banken-infos

bank > Wahrscheinlich mußt Du nur JavaScript einschalten in Deinem
> > verkorksten Browser.
>
> Nein. Deswegen benutze ich ja das ct-IEC.
> Normalerweise kann man in dem verkorsten Browser ja nur Active
> Scripting als ganzes (also javascript und Active X zusammen)
> abschalten.
>
> Genau deswegen “verbiete” ich meinem Internet Explorer eben Active-X
> aber nicht Javascript.
Javascript, oder Jscript? Es soll da so kleine Unterschiede geben …
>
> PS: was mich ein bischen wundert: kennen Sie, bzw. die anderen Poster
> ct-IEC gar nicht?
> Ich dachte hier bei heise nutzt das quasi jeder, um seinen IE
> abzusichern, wo doch auch in der print-Ausgabe so ausführlich darüber
> berichtet wurde.
Warum sollte hier jeder einen IE haben? Ich habe auf mein Win98
Anfang der Woche mal nen IE5.5 draufgespielt, weil eine Software das
brauchte.
Leider brauchte ich die Software.
Aber deswegen damit ins Internet?
Da habe ich noch Netscape4.8, Netscape7.1, Mozilla, und Opera, einer
wirds schon richten. Eigentlich benutze ich nur den Mozilla. Die
anderen nehme ich ab und zu zum Vergleich. Ist schon lustig, wenn man
mit Netscape 7.1 auf eine Website kommt, mit Mozilla aber nicht.
Lustig deswegen, weil Mozilla 1.4 und Netscape 7.1 die gleichen
Fähigkeiten haben. Tauscht man den UserAgent des Mozilla, das ist das
kurze Stück Text, was der Website meldet, um welchen Browser es sich
handelt, gegen den des Netscape7 oder des IE, dann funktioniert
plötzlich so manche Website.
> (Ja und mir ist auch klar, dass hier natürlich die Vertreter der
> anderen Browser stärker vertreten sind, als in der restlichen Welt.
Warum wohl? Wer als Entwickler die Schwächen kennt, wird dann wohl
seine Schlüsse ziehen. Natürlich ist es ein guter Kundendienst der
c

banka es Alternativen wie HBCI längst gibt stellt sich die Frage:
Diese Alternative hat man auch als DB-Kunde.
> Wie gering ist demnach das Phishing-Risiko, so dass eine Reduktion
> auf 1/100 als ein sinnvoller, zunächst ausreichender Weg betrachtet
> wird?
kommt darauf an, nach wieviel abgebrochenen Transaktionen gesperrt
wird,
wieviele der 100 Nummern schon weg sind etc.
> Da wundert es umso mehr, dass es sich auch noch lohnt, den Kunden
> vorzeitig neue TAN-Listen zuzusenden (erhebliche Bearbeituzngs- und
> Portokosten). Das spräche eigentlich für ein hohes Phishing-Risiko,
> bei dem man sich an jeden Strohhalm klammert.
Die Dummen sterben nie aus.
> Und ich bin mir sicher: Die von der Deutschen Bank haben Kosten
> (Gewinnverringerung) und Nutzen (weniger Kulanzfälle durch Phishing,
> bessere (immer noch unzureichende) Argumentation vor Gericht) sehr
> genau vorher berechnet.
Bestimmt, aber was meint die Ãœberschrift?
cu
Peter

