Nutzt ihr Onlinebanking?
-
ich benutz auch online banking ueber das web interface
hab kein wlan, hab ich keine verwendung fuer
selbst wenn jemand meine daten und eine tan irgendwie {ich wuesste nicht wie} ausspionieren wuerde - bringt das nichts, da die bank immer eine bestimmte tan haben moechte{bitte tan nr 23, nr 56, nr 2 usw usw}
da muesste man den ganzen block klaun #gg
bin sehr zufrieden, und mein anbieter war beim test der sieger in sachen sicherheit
-
mikey schrieb:
Wenn du per WLAN unverschlüsselt sendest, dann fange ich vor deiner Haustür deine Zugangsdaten und deine TAN ohne Probleme ab.
Die Zugangsdaten werden auch schon bereits per SSL verschlüsselt versendet. Von daher bringt auch Deine Methode recht wenig.
Gib mir mal deine Adresse. Dann gebe ich dir deine Zugangsdaten.
-
-
Benutze Online Banking über Lan, ganz normal...
-
PC-Experte schrieb:
Gegen Man-in-the-Middle-Angriffe hilft nur wenig
SSL hat Vorkehrungen gegen Man-in-the-Middle-Angriffe. Ein Angreifer in der Mitte wird im allgemeinen nicht in der Lage sein das Zertifikat der Bank zu reproduzieren.
-
Nutzt ihr Onlinebanking? schrieb:
siehe Titel.
Wenn ja, direkt über den Browser oder mit speziellen Programmen? Wenn ja, welche?
Ich nutze es bislang über den Browser und bin zufrieden. Viele sagen ja, es sei unsicher etc. Aber bei einem 08 15 Menschen wir mir macht das nichts und keiner hat Interesse an meinem Konto
Gib mir mal Deine Konto-Zugangsdaten. Was glaubste, wieviele Leute daran Interesse hätten!
-
lb schrieb:
Wenn du per WLAN unverschlüsselt sendest, dann fange ich vor deiner Haustür deine Zugangsdaten und deine TAN ohne Probleme ab.
Das schöne daran ist ja eben, dass Du mit einem bereits verwendeten TAN nichts anfangen könntest, selbst wenn da kein SSL wäre.
(Und unverschlüsseltes WLAN wird hier ja ohnehin auch niemand für E-Banking verwenden.)Ich verwende ebenfalls E-Banking. Ist sehr praktisch, Überweisungen auch von unterwegs aus tätigen zu können, oder keinen Kontoauszug mehr zu benötigen um herauszufinden, ob ich mein letztes Honorar schon bekommen habe etc.
edit: Ebenfalls per Browser, praktisch für größtmögliche Mobilität.
-
Heutzutage ist es ja meistens nicht mehr ein 'Man in the midle' sondern ein 'Man in the Browser' Angriff, der Onlinebanking unsicherer macht.
Viele Leute saugen was das Zeug hält irgendwelche eigentlich kostenpflichtige Software oder aber installieren so einen Blödsinn wie DSL Beschleuniger von irgendwelchen dubiosen Seiten.
Das sie sich damit dann im ungünstigsten Fall halt auch einen Trojaner mit an Bord holen können, daran wird nicht gedacht.
Der Virenscanner ist ja aktiv und hat auch eine gute "Computerbild-Bewertung"...
-
PC-Experte schrieb:
Du hast das Prinzip von SSL schon verstanden?
Ja das hat er, du auch?
Gegen Man-in-the-Middle-Angriffe hilft nur wenig, aber dazu müsstest du ja erstmal der "mann in der mitte" sein und zweitens wie groß ist die Wahrscheinlichkeit, dass er genau dann seine Onlinebankinggeschäfte tätigt wenn du mit dem Notebook vor seinem Haus stehst?
[/QUOTE]
Es ist ein Kinderspiel einen Man in die Midle Angriff durchzuführen.
