ahnung hast. Deine Panikmacherei ist nur lächerlich.

Re(4): Handy TANs sind eher UNsicherer (als Papier-TANs)

reisi1990 — Sun, 10 Oct 2010 11:49:31 GMT

Was interessieren mich nicht-österreichische Banken?

Re(3): Handy TANs sind eher UNsicherer (als Papier-TANs)

User220621 — Sun, 10 Oct 2010 11:46:04 GMT

Ok, bei der Erste, UBS, Credit Suisse und Postbank steht es jedenfalls nicht drin. Bei der Deutschen Bank wenn ich mich richtig erinnere auch nicht.

Re(2): Handy TANs sind eher UNsicherer (als Papier-TANs)

Winnie_Pooh — Sun, 10 Oct 2010 11:44:02 GMT

Re(2): Handy TANs sind eher UNsicherer (als Papier-TANs)

lsr — Sun, 10 Oct 2010 10:06:43 GMT

ad 1): Danke (mein spellcheck ist auf en-us eingestellt).
ad 2): Es ist Klartext ueber ein oeffentliches Netz. Was ist da zu erklaeren?

(Addendum zu 2: Argumente wie "GSM ist encrypted" oder "kein oeffentliches Netz" lasse ich nicht gelten. Die GSM Verschluesselung ist ein Witz, und mitzuhoeren ist beileibe kein keine Kunst. Ausserdem ist die SMS zeitlich transaktionsnah und daher zuordenbar - meine Papier-TANs kommen zeitlich Wochen versetzt - und 30 auf einmal.)

Re(6): [ONLINEBANKING] 16-jähriger Schüler findet 17 Banken mit ernsthaften Sicherheitslücken ...

SinnFrei — Sun, 10 Oct 2010 08:37:12 GMT

Wut? XSS = Cross Site Scripting aus Wikipedia:

Ein klassisches Beispiel für Cross-Site Scripting ist die Übergabe von Parametern an ein serverseitiges Skript, das eine dynamische Webseite erzeugt. Dies kann etwa das Eingabeformular einer Webseite sein, wie in Webshops, Foren, Blogs und Wikis üblich. Die eingegebenen Daten werden auf der Webseite wieder als Seiteninhalt ausgegeben, wenn die Seite von Benutzern aufgerufen wird. So ist es möglich, manipulierte Daten an alle Benutzer zu senden, sofern das Serverskript dies nicht verhindert. Diese Daten sind oft Code einer clientseitigen Skriptsprache (meist JavaScript).

Häufige Angriffsarten sind das Entführen von Benutzer-Sessions, Website-Defacements, das Einstellen negativer Inhalte, Phishing-Angriffe und die Übernahme der Kontrolle des Benutzerbrowsers.

Re(5): [ONLINEBANKING] 16-jähriger Schüler findet 17 Banken mit ernsthaften Sicherheitslücken ...

fatbox — Sun, 10 Oct 2010 06:37:08 GMT

Ehm... Du weisst nicht was XSS bedeutet, oder?
Gibs einfach zu... und poste heir kein misst...

danke

Re: Handy TANs sind eher UNsicherer (als Papier-TANs)

Justin B. — Sun, 10 Oct 2010 02:29:42 GMT

Im Gegensatz kann bei einem SMS-TAN so ziehmlich "jeder" mitlesen, der wissen
will, wem ich wann wieviel ueberweise.

1. ziemlich - ohne h
2. dann erklär doch mal

Re: Handy TANs sind eher UNsicherer (als Papier-TANs)

Superflo — Sat, 09 Oct 2010 21:28:51 GMT

Im Gegensatz kann bei einem SMS-TAN so ziehmlich "jeder" mitlesen, der wissen
will, wem ich wann wieviel ueberweise.

Und wie? Ist es so trivial, SMS abzuhören?

