Wie ist das nun mit der Sicherheit beim Onlinebanking
am 29.08.2005 von http://blogs.23.nu/disLEXiaDE/
[Eine Einführung gibt es bei Spaß mit der iTAN, Spaß mit der Uni und Spaß mit der Presse(stelle)Bragging Rights]
Ich hab heute zu viel für einen Urlaubstag mit Bankern telefoniert. Einige Sachen sind mir dabei aufgefallen:
Die Banker gehen nennen die von uns beschriebenen Angriff eine Man-in-The-Middle-Attacke. Unser Advisory trägt dazu bei, weil es für den Beispielfall eine Man-in-Tht-Middle-Attacke verwendet. Das war unklug.
Klassischerweise beschreibt man mit einer Man-in-Tht-Middle-Attacke einen Angriff, bei dem der Täter beliebig Daten, die zwischen den Opfern verkehren verändern, unterdrücken oder hinzufügen kann. Dies ist beispielsweise der Fall, wenn ein Angreifer die Infrastruktur des Providers eines der Opfer übernimmt. Oder wenn der Angreifer ein Trojanisches Pferd auf einem der beteiligten Computer installiert, das in die Kommunikation des Webbrowsers eingreift.
Bei dem Angriff auf die iTAN ist das aber gar nicht nötig. Wie beim klassischen Phishing muss der Täter sich nicht in irgendwelche Kommunikation einschalten, sondern nur das Opfer dazu bringen, eine Kommunikation mit ihm aufzunehmen und hinreichend vertrauenswürdig wirken, um das Opfer dazu zu bewegen, seine geheimen Daten einzugeben. (Siehe auch diese Beschreibung).
Dies erfordert nur minimale Änderungen an dem Vorgehen eines Phishers. Bisher installierten die Phisher auf kompromittierten Rechnern in aller Regel ein PHP Skript, welches die Daten (PIN, TAN usw.) einfach auf der Festplatte speicherte.
Jetzt muss der Phisher sein Skript etwas erweiter. Es darf nicht die Daten auf die Platte speichern, sondern muss damit direkt eine Transaktion bei der Bank auslösen.
Keine Hürde für einen arbeitslosen russischen Programmierer. Auch keine Hürde für meine Studenten in ihrem Test.
Die Banken sagen nun, es …
Man kann es ja mal versuchen
Wissenswertes, Interessantes und Kurioses aus Justiz und Alltag / Das scheint zumindest die Motivation fĂĽr das, was mir heute morgen widerfahren ist.Mein Auto sagte mir seit einigen Tagen, „Service Jetzt“. Da ich nun sowieso die Reifen habe wechseln lassen, dachte ich mir, ich frage mal nach, was mich denn di…
Zermürbende Beweisanträge
chris.blog » Jura / In ihrem lesenswerten, weil unterhaltsam geschriebenen Blog beschreibt eine Koblenzer Strafverteidigerin, wie sie und eine Kollegin die Einstellung eines Verfahrens erreicht haben (guckst du hier). Formell war hierfĂĽr die Zustimmung von Gericht, Sta…
Woran liegt das?
RA-Blog / Heute morgen wurden bei 1Live die Hörer aufgefordert, Namen, die sie Gegenständen wie Auto, Computer, EinbaukĂĽche gegeben haben, mitzuteilen. Mir ist bekannt, dass Frauen gerne ihren Autos Namen geben. Männer machen das nicht. Dachte ich. Ic…
Nachhaltig angelegt
LawBlog / Eigentlich war ich der Meinung, vor einiger Zeit rechtzeitig aus Aktien raus zu sein. Vielleicht hätte ich auch an die private Rentenversicherung denken sollen. Die habe ich 2005 abgeschlossen, weil mich der Kundenberater meiner Bank belatschert hat…
erfahrungswerte
kleinstbuden-mechanic / ich frage fĂĽr einen von uns vertretenen schuldner beim gläubigervertreter, einem fachanwalt fĂĽr steuerrecht(!), an, ob eine ratenzahlung von monatlich 10 % der restforderung in ordnung gehe. tatsächlich hat unser mandant schon 40 % der gesamtford…
Materialwirtschaft in der Anwaltskanzlei
Organisationsberatung Treysse / Ein erheblicher Zeitaufwand wird in kleinen und mittleren Kanzleien mit der Bevorratung und Beschaffung von Material betrieben. Ein einfacher Weg weist Kaizen auf: Verwenden Sie sogenannte KanBan-Kärtchen, z. B. die ĂĽblichen Karteikärtchen DIN A6…
Hoferben und die Geschwister
Rechtslupe / Geschwister von Hoferben mĂĽssen nicht immer leer ausgehen, wie eine aktuelle Entscheidung des Landwirtschaftssenats des Oberlandesgerichts Oldenburg zeigt, der jetzt hat entschieden, dass Pacht- und Nutzungsentgelte, die ein Hoferbe fĂĽr Windenergie…
Straßenbäume
Rechtslupe / Schwere GewitterstĂĽrme mit umgestĂĽrzten Bäumen und abgerissenen Ă„sten sind inzwischen auch in unseren Breitengraden keine Seltenheit mehr. Das gefährdet aber nicht nur den Baumbestand zunehmend. Auch das Haftungsrisiko fĂĽr EigentĂĽmer von Bäum…
AnsprĂĽche gegen den Zwangsverwalter
RECHTaktuell / Bereicherungsrechtliche AnsprĂĽche gegen den ehemaligen Zwangsverwalter? Werden an den Zwangsverwalter nach Aufhebung der Zwangsverwaltung von Mietern des zwangsverwalteten Objekts noch Mieten gezahlt, ist als Leistungsempfänger die Masse anzusehen.…
Charta des digitalen Datenschutzes: Im Netz gibt es kein Vergessen
beck-blog / Wie heise online berichtet, hat der Bundesdatenschutzbeauftragte Peter Schaar anlässlich des 3. Nationalen IT-Gipfels eine “Charta des digitalen Datenschutzes und der Informationsfreiheit” vorgeschlagen. In der interaktiven Online-Welt…
Ă„nderung der Bestimmungen im Reiseverkehr zum 1. Dezember 2008
Steuerpraxis / Die Freimengen von Reisemitbringseln, die ein Reisender einfuhrabgabenfrei aus Nicht-EG Ländern einführen darf, werden mit Wirkung ab dem 1.12.2008 neu festgesetzt. So erhöht sich die Freimenge für sonstige Waren von bisher 175 Eu…
Grenzen des Kündigungsrechts
German American Law Journal :: US-Recht auf Deutsch / CK - Washington. Hire and Fire oder Employment at Will erklärte das Oberstgericht von Indiana als das Recht der Arbeitsvertragsparteien, ihren Vertrag mit einem good reason, bad reason, or no reason at all beenden zu d&uum…
© 2004-2008 JuraBlogs | Impressum