Wenn er ein offenes WLAN nutzt, dann hat man auch Zugriff auf seinen Rechner oder seinen Router und dort kann man dann die Hosts Datei verändern und seine Bank URL auf den eigenen Rechner in Kuba umleiten und schon ist man Man in the Middle. Es braucht nur noch nen Webserver und eine gleich aufgebaute Webseite und schon kann man mit seinem Konto machen was man will.
iTan hilft da natürlich auch nicht, denn während er seine Überweisung macht, hält man ebenfalls Verbindung zur richtigen Bank.
Wenn er auf weiter klickt, dann wird automatich bei der richtigen Bank nach der itan gefragt und die Nr dann weitergeleitert, er gibt die iTan Nummer dann ein und schon kann man sie für seine eigenen Überweisungen nutzen.
Seine Überweisung wird dabei nicht ausgeführt, es sei denn, er nutzt Session Keys.
-
Mr Evil schrieb:
ich benutz auch online banking ueber das web interface
hab kein wlan, hab ich keine verwendung fuer
selbst wenn jemand meine daten und eine tan irgendwie {ich wuesste nicht wie} ausspionieren wuerde - bringt das nichts, da die bank immer eine bestimmte tan haben moechte{bitte tan nr 23, nr 56, nr 2 usw usw}
da muesste man den ganzen block klaun #gg
bin sehr zufrieden, und mein anbieter war beim test der sieger in sachen sicherheit
Nein, muß man nicht.
iTan ist gegen Man in the Middle Angriffe hilflos.
-
Christoph schrieb:
PC-Experte schrieb:
Gegen Man-in-the-Middle-Angriffe hilft nur wenig
SSL hat Vorkehrungen gegen Man-in-the-Middle-Angriffe. Ein Angreifer in der Mitte wird im allgemeinen nicht in der Lage sein das Zertifikat der Bank zu reproduzieren.
Natürlich kann er das, er kann nämlich auch den Zertifikatsserver einfach umleiten und selber stellen.
-
Nutzt hier eigentlich jemand HBCI mit einem Stufe 3 Lesegerät?
-
Übrigens, wer bei der Citibank ist, der hat mit Online Banking keine Probleme.
Denn diese Bank haftet auch bei fahrlässigem Verhalten des Kunden und schreibt das Geld wieder gut.
-
ich hab uebrigens auch gelesen das den man in the middle angriffen immer eine mail vorraus geht wo man auf eine fiktive seite geschickt wird
dazu sei gesagt
zb meine bank, verschickt NIE mails an mich, wenn eine kommt dann loesch ich die ohne zu lesen
alle informationen geschehen per post, sonst nichts
und auch dort werden keine persoenlichen daten abgefragtzudem installier ich nichts dubioses, und lad auch keine sachen runter {also kostenpflichtiges usw}
zudem hab ich auch eine paranoide firewall einstellung #gg {blockt pauschal alles}
und, virenscanner ist zudem aktiv {sowie alle updates die immer kommen}
wlan hab ich auch nicht, ich hab kabel modem und seh keine veranlassung das jemals zu aendern {dose direkt am schreibtisch}hier gabs uebrigens ein test:
http://www.tecchannel.de/sicherheit/grundlagen/453977/
ergebnisse:
http://www.tecchannel.de/sicherheit/grundlagen/453977/index35.htmlmeine bank befindet sich sehr weit oben
wer so doof ist und auf solche phishing mails herein faellt ist selber schuld...
-
Der Kluge schrieb:
Es ist ein Kinderspiel einen Man in die Midle Angriff durchzuführen.
Wenn er ein offenes WLAN nutzt, dann hat man auch Zugriff auf seinen Rechner oder seinen Router und dort kann man dann die Hosts Datei verändern und seine Bank URL auf den eigenen Rechner in Kuba umleiten und schon ist man Man in the Middle. Es braucht nur noch nen Webserver und eine gleich aufgebaute Webseite und schon kann man mit seinem Konto machen was man will.
iTan hilft da natürlich auch nicht, denn während er seine Überweisung macht, hält man ebenfalls Verbindung zur richtigen Bank.
