Zeigt ein Online-Bankingprogramm irgendwelche Webseiten an?
Irgendeinen "externen Inhalt"?

Zitat:

Zitat von Shadow

Zeigt ein Online-Bankingprogramm irgendwelche Webseiten an?
Irgendeinen "externen Inhalt"?

Natürlich nicht

Ich kann mir halt nicht so richtig vorstellen das es sicherer sein soll als der Browser, kann da aber auch falsch liegen.

Zitat:

Zitat von Dragon79

Ich kann mir halt nicht so richtig vorstellen das es sicherer sein soll als der Browser, kann da aber auch falsch liegen.

Wie gesagt, ChipTAN-optik (Flickering) sollte sicher sein, wenn der Nutzer sein Hirn einschaltet, also keine Testüberweisungen durchführt auf "irgendwelche Konten" und die im ChipTAN-Generator angezeigten Daten gewissenhaft mit den Daten auf den Originalrechnungen o.ä. abgleicht.

Tendenziell ist ein Browserfensterinhalt aber recht leicht zu fälschen, es muss nichts am Programm geändert werden, je nach Methode. Durch Ausnutzung von "social engineering" kann ein Nutzer z.B. auf eine gefälschte Seite gelockt werden, die sich aber durchaus der echten Inhalte der Originalseite bedient, auf der ein Nutzer zu angeblichen Testüberweisungen aufgefordert wird.
Die über ein reines, beim Nutzer auf dessen PC installiertem Onlinebankingprogramm zu erreichen würde extrem viel höheren Aufwand bedeuten oder extrem viel höhere "Unbedarftheit" beim Opfer.

Zitat:

Zitat von Shadow

Tendenziell ist ein Browserfensterinhalt aber recht leicht zu fälschen, es muss nichts am Programm geändert werden, je nach Methode. Durch Ausnutzung von "social engineering" kann ein Nutzer z.B. auf eine gefälschte Seite gelockt werden, die sich aber durchaus der echten Inhalte der Originalseite bedient, auf der ein Nutzer zu angeblichen Testüberweisungen aufgefordert wird.
Die über ein reines, beim Nutzer auf dessen PC installiertem Onlinebankingprogramm zu erreichen würde extrem viel höheren Aufwand bedeuten oder extrem viel höhere "Unbedarftheit" beim Opfer.

Das sehe ich nicht so.
Im Grunde ist der Browser dein Bankingprogramm. Und um an die Inhalte zu kommen muss man sehr wohl das Programm/Prozess (Browser) verändern.
Schließlich ist das ja eine MitB Attacke. (Ich schließe mal SE/Phishing aus)

Rein theoretisch könnte man auch bei jeder x beliebigen Bankingsoftware eine "Man in the Bankingsoftware" Attacke durchführen.

Im Grunde macht die Bankingsoftware das gleiche wie ein Browser und zwar Inhalte vom Server der Bank anfordern und zurücksenden. Und genau diese Kommunikation kann man immer abfangen und bearbeiten.

Nur haben es richtige (!!!!) Malware Autoren nicht auf diese Banking Programme abgesehen, da die Anzahl von Nutzern (im Vergleich zu denen die es über den Browser machen) einfach zu gering ist.
Ein weiterer Punkt dürfte wohl auch sein, dass das "bearbeiten" dieser Kommunikation etwas schwieriger ist, da der Code nicht Open Source ist wie bei Firefox oder Chrome.

Zu behaupten dass so ein Bankingprogramm das ultimative ist, ist daher imho falsch. Aber es ist natürlich viel sicherer als über den Browser!
(außer man verwendet Secure Banking *hust*) ^^

Zitat:

Zitat von SecureBanking

Im Grunde ist der Browser dein Bankingprogramm.

Sehe ich nicht so, der Browser ist doch eher wie ein Betriebssystem für die Webseiten (siehe auch Chrome OS), das Frontend des Webbankingprogramms wird dort angezeigt, der Browser ist es aber nicht.

Zitat:

Zitat von SecureBanking

Und um an die Inhalte zu kommen muss man sehr wohl das Programm/Prozess (Browser) verändern.
Schließlich ist das ja eine MitB Attacke.

Das ist deine Domäne, aber was wird denn wirklich im Browser geändert?

Zitat:

Zitat von SecureBanking

Rein theoretisch könnte man auch bei jeder x beliebigen Bankingsoftware eine "Man in the Bankingsoftware" Attacke durchführen.

Ja und? ChipTAN-optik sollte doch da schützen.