banknture kannte ich bis vor ein paar Wochen noch gar nicht.
Aber… hmmm… da sind doch die die schon den Start des Online
ANgebotes der deutschen Bundeagentur für Arbeit vermasselt haben,
oder?
Kenne ich diese Firma daher? Muss wohl so sein, wenn hier bei heise
vor ein paar Wochen darüber berichtet wurde.
Dann wurde ich neugierig und habe auf deren webseite
www.accenture.com geklickt… und nichts öffnete sich. Zuerst dachte
ich ja “kann doch nicht sein, das so eine grosse Firma einen
abgeschossenen Webserver hat”…
aber dann kam mir eine Idee und ich aktivierte im ct-iec mal kurz
Active X.
Jetzt öffnete sich deren Webseite. LOL.
Hm… komisch… natürlich war das nur ein Test und sofort danach
habe ich Active X wieder verboten… wer will denn schon mit solchen
Sicherheitslücken herumsurfen? (Siehe dazu den Browsercheck dieser
Zeitschrift in deren Forum wir uns gerade befinden.)
Tja, also ich gehe schlichtweg nicht auf Seiten die sich mit ct-IEC
nicht besuchen lassen. Javascript sehe ich ja noch zähneknirschend
ein… aber Active X?
Wenn man von seinen Web-Besuchern fordert, dass sie mit so einem
“offenen Scheunentor” auf die eigene Seite surfen… darf man sich da
überhaupt noch IT Unternehmensberatung nennen? Ich meine IT
Unternehmensberatungen sind doch auch für die Sicherheit (ihre und
die ihrer Kunden) verantwortlich… wie kann man da nur einen
Besucher dazu bringen wollen Active X zu aktivieren?
Im Gegenteil, sollte deren Webseite nicht nur ohne diesen
gefährlichen Unsinn funktionieren, sondern -als IT
Unternehmensberatung- im Gegenteil Besucher die Active X aktiviert
haben, vor den möglichen ernormen Risiken warnen und ggf. das
Abstellen dieses Sicherheitsproblems aufzeigen.
So wie heise dies z.B. tut, selbst wenn heise natürlich kein
Consulting Unternehmen, sondern “nur” ein Verlag ist.
Hmm… obwohl… sind die Schutzpflichten einer IT-Consult Firma
nicht eher sogar noch weitgehender als die einer Zeitschrift? Müsste
accenture nicht sogar eher noch strenger auf die Sicherheit achten,
als heise?
Na ja… ich kenne Accenture.com ja weiterhin eigentlich gar nicht.
Gerade mal zwei heise meldungen und ein Webseitenbesuch.
Aber mein erster Eindruck ist nunmal bisher: Oh mein Gott, was ist
das denn für ein Laden?
Tja… meine Frage an die die accenture evtl. schon kennen: ist das
ein Versehen mit deren Webseite, oder sind die wirklich so schlecht
wie sie (mir zumindest) nach den Pannen beim
Arbeitsamt-Online-Angebot und bei ihrer eigenen Webseite erscheinen?
Bitte kein Flame, ich hätte nur gerne ein Antwort, ob das quasi
“einmaliges Augenblickversagen” ist, oder ob solche schweren Fehler
“die Regel” sind.
Thx.
salami taktik

O.k., o.k., also ich erzähl Euch die ganze Story, damit Ihr auch
versteht, weshalb ich denke, dass die Seite echt war.
1.) Ich bekam diese Mail (offensichtlich Phishing…) und hab mal auf
den Link draufgeklickt. Man kann ja mal ein paar falsche Daten
eingeben, mal sehen, was passiert. So, jetzt lande ich aber auf der
mir wohlbekannten Login-Seite meiner Hausbank…merkwürdig…Adresse
mit eigenem Link verglichen…dieselbe…falsche Daten
eingegeben…abgewiesen…
2.) Jetzt hab ich zwar über 20 Jahre IT-Erfahrung, bin aber ein
ziemlicher Chaot, heißt: ich mache manchmal 1000 Sachen gleichzeitig.
Also komme ich wieder an meinen PC (inzwischen natürlich etwas völlig
anderes im Kopf), sehe die noch offene Seite meiner Bank und denke:
“Ah, super, ich wollte ja meinen Kontostand checken…”…ja und es
kam, wie es kommen musste, ich hab meine echten Login-Daten
eingegeben, bin aber tatsächlich in meinem Konto gelandet…(o.k.,
könnte natürlich eine Umleitung gewesen sein, aber was wollen die
ohne TAN-Nummer???)
O.k. und jetzt viel Spaß beim Trottel-Bashing… Gruß
Frank

> 1. Frage: Für welchen Phishing-Verein arbeitest Du? Ganz offensichtlich für keinen. Kein Phisher würde jemals so viel
Eleganz in seinen Phishing-Versuch legen. > Wenn für keinen: wollen wir nicht einen gründen? Du programmierst und ich zähl
> die Kohle?
Ich muss zugeben, daß die Versuchung sehr groß ist.
> 2. Zum Glück hab ich Firefox/Thunderbird benutzt…da ist es
> vielleicht nicht GANZ so einfach…hoffe ich jedenfalls…
Bislang eher gar nicht. An bekannten Lücken in FF fallen mir ein:
- navigator.plugins[#].filename kann, wenn man Fehlkonfiguration

