Ihr habt so eine schöne Diskussion über die verschiedenen Sicherungsmethoden geführt im FinTS HBCI-PIN/TAN Forum (Thema "Smart TAN").

Auch wenns schon paar Tage alt ist das Thema, ich hab da nochmal 2 Fragen, die ich aber lieber hier stelle als im öffentlichen:

1. Warum muß es in einem Fehlversuch enden, wenn die indizierte TAN nicht eingegeben wird. Hätte doch gereicht, wenn die TAN ungültig wird. So provoziert man nur viele Sperrungen von Teilnehmern und einen haufen Aufwand oder?

2. Ist es eigentlich irgendwie möglich, mit aktuellen "Mitteln" Kunden die Software (SFIRM32, SM,...) nutzen per phishing zu schaden? Ich mein die Eingaben der Tastatur mitzuschreiben geht sicherlich per Trojaner o.ä., aber eigentlich sollte doch das verbrauchen der TAN nicht verhindert werden können, da die Übertragung doch per HBCI-Protokell erfolgt oder? Irgendwie müßte es der Angreifer ja verhindern, dass die TAN verbraucht wird.

Gibt es überhaupt schon Fälle, wo Kunden die HB-Software genutzt haben zu Schaden kamen oder beziehen sich alle Fälle auf Internetangebote? Ich kenne bis jetzt nur Fälle per Internet!

Danke für die Infos.

Enrico

Stell dir mal vor, eine "nicht berechtigte" Person hat einen Teil der TAN-Liste zur Verfügung - also einen bestimmten Ausschnitt - nicht nur eine einzelne TAN.
Wenn die angeforderte TAN nur auf ungültig gesetzt, der FBZ aber nicht hochgesetzt
würde, hätte diese Person also die Möglichkeit, so lange zu versuchen, bis eine TAN
aus dem zur Verfügung stehenden Bereich abgefragt wird - und damit wäre die
Sicherheit nicht höher als bei der nicht indizierten TAN-Liste.


Gruß´

Michael

@Mike
Das ist doch eine sehr theoretische Möglichkeit.

Beim Phishing komme ich nur an 1-2 TAN ran und die wären dann am Ende der Session verbraucht. Und wenn ich an die Liste irgendwie physisch rankomme, dann kopiere ich mir keinen Teil sondern alles.

Und wenns um Phishing geht würde verbrauchen völlig ausreichen, für alles andere (TAN-Liste gestolen, kopiert, ....) hilft nichts außer TAN-Liste sperren.

Hallo all zusammen,



Bei klassischen Phishing ist das schon vorstellbar. Stell Dir vor, du wirst aufgefordert auf einer Phishing-Seite PIN und TAN einzugeben (gab es ja kürzlich eine recht gut nachgemachte Postbankseite). Wenn Du dann hier Deine PIN und eine oder zwei TAN eingibst, können diese vom Angreifer für seine Zwecke verbraten werden. Ob Du eine Software einsetzt, oder ob Du direkt übers Internet arbeitest ist dann egal.

Gruß bt

@bt

Ich dachte aber weniger an diese mail-Variante, die je mehr auf der Unwissenheit mancher Kunden basiert, sondern eher die doch relativ schwer zu erkennenden per Trojaner.

Es geht mir dabei am Ende um meine SFIRM32 Kunden (aber auch allgemein mal interessant), die wie ich denke nie außerhalb von SFIRM irgendwelche PIN/TAN nutzen, da ich Sie darauf hingewiesen habe.

Mich interessiert eigentlich besonders, ob es irgendwie möglich ist die Übertragung per HBCI-Protokoll irgendwie zu manipulieren. Ich hoffe einfach mal nicht und bin eigentlich immer davon ausgegangen.

Enrico

Das manipulieren der eigentlichen HBCI-Übertragung ist beinahe ausgeschlossen, denn hier sind die Daten (bei Verwendung von Chipkarte/Sicherheitsdatei) bereits signiert und verschlüsselt. In jedem Fall sehe ich keine brauchbare Aufwand-Nutzen-Relation für den Angreifer.