Zitat:

Zitat von SecureBanking

Im Grunde macht die Bankingsoftware das gleiche wie ein Browser und zwar Inhalte vom Server der Bank anfordern und zurücksenden. Und genau diese Kommunikation kann man immer abfangen und bearbeiten.

Natürlich, darum ging ja gar nicht (in dem Teil den du zitiert hast). Es ging um die Vortäuschung falscher Informationen um einem Nutzer dazu zu bringen, dass er eine falsche Überweisung tätigt.

Zitat:

Zitat von SecureBanking

Zu behaupten dass so ein Bankingprogramm das ultimative ist, ist daher imho falsch.

Habe zumindest ich nicht gesagt. Meine Aussage war soweit ich mich erinnere:
ChipTAN optik mit gewissenhafter Prüfung - und dabei sollte es keine rolle Spielen ob Browser oder Bankingsoftware.
Zusätzlich: Per Browser ist es aber leichter einem Nutzer falsche Ziele unterzuschieben und falsche Informationen vorzugauckeln (wie Testüberweisung), wobei ich durchaus auch weiß (womit ich diese letzte Aussage zumindest etwas einschränken möchte), dass es Bankingprogramme gibt, die (Eigen-)Werbung und (Pseudo-)Informationen einblendet (IIRC z.B. Starmoney) oder bankinterne "Kunden-Informationen" einblendet (IIRC VR-Networld zum Beispiel). Wenn es gelingt diese Einblendungen zu kapern, dann dürfte eine "Testüberweisung" noch mehr Zuspruch finden.

Zitat:

Zitat von Shadow

Sehe ich nicht so, der Browser ist doch eher wie ein Betriebssystem für die Webseiten (siehe auch Chrome OS), das Frontend des Webbankingprogramms wird dort angezeigt, der Browser ist es aber nicht.

Nunja, im Prinzip unterscheiden die sich nur in der Darstellung der Daten. Und das wars auch schon. Der Browser kann halt noch jede Menge andere Sachen, die aber für diesen Zweck irrelevant sind.

Zitat:

Zitat von Shadow

Das ist deine Domäne, aber was wird denn wirklich im Browser geändert?

Jede Menge, je nach Browser werden unterschiedlich viele Hooks gesetzt. Bei FF sinds 3 bei IE sogar 8 oder mehr. Und für jeden dieser Hooks muss zusätzlich eine Menge von Code injiziert werden. Kannst pro Hook ca. mit 300-800 Zeilen Code rechnen. Je nachdem wie "gut" der Trojaner ist.

Zitat:

Zitat von Shadow

Ja und? ChipTAN-optik sollte doch da schützen.

Ja sollte es, aber dann muss es dich genau so im Browser schützen.

Zitat:

Zitat von Shadow

Habe zumindest ich nicht gesagt. Meine Aussage war soweit ich mich erinnere:
ChipTAN optik mit gewissenhafter Prüfung - und dabei sollte es keine rolle Spielen ob Browser oder Bankingsoftware.
Zusätzlich: Per Browser ist es aber leichter einem Nutzer falsche Ziele unterzuschieben und falsche Informationen vorzugauckeln (wie Testüberweisung), wobei ich durchaus auch weiß (womit ich diese letzte Aussage zumindest etwas einschränken möchte), dass es Bankingprogramme gibt, die (Eigen-)Werbung und (Pseudo-)Informationen einblendet (IIRC z.B. Starmoney) oder bankinterne "Kunden-Informationen" einblendet (IIRC VR-Networld zum Beispiel). Wenn es gelingt diese Einblendungen zu kapern, dann dürfte eine "Testüberweisung" noch mehr Zuspruch finden.

Ja das klang bei mir ein wenig auf dich bezogen, sorry. Ich hab das generell gemeint. Generell zu sagen Bankingprogramme wären das Ultimative...

Zitat:

Zitat von SecureBanking

Ja sollte es, aber dann muss es dich genau so im Browser schützen.

Habe ich wie oft geschrieben?

Ich hab mal eine Frage zum Thema: Kommt es bei der Gefahr duch Man-in-the-browser wesentlich auch auf das Betriebssystem an oder ist das Risiko in erster Linie nur abhängig vom Browser? Ich meine jetzt weniger, was theoretisch möglich ist, sondern was praktisch beobachtet wurde. Ist es also zur Zeit ein Browser auf Windows Problem oder ein Browser-Problem unabhängig vom Betriebssystem?
Gruß harlud