Obwohl ich es bislang noch nirgendwo In-The-Wild gesehen habe, ist es
mit IE/OE sehr wohl möglich, mit Hilfe der originalen Webseite zu
phishen. Mit einer Kombination von Exploits für nachwievor
ungepatchte Lücken kann man folgendes bewerkstelligen:
1. In der Mail ist ein Link auf https://securelogin.citibank.com, in
der Statusleiste erscheint diese URL ebenfalls, aber beim Klick
landet mal auf http://www.evil.com/citiphish.htm. Ohne JavaScript.
2. Diese Webseite öffnet ein neues Fenster für
http://www.evil.com/citiphish2.htm und schließt sich selbst. Dieses
Fenster hat keine Adressleiste. Seit XPSP2 sollte nun in der
Titelleiste des neuen Fenster die originale URL, dann eine
Bindestrich und dann der Titel der neuen Webseite stehen - dank einer
weiteren kleinen Lücke erscheint jedoch
https://securelogin.citibank.com als URL.
3. Diese Webseite erzeugt einen neuen DIV-Layer ganz oben, der die
Adressleiste emuliert. Die zeigt daher brav
https://securelogin.citibank.com an und ist sogar durch Klickerei
bedienbar.
4. Diese Webseite besteht auf einem JavaScript im Header und einem
Frame, der die originale https://securelogin.citibank.com einbindet.
Dadurch erscheint in der Statusleiste das SSL-Lock, und bei
Rechtsklick, Eigenschaften erscheint ebenfalls
https://securelogin.citibank.com als URL.
5. Gibt nun einer seine Logindaten ein, so fängt das Script sämtliche
Tastenanschläge ab - obwohl die Cross-Domain-Policy das ja strikt
verbieten sollte. Diese werden dann an den Server gesendet. Phishing
gelungen.
Ach, warum mach ich’s mir denn so schwer?
2a. Man öffne ein neues Fenster auf
http://www.evil.com/citiphish2.htm. Dieses schnappt sich die Referenz
auf das öffnende Fenster, sucht sich eine bislang noch nicht
gesperrtes Objekt heraus (Microsoft sperrt nur exploitete Objekte,
und zwar immer wieder, anstatt das Problem selbst zu beheben - weil
sie dann den gesamten IE größtenteils umschreiben müssten), wie z.B.
das frame-Objekt, und speichern es in einer neuen Variable. Ebenfalls
per dieser Referenz redirecten wir das originale Fenster nach
https://securelogin.citibank.com, und, was Wunder, können mit der
gespeicherten Referenz diese Webseite nun beliebig manipulieren.
Trotz Cross-Domain-Policy.
Ach, warum mach ich’s mir denn so schwer?
2b. Man exploite eine der viele Boundary Errors in shdocw.dll bei
diversen CSS-Combos, um beliebigen Code auszuführen. Das daraufhin
installierte Trojanische Pferd erledigt den Rest.
Ne, auch noch zu kompliziert.
2c.
MZblah_ein_echtes_binary, abszuspeichern als evil.gif, wobei der
Webserver als Content-Type video/x-ms-wmv liefert.
Ne, auch das ist noch zu schwer.
2d. Der User hat doch sein Logindaten in ‘ner Textdatei abgelegt und
benutzt die Zwischenablage. Klar, man könnte auch die Textdatei
suchen und auslesen, aber dann müsste man wenigsten grob den Namen
kennen. Indes, die Zwischenablage kriegen wir ja direkt: Eine
unsichtbare Textarea, ein focus() draufgesetzt und per
document.execCommand(”paste”) haben wir den Inhalt.
Nein, ich werde keine 0day-Exploits an Phisher verkaufen.
Nein, ein Großteil davon ist eigentlich schon seit Jahren bekannt und
von Microsoft totgeschwiegen wurden.
Nein, secure@microsoft.com interessierte sich schon vor Monaten nicht
dafür.
Nein, beim IE7 wird nix davon besser, zumindest laut der Beta.

