Sicherheitsfragen

Ihr habt so eine schöne Diskussion über die verschiedenen Sicherungsmethoden geführt im FinTS HBCI-PIN/TAN Forum (Thema "Smart TAN").

Auch wenns schon paar Tage alt ist das Thema, ich hab da nochmal 2 Fragen, die ich aber lieber hier stelle als im öffentlichen:

1. Warum muß es in einem Fehlversuch enden, wenn die indizierte TAN nicht eingegeben wird. Hätte doch gereicht, wenn die TAN ungültig wird. So provoziert man nur viele Sperrungen von Teilnehmern und einen haufen Aufwand oder?

2. Ist es eigentlich irgendwie möglich, mit aktuellen "Mitteln" Kunden die Software (SFIRM32, SM,...) nutzen per phishing zu schaden? Ich mein die Eingaben der Tastatur mitzuschreiben geht sicherlich per Trojaner o.ä., aber eigentlich sollte doch das verbrauchen der TAN nicht verhindert werden können, da die Übertragung doch per HBCI-Protokell erfolgt oder? Irgendwie müßte es der Angreifer ja verhindern, dass die TAN verbraucht wird.

Gibt es überhaupt schon Fälle, wo Kunden die HB-Software genutzt haben zu Schaden kamen oder beziehen sich alle Fälle auf Internetangebote? Ich kenne bis jetzt nur Fälle per Internet!

Danke für die Infos.

Enrico

@Mike
Das ist doch eine sehr theoretische Möglichkeit.

Beim Phishing komme ich nur an 1-2 TAN ran und die wären dann am Ende der Session verbraucht. Und wenn ich an die Liste irgendwie physisch rankomme, dann kopiere ich mir keinen Teil sondern alles.

Und wenns um Phishing geht würde verbrauchen völlig ausreichen, für alles andere (TAN-Liste gestolen, kopiert, ....) hilft nichts außer TAN-Liste sperren.

@bt

Ich dachte aber weniger an diese mail-Variante, die je mehr auf der Unwissenheit mancher Kunden basiert, sondern eher die doch relativ schwer zu erkennenden per Trojaner.

Es geht mir dabei am Ende um meine SFIRM32 Kunden (aber auch allgemein mal interessant), die wie ich denke nie außerhalb von SFIRM irgendwelche PIN/TAN nutzen, da ich Sie darauf hingewiesen habe.

Mich interessiert eigentlich besonders, ob es irgendwie möglich ist die Übertragung per HBCI-Protokoll irgendwie zu manipulieren. Ich hoffe einfach mal nicht und bin eigentlich immer davon ausgegangen.

Enrico

Das sollte ein gutes Homebanking-Programm allerdings auch feststellen.
Es sollte das Zertifikat speichern und beim Kontakt mit der Bank dieses vergleichen und bei Unstimmigkeiten den Benutzer warnen (so machen es zumindest die AqBanking-basierten Programme).

Daher sehe ich die Gefahr der fingierten Verbindung auch als vergleichsweise gering an. Gefaehrlicher sind da IMHO Trojaner.

Hmm, wenn man aber genauer drueber nachdenkt... Ok, es waere eine Menge Aufwand fuer einen Trojaner, aber der Gedanke mit dem Aendern der URL und unterschieben eines neuen Zertifikates ist ein interessanter... Ich denke, ich werde da mal einen entsprechenden Hinweis einbauen.

In AqBanking koennte man das zumindest so loesen, dass man das Zertifikats-Verzeichnis fuer den Benutzer schreibschuetzt (bzw. sogar einem anderen Benutzer zuordnet). Dann kann der Benutzer selbst (oder ein Trojaner) hier kein neues Zertifikat unterschieben...


Gruss
Martin

Geht halt nicht - wie gesagt, der fiese Angreifer tauscht natürlich das Zertifikat, so dass es wieder zu der Zieladresse passt.
Ich gehe davon aus, dass die meisten Programme bei Zertifikats-Unstimmigkeiten entweder den User warnen und ihm erlauben, das neue Zertifikat zu installieren (DDBAC-basierte Produkte arbeiten so) oder schlicht gar keine Kommunikation aufbauen (PPI-basierte und AFAIK auch StarFinanz-basierte Progs).



Einfacher wäre es IMHO, die Zertifikate nochmals verschlüsselt zu speichern, das sollte jedem Trojaner den Zahn ziehen, oder?

Gruß
BW

Du kennst das doch:

2 Anwälte, 3 Meinungen