DIG Digital Corner
Alles wat je altijd al over computers, hardware, software, internet en elektronische gadgets had willen weten, maar niet op Tweakers.net durft te vragen.
Tuurlijk is dat mogelijk, als je al code hebt draaien op de PC van je slachtoffer die een ander login scherm toont, dan is het heel eenvoudig een man-in-the-middle attack uit te voeren. Je hebt dan wel een versleutelde verbinding, maar niet naar de server v/d postbank. De server v/d crimineel kan vervolgens met jouw code een versleutelde verbinding opzetten met de postbank en met die gegevens de hele sessie faken.quote:Op zaterdag 20 september 2008 09:55 schreef Riparius het volgende:
[..]
Nee, lijkt me niet. Als je één of meer betalingsopdrachten hebt ingevoerd krijg je eerst nog een verzendlijst te zien waar je de TAN code moet invoeren. Die verzendlijst is afkomstig van de server van de Postbank, dus die zou dan ook gemanipuleerd moeten worden, wat niet (in realtime) mogelijk is vanwege de versleuteling. (...)
Enige wat je kan doen is heel goed de SSL certificaten controleren, maar ken jij iemand die dat doet ?
It is impossible to live a pleasant life without living wisely and well and justly.
And it is impossible to live wisely and well and justly without living a pleasant life.
And it is impossible to live wisely and well and justly without living a pleasant life.
Ik zou wel eens een proof of concept willen zien dat zoiets mogelijk is bij de Postbank, d.w.z. dat een crimineel een TAN code in handen krijgt terwijl het slachtoffer denkt een reguliere overschrijving uit te voeren en ook de juiste gegevens van die overschrijving op het scherm krijgt te zien. Volgens mij kan dat niet. De Postbank virussen die nu al jaren in omloop zijn kunnen dat niet en zijn dan ook ronduit primitief.quote:Op zaterdag 20 september 2008 12:15 schreef Aaargh! het volgende:
[..]
Tuurlijk is dat mogelijk, als je al code hebt draaien op de PC van je slachtoffer die een ander login scherm toont, dan is het heel eenvoudig een man-in-the-middle attack uit te voeren. Je hebt dan wel een versleutelde verbinding, maar niet naar de server v/d postbank. De server v/d crimineel kan vervolgens met jouw code een versleutelde verbinding opzetten met de postbank en met die gegevens de hele sessie faken.
Enige wat je kan doen is heel goed de SSL certificaten controleren, maar ken jij iemand die dat doet ?
Overigens, zelfs als een crimineel de inloggegevens plus een TAN code in handen heeft betekent dat nog niet dat hij een overschrijving kan doen. De TAN codes worden namelijk in willekeurige volgorde afgevraagd en ook wordt een niet gebruikte code bij een volgende sessie niet opnieuw gevraagd. Ik heb dat zelf wel eens uitgetest door een overschrijving op het laatste moment (als dus om de TAN code wordt gevraagd) af te breken, uit te loggen, opnieuw in te loggen en precies dezelfde overschrijving nog een keer uit te voeren. Bij de tweede keer wordt dan om een andere TAN code gevraagd.
Ik zou niet weten waarom dat niet zou kunnen. Als je zoiets doet communiceer je helemaal niet met de server v/d postbank maar met die van degene die het virus gemaakt heeft. Die kan gewoon de postbank site helemaal faken en op de achtergrond op de echte site inloggen met de gegevens die jij invoert.quote:
[..]
Ik zou wel eens een proof of concept willen zien dat zoiets mogelijk is bij de Postbank, d.w.z. dat een crimineel een TAN code in handen krijgt terwijl het slachtoffer denkt een reguliere overschrijving uit te voeren en ook de juiste gegevens van die overschrijving op het scherm krijgt te zien. Volgens mij kan dat niet. (...)
It is impossible to live a pleasant life without living wisely and well and justly.
And it is impossible to live wisely and well and justly without living a pleasant life.
And it is impossible to live wisely and well and justly without living a pleasant life.
|
|