> Hi Leute,
>
> eine (vielleicht blöde) Frage: Was sind denn das für Mails, die dazu
> auffordern, sich bei der XY-Bank einzuloggen und wenn man dem Link
> folgt (was ich leidenschaftlich gern tue) landet man auf der ECHTEN
> Login-Seite der Bank???
nein, z.B. war die letzte Mail, die ich erhielt, diese hier:
Return-Path: bank.de>
From: Deutsche Bank bank.de>
To: Twister
Subject: Deutsche Bank
Sehr geehrter Kunde,
Die Deutsche Bank sorgt immer fur die Sicherheit von unseren Kunden,
deswegen werden von uns immer wieder neue Methoden zur Sicherung der
Interessen von unseren Klienten entwickelt.
In der letzten Zeit wurden die Betrugereiversuche, die Geldmittel von
den Bankkonten zu stehlen, haufiger geworden. Das Anwendungssystem
der TAN - Aufstellung hat sich nicht ganz bewahrt. Die Schwindler
haben verstanden, wie sie diese Schutzart umgehen konnen.
Wir haben sehr sorgfaltig jeden Diebstahl von den Konten behandelt
und haben somit eine Liste von den Merkmalen der verdachtigen
Operation gemacht.
Gegenwartig haben wir ein neues elektronisches Sicherheitssystem
aufgebaut, das den Zugang zu den Bankkonten verhindert, das ist
praktisch einsatzbereit. Scheint die Transaktion unsauber, so wird
von dem System eine Geheimfrage gestellt. Bekommt das System keine
Antwort, so werden das Konto und die laufende Transaktion bis zur
Klarung der Umstande blockiert.
Wir bitten Sie, um das System richtig laufen zu lassen, die Form der
zusatzlichen Autorisation auszufullen.
Wir hoffen, dass Sie unser neues Sicherheitssystem richtig
einschatzen.
Danke fur die Zusammenarbeit,
Deutsche Bank
Erst bei html-Ansicht zeigte sich dann der Link hinter “Form”auf die
Seite:
http://www.deutsche-bank.de.pbc_content.ser_obs_sic_grundlagen.backup
servers12.com/mod/WebObjects/dbpbc.woa

> Ich hatte eigentlich schon ein Verfahren erwartet bei der
> Thyssen/Krupp Geschichte. Wie kann es sein das eine Bank in zwei
> Aufsichtsräten sitzt und dann in einem die feindliche Ãœbernahme des
> anderen betreibt. Das stank schon zum Himmel. Genauso wie die
> Mannesmann Abfindungen. Die Deutsche Bank ist ein Sumpf der
> Korruption der endlich trockengelegt werden muss. Ich hoffe das nun
> noch Ackermann seine Lizenz und damit seinen Job als CEO im Rahmen
> des Mannesmann Prozesses verliert
Soweit nachvollziehbar.
Den Mittelstand und die “Kleinanleger” haben die ja auch voll vor den
Kopf gestoßen.
> und die Deutsche Bank
> schlussendlich von der City-Group gekauft wird. Dieser Saustall
> befleckt mit seinem Namen “Deutsche” Bank den Ruf Deutschlands.
Aber die “City-Group” muß es nun wirklich NICHT sein.
Gruß
Dieter

> Genauso wie die
> Mannesmann Abfindungen. Die Deutsche Bank ist ein Sumpf der
> Korruption der endlich trockengelegt werden muss.
Bitte nicht so pauschal das ganze Unternehmen in den Dreck ziehen.
> Ich hoffe das nun
> noch Ackermann seine Lizenz und damit seinen Job als CEO im Rahmen
> des Mannesmann Prozesses verliert und die Deutsche Bank
> schlussendlich von der City-Group gekauft wird. Dieser Saustall
> befleckt mit seinem Namen “Deutsche” Bank den Ruf Deutschlands.
1. Ackermann ist kein CEO, sowas gibt’s in Deutschland nicht.
Allerdings hat er durchaus ähnliche Strukturen im Vorstand aufgebaut.
2. Wenn die Deutsche Bank so ein “Sumpf” ist, warum sollte die
City-Group sie dann kaufen ? Das ist ja fern von jeglicher Logik…
3. Die Deutsche Bank ist schon lange nicht mehr “deutsch”. Am
miserablen Ruf Deutschlands sind wir schon alle selbst schuld…

> und-it-im-blindflug/”>HBCI muss zumindest für’s Giro-Konto verfügbar sein.
> Bei Anlage- / Sparkonten wäre es nett, ist aber nicht unbedingt
> nötig.
>
> Aber jede Bank will da ja unbedingt ihr eigenes Süppchen kochen.
> Und noch ‘ne neue Oberfläche (die natürlich auch wieder nur mit IE
> funktioniert).
> Inkompatibel zu allem, was man bisher kannte.
> Haben die alle dermassen Angst, dass der Kunde ggf. die Bank
> wechselt?
>
> Und Banking über T-Offline oder AOL ist nun wirklich nicht zumutbar.
> (Ich brauch deren Wasserkopf für den Internet-Zugang nicht.)
>
> Zum Ko****.
Wichtiges Kriterium fuer eine gute Bank ist fuer mich daher auch
das ich einen guten Zugang zu meinen Konto habe.
Wenn die Bank kein HBCI anbietet, und mir den Zugang ueber T-Online
vorschreibt, dann eroeffne ich dort bestimmt kein Konto.
Inzwischen bietet jede groessere Bank einen Zugang ueber HBCI an,
von daher verstehe ich dein Problem eh nicht so ganz ..
Gruss
Dennis