Re(3): Handy TANs sind eher UNsicherer (als Papier-TANs)

Kub — Sat, 09 Oct 2010 21:00:02 GMT

für bank austria ebenso nicht.

Re(4): [ONLINEBANKING] 16-jähriger Schüler findet 17 Banken mit ernsthaften Sicherheitslücken ...

SinnFrei — Sat, 09 Oct 2010 21:00:01 GMT

In Deutschland eigentlich noch üblich afaik.

Re(4): [ONLINEBANKING] 16-jähriger Schüler findet 17 Banken mit ernsthaften Sicherheitslücken ...

SinnFrei — Sat, 09 Oct 2010 20:58:37 GMT

Hmmm nö, wie auf den Bildern zu sehen ist, kann man mit XSS beliebigen HTML-Code in die Seiten einbauen... also auch einfach die Seite nachbauen und einen Login Screen / Überweisungsformular faken, das die Daten an einen anderen Server schickt.

Re(2): Handy TANs sind eher UNsicherer (als Papier-TANs)

reisi1990 — Sat, 09 Oct 2010 20:15:09 GMT

Mitlesen wieviel du überweist kann genauso niemand, da diese Information nicht
in der SMS steht.

Stimmt zumindest für Raiffeisen nicht.

Re: Handy TANs sind eher UNsicherer (als Papier-TANs)

User220621 — Sat, 09 Oct 2010 20:10:12 GMT

Eure SMS-TANs nennt man TAC und die sind vom Sicherheitsaspekt genau gleich wie TANs, haben aber erhöhten Komfort für den Kunden und vereinfachen die Arbeit.

Mitlesen wieviel du überweist kann genauso niemand, da diese Information nicht in der SMS steht.

Handy TANs sind eher UNsicherer (als Papier-TANs)

lsr — Sat, 09 Oct 2010 19:53:54 GMT

IMHO sind Papier-TAN-Listen OTP (One-Time-PADs) und "[...] informationstheoretisch sicher und kann nachweislich nicht gebrochen werden".

Im Gegensatz kann bei einem SMS-TAN so ziehmlich "jeder" mitlesen, der wissen will, wem ich wann wieviel ueberweise.

Nein Danke.

Edith: Der einzige Grund fuer SMS-TANs und gegen Papier TANs ist, dass letztere teurer fuer die Banken sind.

Handy TANs sind eher UNsicherer (als Papier-TANs)

lsr — Sat, 09 Oct 2010 19:53:54 GMT

Handy TANs sind eher UNsicherer (als Papier-TANs)

lsr — Sat, 09 Oct 2010 19:53:54 GMT

IMHO sind Papier-TAN-Listen OTP (One-Time-PADs) und "[...] informationstheoretisch sicher und kann nachweislich nicht gebrochen werden".

Im Gegensatz kann bei einem SMS-TAN so ziehmlich "jeder" mitlesen, der wissen will, wem ich wan wieviel ueberweise.

Nein Danke.

Edith: Der einzige Grund fuer SMS-TANs und gegen Papier TANs ist, dass letztere teurer fuer die Banken sind.

Re(8): [ONLINEBANKING] 16-jähriger Schüler findet 17 Banken mit ernsthaften Sicherheitslücken ...

Maxl — Sat, 09 Oct 2010 19:06:01 GMT

vorerst fühle ich mich mit dieser Variante jedenfalls recht sicher.Quote

wobei es da selbstverständlich auch keine 100%ige sicherheit gibt, wenn man sich blöd anstellt.
http://www.heise.de/mobil/meldung/Banking-Trojaner-ZeuS-nimmt-SMS-TAN-Verfahren-ins-Visier-1096613.html

Re(8): [ONLINEBANKING] 16-jähriger Schüler findet 17 Banken mit ernsthaften Sicherheitslücken ...

robotti — Sat, 09 Oct 2010 18:47:23 GMT

Ich weiß nicht, wielange diese mobile-TAN gilt

Bei der Raiba exakt 5 Minuten.

