Posted by: malamut
Re: Einloggen aufs Bankkonto im Internet-Café? - 06/19/05 09:37 AM
Hallo Sasa,
Wäre doch mal interessant zu wissen, wie mir eine Software vorgaukeln will, dass ich auf der Seite meiner Sparkasse/Volksbank des Ortes XY bin - inklusive des passenden Designs.
Das ist kein Problem. Das Verfahren ist wie folgt: für alle 'normalen' Web-Aufrufe wird ein normales Webbrowser-Modul verwendet. Lediglich für ausgewählte Seiten großer Banken wird statt der korrekten Seite eine Forwarder-Seite aufgerufen, die alle Eingaben und Seitenaufrufe des Users abfängt, größtenteils aber auch an die echte Bank-Seite weiterleitet und Dir deren Output dann anzeigt. Da die von Dir benutzte Software nicht der Original-Browser ist, nützt auch das Anzeigen des Site-Zertifkates nichts - die Software zeigt einfach das forgewardete echte Zertifikat an (der echte Browser würde das natürlich nicht machen).
Diese Art von Angriff kann man auf vielfältige Art ausnutzen. Z.B. könnte man bei der Eingabe der TAN diese abfangen, die entsprechende Überweisung nicht an die Bank weiterleiten, dem User eine im Design passende Fehlermeldung präsentieren und die TAN dann selbst zu einem späteren Zeitpunkt benutzen. Oder man manipuliert direkt die Überweisung des Users, indem man das Geld auf ein anderes Konto umleitet.
Sowas zu schreiben, ist für einen versierten Programmierer mit Zugang zu einem echten Konto der betroffenen Bank sehr leicht. Ich bin selbst Software-Entwickler und denke, dass ich sowas (wenn ich wollte, was natürlich nicht der Fall ist) in weniger als einer Woche für meine beiden Banken schreiben könnte.
Liebe Grüße,
Wolfgang
In Antwort auf: Sasa
Wäre doch mal interessant zu wissen, wie mir eine Software vorgaukeln will, dass ich auf der Seite meiner Sparkasse/Volksbank des Ortes XY bin - inklusive des passenden Designs.
Das ist kein Problem. Das Verfahren ist wie folgt: für alle 'normalen' Web-Aufrufe wird ein normales Webbrowser-Modul verwendet. Lediglich für ausgewählte Seiten großer Banken wird statt der korrekten Seite eine Forwarder-Seite aufgerufen, die alle Eingaben und Seitenaufrufe des Users abfängt, größtenteils aber auch an die echte Bank-Seite weiterleitet und Dir deren Output dann anzeigt. Da die von Dir benutzte Software nicht der Original-Browser ist, nützt auch das Anzeigen des Site-Zertifkates nichts - die Software zeigt einfach das forgewardete echte Zertifikat an (der echte Browser würde das natürlich nicht machen).
Diese Art von Angriff kann man auf vielfältige Art ausnutzen. Z.B. könnte man bei der Eingabe der TAN diese abfangen, die entsprechende Überweisung nicht an die Bank weiterleiten, dem User eine im Design passende Fehlermeldung präsentieren und die TAN dann selbst zu einem späteren Zeitpunkt benutzen. Oder man manipuliert direkt die Überweisung des Users, indem man das Geld auf ein anderes Konto umleitet.
Sowas zu schreiben, ist für einen versierten Programmierer mit Zugang zu einem echten Konto der betroffenen Bank sehr leicht. Ich bin selbst Software-Entwickler und denke, dass ich sowas (wenn ich wollte, was natürlich nicht der Fall ist) in weniger als einer Woche für meine beiden Banken schreiben könnte.
Liebe Grüße,
Wolfgang