Neumi wrote:buz wrote:so sicher ist mir das raika online banking (im linkem netz) auch nicht vorgekommen: einfach die raika seiten nachbauen, etwas dns-spoofing und dem benutzer jedesmal die meldung geben: der ecode wurde leider nicht akzeptiert, bitte nochmal probieren, und schon hat man benutzernummer und entsprechende 3 ecodes.
somit kann man schon mal die finanzielle situation des linkemuseres anguggen, im schlimmschten fall noch ein, zwei überweisungen tätigen :-)
Nach diesem Prinzip haben die ersten Trojaner funktioniert. Und deswegen wurden ein paar findige Studenten auch von der Uni geschmissen als sie so was gemacht haben.
Deshalb gibt es Sicherheitszertifikate.
Das Login der Raika-Seite läuft doch über SSL, pder?
Absdolut sicher ist der Code-Generator der Raika natürlich nicht. So ist es z.B. nicht wichtig, welchen Generator man verwendet, wichtig sind nur Karte und Schlüssel. Außerdem ist die Berechnung vergleichsweise simpel aufgebaut, was man daran erkennt, daß sich die Codes untereinander doch etwas ähneln. Ich hab da nie genauer nachgeforscht aber es sollte möglich sein, mit genügend Codes den Schlüssel berechnen zu können.
Das Prinzip das buz beschreibt nennt sich Phishing. Da wird der Benutzer auf eine andere Seite umgeleitet (per DNS-Spoofing, über eine ähnliche URL, die dem Benutzer oft per Mail untergejubelt wird oder andere Methoden), die genauso aussieht wie die Online-Banking Seite, aber in Wirklichkeit nur nachgemacht wurde.
Es ist nun einfach dem Benutzer vorzugaukeln sein eingegebener Code funktioniert nicht und dieser generiert dann sicherlich noch einen, der dann auch von der Fake-Seite abgelehnt wird. Der Angreifer hat dann 2 ECodes, die er verwenden kann.
Es ist ohne Probleme möglich 2 oder mehr ECodes auszurechnen, sich die auf ein Blatt zu schreiben und nach der Reihe zu verwenden. Hab das selber ausprobiert, die hängen nicht zusammen (zumindest wenn man sich in der generierten Reihenfolge verwendet, obs durcheinander auch geht weiß ich nicht).
Das SSL-Zertifikat von der Fake-Seite stimmt da natürlich nicht überein, aber Benutzer die solche Links in den Mails anklicken haben davon auch keine Ahnung. Und diese Angreifer-Methode wird noch heute sehr viel angewandt, nicht nur von den ersten Trojanern. Bei mir kommen täglich solche dubiosen Mails von Banken ins Postfach.