25. Dezember 2012 12:03

Re: Gute Idee, wo jeder Fachmann abrät, dass Handy für irgend ein Banking zu

Werner schrieb am 21. Dezember 2012 14:35

> Wenn jemand das Handy für SMS TAN übernehmen kann, dann kann er es
> auch für QR TAN übernehmen. Als Angreifer bringe ich den PC unter
> meine Kontrolle (einfachste Übung laut Bank) dann hole ich mir die
> Gerätespezifikation und manipuliere das mobile Gerät (iPod,
> Smartphone) und schon ist die Sache unter dem Sicherheitsniveau von
> TAN, denn der Nutzer weiß gar nicht, was er da autorisiert, er weiß
> nur, was er auf dem Bildschirm sieht und das ist bei einer
> übernommenen Session nicht das, was gebucht wird.

Wenn ich als Angreifer sowohl den PC als auch das Smartphone im Griff
habe, dann fahre ich die Banking-Session ganz ohne für den Benutzer
sichtbare Anzeige. Der QR-Tan-App gaukle ich Kamerabild und
Touchscreen-Input sowie Bildschirm-Output vor, das Password habe ich
beim letzten mal regulären Benutzen mitgelesen, ähnliches passiert
auf dem PC, und sobald beide online sind, ist das Konto leer bis zum
Dispo-Limit.

Wenn ich als Angreifer richtig gemein bin, manipuliere ich noch die
Anzeige der Online-Banking-[Web]app und gaukle ein halbes Jahr vor,
dass die getätigten Umsätze gar nicht da sind. Allerdings sollte ich
dann das Dispo-Limit nicht ausschöpfen, sonst merkt der Kunde es,
wenn er das nächste mal am Geldautomaten steht und nicht nur nicht
sieht, was noch auf dem Konto ist, sondern gar kein Geld mehr
bekommt.

Ohne mich.

Uli

Anzeige