Re(9): [ONLINEBANKING] 16-jähriger Schüler findet 17 Banken mit ernsthaften Sicherheitslücken ...

extrem_oaga_nick — Sat, 09 Oct 2010 18:36:09 GMT

ich dachte ich muss jetzt für eine überweisung anrufen

das hats glaub ich auch sogar schon mal gegeben.

Re(8): [ONLINEBANKING] 16-jähriger Schüler findet 17 Banken mit ernsthaften Sicherheitslücken ...

Kub — Sat, 09 Oct 2010 18:22:21 GMT

http://forum.geizhals.at/t722616,6186412.html#6186412

Re(8): [ONLINEBANKING] 16-jähriger Schüler findet 17 Banken mit ernsthaften Sicherheitslücken ...

Kub — Sat, 09 Oct 2010 18:20:33 GMT

ahsooo, das hat ja hoffentlich eh jeder. mich hats verwirrt, weil der tan ja weiterhin besteht, aber er halt per sms daher kommt.
ich dachte ich muss jetzt für eine überweisung anrufen

Re(8): [ONLINEBANKING] 16-jähriger Schüler findet 17 Banken mit ernsthaften Sicherheitslücken ...

Kub — Sat, 09 Oct 2010 18:20:33 GMT

ahsooo, das hat ja hoffentlich eh jeder. mich hats verwirrt, weil geschrieben wurde:

wer macht den onlinebanking heutzutage noch mit tan/pin?

der tan besteht ja weiterhin, aber kommt halt per sms daher.
ich dachte ich muss jetzt für eine überweisung anrufen

Re(7): [ONLINEBANKING] 16-jähriger Schüler findet 17 Banken mit ernsthaften Sicherheitslücken ...

Superflo — Sat, 09 Oct 2010 18:10:08 GMT

In dem Moment, wo du Deine Überweisungen "unterschreiben", also auf den Weg bringen willst, bekommst Du eine SMS mit der TAN drinnen. In dieser SMS steht auch drin, wieviel ich an welche Kontonummer überweisen will. Ich weiß nicht, wielange diese mobile-TAN gilt... vorerst fühle ich mich mit dieser Variante jedenfalls recht sicher.

Re(5): [ONLINEBANKING] 16-jähriger Schüler findet 17 Banken mit ernsthaften Sicherheitslücken ...

extrem_oaga_nick — Sat, 09 Oct 2010 18:05:16 GMT

eben, ich auch.

Re(7): [ONLINEBANKING] 16-jähriger Schüler findet 17 Banken mit ernsthaften Sicherheitslücken ...

extrem_oaga_nick — Sat, 09 Oct 2010 18:04:59 GMT

statt tanliste bekommst ne sms.

Re(6): [ONLINEBANKING] 16-jähriger Schüler findet 17 Banken mit ernsthaften Sicherheitslücken ...

Kub — Sat, 09 Oct 2010 17:14:38 GMT

etwas detailierter bitte

Re(4): [ONLINEBANKING] 16-jähriger Schüler findet 17 Banken mit ernsthaften Sicherheitslücken ...

Superflo — Sat, 09 Oct 2010 17:06:42 GMT

Naja, ich verwende zumindest die mobil-TAN, die TAN Nummer gilt also nur in dem Moment, in dem ich sie aufs Telefon bekomme. Halte ich für relativ sicher, dat janze...

Re(3): [ONLINEBANKING] 16-jähriger Schüler findet 17 Banken mit ernsthaften Sicherheitslücken ...

fatbox — Sat, 09 Oct 2010 16:44:18 GMT

XSS? Daten einsehen ist 1, aber DAten abfragen?
Ist das nicht etwas weit hergeholt?

Re(5): [ONLINEBANKING] 16-jähriger Schüler findet 17 Banken mit ernsthaften Sicherheitslücken ...

fatbox — Sat, 09 Oct 2010 16:43:31 GMT

Telefon...

