Online Banking: Neues Risiko „Man in the Browser“

vom 04.12.2007, 16:49 Uhr

Nachdem das Online Banking durch verschiedene Verfahren wieder weitgehend gesichert wurde und immer schwerer zu knacken sind, ist das alte Crackerprinzip „Man in the Middle“ heutzutage weitgehend überholt, denn Phishing, XSS und Keylogger funktionieren heute weitestgehend nicht mehr um an die begehrten Daten heranzukommen und das Zwischenschalten zwischen Kunde und Bank, bei dem der Bank vorgegaukelt wird, es handele sich um den Kunden und dem Kunden es handele sich um die Bank nicht mehr funktioniert.

Durch das neugetaufte „Man in the Browser“ Verfahren rücken Crakcer nun von dieser Stellung als Mittelsmänner ab und konzentrieren ihre Bemühungen auf Malware, mit welcher sie erst dann angreifen, was auch die Erkennung durch Sicherheitsprogramme erschwert, wenn man eine Online Banking Seite besucht um dann auf die begehrten Daten zuzugreifen und diese abzufangen.

Benutzeravatar

» Subbotnik » Beiträge: 9308 » Talkpoints: -7,05 » Auszeichnung für 9000 Beiträge



Naja, so viel schwerer wirds wohl auch nicht zu enttarnen sein, leider ist ja deine Formulierung ein wenig sehr wage im Bezug auf die Technik. Letztenendes muss so oder so etwas da sein, was im richtigen Moment den Code aktiviert, und das wird man zu verhindern wissen, die Antivirengersteller möchten doch nicht ihre Existenzberechtigung verlieren ;)

» flochen » Beiträge: 57 » Talkpoints: -0,04 »


Stimmt hab ganz vergessen, das genauer zu beschreiben - also "Man in the Browser" funktioniert so:

Der html-Code des Web Browsers wird durch die Malware abgefangen beim Besuch einer Online Banking Seite und dadurch werden die persönlichen Infomrationen - Login & Passwort - abgegriffen und an einen FTP gesendet wo sie gesammelt werden um sie später zu verschachern.

Momentan sollen einige Banken, obwohl noch keine solche Attacke bekannt wurde, schon ein Update in der Hinterhand haben, welches sie bei Bedarf anbieten wollen - also ob es das jetzt schon gibt ist angesichts der Aussage eher fraglich.

Es gibt auch noch einen anderen Weg des MitB,:
Die Trojaner setzen sich direkt im Browser fest (IE oder Firefox) und verändert die Überweisungsdaten und den Überweisungsbetrag so, dass möglichst viel von der verfügbaren Summe auf ein anderes Konto umgeleitet wird. Damit das keinem auffällt wird dem Benutzer nur die Transaktion angezeigt, die tatsächlich vorgenommen wurde.

Diese Trojaner werden momentan auf einigen Foren zum Kauf angeboten bei denen man die jeweiligen Banken bzw. die User die dort überweisen einfach nur auswählen muss. Der Trojaner wird bisher von keinem einzigen Antivirenprogramm & Co erkannt und kann auch durch keinen bisher bekannten Schutzmechanismus (iTan, ID Karte usw.) überwunden werden.

Benutzeravatar

» Subbotnik » Beiträge: 9308 » Talkpoints: -7,05 » Auszeichnung für 9000 Beiträge



@Subbotnik

Ok, ich gebe zu mit dieser zusätzlichen Erklärung wirkt das neue Prinzip natürlich gefährlicher, da vor allem im Browser auch nur die tatsächliche Transaktion angezeigt wird. Wenn ein Fehler erscheinen würde, so würde man wenigstens merken, dass etwas faul ist :P

Naja aber zu der FTP-Methode..die finde ich persönlich für Hacker ein wenig unprofessionell. Man kann mit ziemlich einfachen Mitteln den Internetverkehr zwischen PC und dem Internet mitschneiden und wenn man dann die FTP-Verbindung mit dem Port 21 entlarvt und die Login-Daten selbst erlangt, dann geht das spielchen umgekehrt wieder von vorne los.

Man muss eben immer mehr aufpassen wie man sich im Internet bewegt und der einfache Internetneuling (kenn ich seeeeehr viele) ist natürlich ein leichtes Fressen für die Hacker :(

» crille » Beiträge: 120 » Talkpoints: 0,20 » Auszeichnung für 100 Beiträge



Ja das mit dem FTP wäre die einfachste Variante, in der Praxis, stimme ich zu, würde das keiner machen, da git es bessere Möglichkeiten.

Benutzeravatar

» Subbotnik » Beiträge: 9308 » Talkpoints: -7,05 » Auszeichnung für 9000 Beiträge


Naja andererseits kannst du es ja auch so betrachten, dass wenn du gar nicht merkst, dass da ein "Man in the Browser" war, du ja auch nicht nach etwas suchen musst. Und man wird ja nicht ständig den gesamten Internet-Verkehr mitloggen.
Ich kenne durchaus Leute, denen könnte man nach dem abfangen die Datei mit den sensiblen Daten auf den Desktop legen und die würde das nicht kratzen. Und wenn dann mal beim Rechnerstart ein Programm eine Warnung bringt, dass ein unbekanntes Programm irgendeine Datei ins Netz laden will, dann stimmt der unbeleckte User einfach zu weil er keine Lust hat sich damit zu beschäftigen...tze tze tze, das ist aber auch zu einfach

» crille » Beiträge: 120 » Talkpoints: 0,20 » Auszeichnung für 100 Beiträge


Generell sitzt das größte Sicherheitsrisiko eben nach wie vor immernoch zwischen Monitor und Stuhl - und solange man "keine Lust" auf Sicherheit hat, wird sich da auch wenig ändern.

Auch das MitB könnte man mit etwas Kenntnis und Sachverstand unschädlich machen, den man eigentlich haben sollte, wenn man sich am PC betätigt. Man muss ja kein "Geek" sein (hasse das Wort), aber auch nicht der König der DAUs.

Benutzeravatar

» Subbotnik » Beiträge: 9308 » Talkpoints: -7,05 » Auszeichnung für 9000 Beiträge



Ähnliche Themen

Weitere interessante Themen

^
cron