Hallo zusammen,
ich habe eine Frage zu einer banking-Software von Computerbild.
Es handelt sich um Sichere Bank 2010 aus Heft 2/2010.
Ich bin leider sehr unerfahren im Umgang mit Online-Banking. Nutze es aber bei meiner Hausbank.
Jedes mal mit einem flauen Gefühl im Magen.....
Diese Software wird auf einem USB-Stick installiert und startet den rechner ohne auf Windows zuzugreifen.
Natürlich sagt CB, dass dieses Programm sehr sehr sicher ist, hört sich Alles sehr gut an (für einen Laien).
Ist das wirklich so?
Ich sag schon mal: Danke für eure Hilfe!
Archiv Contra Nepp 3.045 Themen, 42.321 Beiträge
Vorgehensweise:
- User hat aus irgend einer Quelle ohne es zu wissen einen Wurm drauf.
- User logt sich mit seiner Karte bei der Bank ein und wurschtelt da rum und logt sich wieder aus.
- Wurm logt die Kommunikation mit und sendet sie seinem Erbauer.
- Erbauer baut sich aus dem Logfile eine Karte die datentechnisch auf dem selben Stand ist, logt sich damit ein und zieht sein Ding ab.
- User wundert sich dann erstmal wieso seine Karte abgelehnt wurde und ist fürs erste um Betrag X ärmer.
Du weißt aber schon, wie HBCI funktioniert, oder? Anhand Deiner Auflistung denke ich mal, eher nicht. Der kyptographische Schlüssel und die PIN der HBCI-Karte können vom PC aus nicht gelesen werden - und tauchen daher auch nie im Arbeitsspeicher auf. Die Kommunikation zu belauschen bringt auch nix, weil die komplett verschlüsselt abläuft - und selbst wenn es gelingt den Schlüssel zu knacken dann nie in Echtzeit. Genau das wäre aber nötig um die Kommunikation zu manipulieren. Aus einem geknackten Datenstrom eine HBCI-Karte zu simulieren geht auch nicht - siehe oben.
Der einzige mögliche Ansatzpunkt ist ein Angriff auf die Bankingsoftware selbst. Die müsste komplett ausgehebelt werden, durch Eingriffe in die Verschlüsselung, Abfangen und Manipulation der eingegebenen Daten - alles in Echtzeit, versteht sich. Das ist bisher ein rein theoretisches Problem, weil das noch keiner gemacht bzw. geschafft hat.
- User hat aus irgend einer Quelle ohne es zu wissen einen Wurm drauf.
- User logt sich mit seiner Karte bei der Bank ein und wurschtelt da rum und logt sich wieder aus.
- Wurm logt die Kommunikation mit und sendet sie seinem Erbauer.
- Erbauer baut sich aus dem Logfile eine Karte die datentechnisch auf dem selben Stand ist, logt sich damit ein und zieht sein Ding ab.
- User wundert sich dann erstmal wieso seine Karte abgelehnt wurde und ist fürs erste um Betrag X ärmer.
Du weißt aber schon, wie HBCI funktioniert, oder? Anhand Deiner Auflistung denke ich mal, eher nicht. Der kyptographische Schlüssel und die PIN der HBCI-Karte können vom PC aus nicht gelesen werden - und tauchen daher auch nie im Arbeitsspeicher auf. Die Kommunikation zu belauschen bringt auch nix, weil die komplett verschlüsselt abläuft - und selbst wenn es gelingt den Schlüssel zu knacken dann nie in Echtzeit. Genau das wäre aber nötig um die Kommunikation zu manipulieren. Aus einem geknackten Datenstrom eine HBCI-Karte zu simulieren geht auch nicht - siehe oben.
Der einzige mögliche Ansatzpunkt ist ein Angriff auf die Bankingsoftware selbst. Die müsste komplett ausgehebelt werden, durch Eingriffe in die Verschlüsselung, Abfangen und Manipulation der eingegebenen Daten - alles in Echtzeit, versteht sich. Das ist bisher ein rein theoretisches Problem, weil das noch keiner gemacht bzw. geschafft hat.