Etwas anders ist das bei HBCI mit PIN/TAN.
Hier ist es für den Trojaner durchaus möglich, die Eingabe von PIN und TAN zu belauschen und dann die Verbindung zum RZ mit einer fingierten Fehlermeldung zu verhindern. Auch ist zumindest vorstellbar, dass der Trojaner eine man-in-the-middle-attack vorbereitet indem er die Ziel-URL ändert und der Software ein neues, passendes Zertifikat unterschiebt.

Auch hier sehe ich aber viel Aufwand bei einer geringen Erfolgswahrscheinlichkeit:
- Trojaner muss für jedes Zielprogramm angepasst werden
- Trojaner muss verteilt werden
- Empfänger muss Trojaner installieren und eines der Zielprogramme nutzen

Ich würd's auch eher mit der großen Masse der Browser-Banker versuchen, kleiner Aufwand, größere Erfolgswahrscheinlichkeit...

Gruß
BW

Das sollte ein gutes Homebanking-Programm allerdings auch feststellen.
Es sollte das Zertifikat speichern und beim Kontakt mit der Bank dieses vergleichen und bei Unstimmigkeiten den Benutzer warnen (so machen es zumindest die AqBanking-basierten Programme).

Daher sehe ich die Gefahr der fingierten Verbindung auch als vergleichsweise gering an. Gefaehrlicher sind da IMHO Trojaner.

Hmm, wenn man aber genauer drueber nachdenkt... Ok, es waere eine Menge Aufwand fuer einen Trojaner, aber der Gedanke mit dem Aendern der URL und unterschieben eines neuen Zertifikates ist ein interessanter... Ich denke, ich werde da mal einen entsprechenden Hinweis einbauen.

In AqBanking koennte man das zumindest so loesen, dass man das Zertifikats-Verzeichnis fuer den Benutzer schreibschuetzt (bzw. sogar einem anderen Benutzer zuordnet). Dann kann der Benutzer selbst (oder ein Trojaner) hier kein neues Zertifikat unterschieben...


Gruss
Martin

Gar nicht so theoretisch...

Phisher bekommt eine einzige TAN incl. Positionsangabe, sowas lässt sich per Mail ebenfalls leicht abfragen.
Er bedient mithilfe eines Scriptes die Inet Anwendung der Zielbank und versucht so oft die Überweisung zu senden, bis die ihm bekannte TAN-Position abgefragt wird. Das funktioniert problemlos innerhalb einer Session.
Würde bei der Neuanforderung eines Indexes kein (Index-)Fehlerversuch generiert, würde die Indizierung gar nichts mehr bringen.

Geht halt nicht - wie gesagt, der fiese Angreifer tauscht natürlich das Zertifikat, so dass es wieder zu der Zieladresse passt.
Ich gehe davon aus, dass die meisten Programme bei Zertifikats-Unstimmigkeiten entweder den User warnen und ihm erlauben, das neue Zertifikat zu installieren (DDBAC-basierte Produkte arbeiten so) oder schlicht gar keine Kommunikation aufbauen (PPI-basierte und AFAIK auch StarFinanz-basierte Progs).



Einfacher wäre es IMHO, die Zertifikate nochmals verschlüsselt zu speichern, das sollte jedem Trojaner den Zahn ziehen, oder?

Gruß
BW

Hmmm...ok. Da haste wahr.

Allerdings könnte ich dann auch ein Formular entwerfen (als Phisher) auf dem der Kunde halt alle TAN´s eintragen soll (meinetwegen unter dem Vorwand, diese sicher und verschlüsselt zu hinterlegen). Manche machen evtl. sogar das und dann wars das auch. :shock:

Mir persönlich geht es mehr um die Gefahr der Trojaner, wo der Kunde gar nicht bewußt irgendwelche Dokumente ausfüllt. Denn die Gefahr, das der Kunde seine Sicherungsmittel per Formular preis gibt besteht immer. Siehe oben. Sowas wird man wohl nie verhindern können.

Und für die Sache per Trojaner würde löschen der TAN reichen. Daher evtl. der Unterschied unserer Auffassungen.

Du kennst das doch:

2 Anwälte, 3 Meinungen