Re(4): [ONLINEBANKING] 16-jähriger Schüler findet 17 Banken mit ernsthaften Sicherheitslücken ...

Kub — Sat, 09 Oct 2010 16:40:28 GMT

alternativen?

Re(3): [ONLINEBANKING] 16-jähriger Schüler findet 17 Banken mit ernsthaften Sicherheitslücken ...

extrem_oaga_nick — Sat, 09 Oct 2010 14:44:30 GMT

wer macht den onlinebanking heutzutage noch mit tan/pin?

Re(3): [ONLINEBANKING] 16-jähriger Schüler findet 17 Banken mit ernsthaften Sicherheitslücken ...

Private James — Sat, 09 Oct 2010 12:21:20 GMT

Kenne nur einen Fall, bei dem sowas passiert ist und die Bank den Schaden übernommen hat.
Kommt natürlich auf Bank drauf an - und wahrscheinlich noch viel viel mehr ob der Fall in den Medien breitgetreten wird oder nicht.

Re(2): [ONLINEBANKING] 16-jähriger Schüler findet 17 Banken mit ernsthaften Sicherheitslücken ...

SinnFrei — Sat, 09 Oct 2010 12:02:21 GMT

Buahaha na dann beweise mal, dass nicht du die PIN und TAN eingegeben hast, die dir m.H. von XSS geklaut wurden....

Re: [ONLINEBANKING] 16-jähriger Schüler findet 17 Banken mit ernsthaften Sicherheitslücken ...

Private James — Sat, 09 Oct 2010 11:55:16 GMT

Solang die Banken für Ihre Sicherheitslücken auch gradestehen, ist mir das ziemlich wurscht.

[ONLINEBANKING] 16-jähriger Schüler findet 17 Banken mit ernsthaften Sicherheitslücken ...

@thehop — Sat, 09 Oct 2010 09:52:23 GMT

hm, tschörmany ... bei uns wird das wohl gaaanz anders sei ... ^^

Online-Banking | 16-Jähriger findet 17 Banken-Sicherheitslücken
http://www.spiegel.de/netzwelt/web/0,1518,722049,00.html

Hannover - Bei vier von fünf untersuchten Banken fand der Schüler Sicherheitslücken, die eine Manipulation im Browser bei der Nutzung von Online-Banking ermöglichen. "Erstaunlich war auch die Reaktion der Banken", sagt "c't"-Redakteur Jürgen Schmidt.
http://www.heise.de/ct/meldung/16-jaehriger-demonstriert-Sicherheitsluecken-bei-17-Banken-1104841.html
"Es war gar nicht so einfach, die richtigen Ansprechpartner für diese Probleme zu finden." Trauriger Tiefpunkt sei die Deutsche Bank gewesen, bei der über zwei Wochen mehrere Anläufe über verschiedene Kanäle ins Leere gelaufen seien. Positiv sei dagegen die Postbank aufgefallen, die innerhalb weniger Stunden reagiert und das Loch noch am selben Tag zumindest provisorisch geschlossen habe.

... bla ...

Die Cross-Site-Scripting-Technik http://www.spiegel.de/wikipedia/Cross-Site_Scripting.html funktioniert so:

Dabei wird in einen Link zu einer Bankenseite - der etwa per E-Mail verschickt werden könnte - ein eigener Softwarecode eingebettet. Die Systeme der Banken sollten diesen eingeschmuggelten Code eigentlich erkennen und unschädlich machen, doch das passiert augenscheinlich allzu oft nicht. Die aus anderer Quelle nachgeladene Software kann dann aktiv werden und beispielsweise Passwort-Eingaben aufzeichnen. In der als vertrauenswürdig wahrgenommenen Umgebung der echten Banken-Seite können so heimlich nicht vorgesehene Aktionen durchgeführt werden - eine Gefahr, vor der sich die Entwickler der Banken-Software schützen könnten.