Wenn er auf weiter klickt, dann wird automatich bei der richtigen Bank nach der itan gefragt und die Nr dann weitergeleitert, er gibt die iTan Nummer dann ein und schon kann man sie für seine eigenen Überweisungen nutzen.
Seine Überweisung wird dabei nicht ausgeführt, es sei denn, er nutzt Session Keys.1. Hat mittlerweile fast jeder Dulli verstanden, dass man WLAN verschlüsseln muss.
2. Selbst wenn Du Dir irgendwie Zugang ins Netzwerk erschleichst, kannst Du zwar den Traffic abhorchen aber noch lange nicht die Host-Datei verändern.Edit: Aber offenbar hast Du nicht mal verstanden, was Man-In-The-Middle überhaupt bedeutet.
-
byto schrieb:
1. Hat mittlerweile fast jeder Dulli verstanden, dass man WLAN verschlüsseln muss.
Nein, siehe oben der Vorposter auf den ich geantwortet habe.
2. Selbst wenn Du Dir irgendwie Zugang ins Netzwerk erschleichst, kannst Du zwar den Traffic abhorchen aber noch lange nicht die Host-Datei verändern.
Auf einem Windows System laufen genug Serverdienste, die Wahrscheinlichkeit
das derjenige, der ein offenes WLan benutzt seine Software nicht updated ist hoch und damit kann ich Lücken ausnutzen um seine Hosts Datei zu verändern.
Außerdem habe ich bei einem offenen Wlan eine lokale IP Adresse, d.h.
der Rechner vertraut meinem Rechner mehr als einem Rechner der eine IP Adresse aus dem Internet hat.
Das öffnet weitere Lücken.Edit: Aber offenbar hast Du nicht mal verstanden, was Man-In-The-Middle überhaupt bedeutet.
Oh, ich bin der Kluge, ich weiß schon was das ist, im Gegensatz zu dir.
-
Mr Evil schrieb:
ich hab uebrigens auch gelesen das den man in the middle angriffen immer eine mail v****** geht wo man auf eine fiktive seite geschickt wird
Das verwechselst du etwas.
@DerKluge
Und wie willst du das SSL-Zertifikat fälschen?
-
Ich mach kein Online Banking. Is mir alles zu unsicher.
-
Was versteht man denn unter host-Datei verändern? Im DHCP-Server des Providers/der Firma einbrechen?
rüdiger schrieb:
@DerKluge
Und wie willst du das SSL-Zertifikat fälschen?Woher bekommt der Browser das Zertifikat? Merkt man die Änderung, wenn man bei den Dialogboxen immer auf "Weiter" klickt?
-
Würde mich jetzt auch mal interessieren wie man so etwas bewerkstelligen könnte.
Ich hab jetzt nicht wirklich Ahnung von, aber folgende Szenarien könnte ich mir vorstellen (unter der Voraussetzung es sitzt keiner vor dem PC der immer sofort auf ja und OK klickt ohne sich das ganze durchzulesen). Ich gehe direkt per Bookmark auf die Login-Seite von meiner Bank.* Man leitet die Anfragen der Banking-Website auf sich um
- Browser meckert weil Zertifikat nicht durch Zertifizierungsstelle bestätigt werden konnte* Man leitet Anfragen auf die Banking-Website und den Zertifizierungsserver um
- Browser findet jetzt zwar das Zertifikat von der Banking-Website ok, aber nun passt nicht mehr das Zertifikat von der Zertifizierungsstelle (die werden ja schon mit dem Browser ausgeliefert, bzw. kann man sich manuell nachinstallieren)* Man hat ein Zertifikat von einer im Browser eingetragenen Zertifizierungsstelle, bzw. hat sich eines anderweitig besorgt
- Dann muss die URL zum Zertifikat passen, da das Zertifikat auch Zieladresse und Port einschließt (also oben im Browser steht eine andere Adresse)Also sollte es reichen wenn man
a) keine Nachricht bzgl. eines falschen Zertifikats erscheint
b) Die URL oben in der Adressleiste stimmtHab ich was vergessen, bzw. sehe ich was völlig falsch?