Hallo,
in der Regel nutzte ich StarMoney 7.0 mit HBCI Chip und
Reiner cyberJack e-com (Klasse 3) Leser.
Damit gab es all die Jahre noch nie ein Sicherheitsproblem.
Als zweite Lösung bei einem Ausfall der Ersten und für Giropay habe ich die iTan Liste deaktiviert und mir einen ChipTan Generator zugelegt.(Reiner)
Dieser arbeitet im Portal,aber auch mit StarMoney mit Flickercode zur Kontrolle der versendeten Daten.(Kontonummer und Summe)
Bei Sammelüberweisungen wird hierbei jedoch nur der Gesamtbetrag und die Anzahl der Buchungen übermittelt.
(Keine Kontonummern)
Hierbei soll es möglich sein,dass bei "Man in the Middle" Angriffen eine nicht bemerkbare Manipulation der Zielkontonummern erfolgen kann.
Bei dieser Angriffsart wird meines Wissens nach der Rechner des Opfers im Bereich der Domain Name/IP Auflösung durch betrügerische Einträge in der Windows Hosts manipuliert.Dabei kommt es zu einem Umlenken von der Bankseite hin zu der Seite des Betrügers.(Immer vorausgesetzt die Sicherheitssoftware auf dem PC kann dies nicht verhindern)
Mit dem Betrüger wird dann eine Verbindung aufgebaut,die durchaus auch SSL gesichert sein kann.(Das hier verwendete Zertifikat müsste sich ja eindeutig von dem der Bank unterscheiden(Domain und SHA1 Print etc.)
Der Angreifer baut dann seinerseits eine Verbindung zur Bank des Opfers auf und leitet die Daten mit Hilfe von Scripten in Echtzeit und mit verfälschten Zielkontonummern weiter.
Soweit, so schlecht...
Liege ich richtig in der Annahme,dass eine vom Banking Nutzer einmal korrekt mit der Bank aufgebaute SSL Sitzung die durch gewissenhafte Zertifikatsprüfung einschließlich der SHA 1 Fingerprints abgesichert wurde,nicht mehr nachträglich durch einen "Man in the Middle" Angriff manipuliert werden kann?
SSL garantiert ja eigentlich die Identität des Remoteservers(Bank),Integrität(Unveränderbarkeit) und Verschlüsselung der Daten.
Die bei der Sammelüberweisung angesprochenen Risiken würden dann nur existieren wenn der Nutzer das Zertifikat nicht prüft!
Desweiteren würde mich die Frage interessieren, ob es bei Verwendung der aktuellen Browser auf den Bankportalen noch Probleme mit Cross-Site-Scripting oder dem Einfügen von betrügerischen Frames gibt?
kragenbär
in der Regel nutzte ich StarMoney 7.0 mit HBCI Chip und
Reiner cyberJack e-com (Klasse 3) Leser.
Damit gab es all die Jahre noch nie ein Sicherheitsproblem.
Als zweite Lösung bei einem Ausfall der Ersten und für Giropay habe ich die iTan Liste deaktiviert und mir einen ChipTan Generator zugelegt.(Reiner)
Dieser arbeitet im Portal,aber auch mit StarMoney mit Flickercode zur Kontrolle der versendeten Daten.(Kontonummer und Summe)
Bei Sammelüberweisungen wird hierbei jedoch nur der Gesamtbetrag und die Anzahl der Buchungen übermittelt.
(Keine Kontonummern)
Hierbei soll es möglich sein,dass bei "Man in the Middle" Angriffen eine nicht bemerkbare Manipulation der Zielkontonummern erfolgen kann.
Bei dieser Angriffsart wird meines Wissens nach der Rechner des Opfers im Bereich der Domain Name/IP Auflösung durch betrügerische Einträge in der Windows Hosts manipuliert.Dabei kommt es zu einem Umlenken von der Bankseite hin zu der Seite des Betrügers.(Immer vorausgesetzt die Sicherheitssoftware auf dem PC kann dies nicht verhindern)
Mit dem Betrüger wird dann eine Verbindung aufgebaut,die durchaus auch SSL gesichert sein kann.(Das hier verwendete Zertifikat müsste sich ja eindeutig von dem der Bank unterscheiden(Domain und SHA1 Print etc.)
Der Angreifer baut dann seinerseits eine Verbindung zur Bank des Opfers auf und leitet die Daten mit Hilfe von Scripten in Echtzeit und mit verfälschten Zielkontonummern weiter.
Soweit, so schlecht...
Liege ich richtig in der Annahme,dass eine vom Banking Nutzer einmal korrekt mit der Bank aufgebaute SSL Sitzung die durch gewissenhafte Zertifikatsprüfung einschließlich der SHA 1 Fingerprints abgesichert wurde,nicht mehr nachträglich durch einen "Man in the Middle" Angriff manipuliert werden kann?
SSL garantiert ja eigentlich die Identität des Remoteservers(Bank),Integrität(Unveränderbarkeit) und Verschlüsselung der Daten.
Die bei der Sammelüberweisung angesprochenen Risiken würden dann nur existieren wenn der Nutzer das Zertifikat nicht prüft!
Desweiteren würde mich die Frage interessieren, ob es bei Verwendung der aktuellen Browser auf den Bankportalen noch Probleme mit Cross-Site-Scripting oder dem Einfügen von betrügerischen Frames gibt?
kragenbär
) PIN/TAN-Verfahren ist das hier endlich mal eine sinnvolle Erweiterung. Wir persönlich haben diese Meldung mit Freude aufgenommen und das ist bei den Kollegen denke ich genauso.