schaut selbst.: http://www.heise.de/security/meldung/Linux-Banking-Trojaner-in-freier-Wildbahn-gesichtet-1932533.html schönes WE
> mit verschiedenen Browsern wie Firefox und Chrome funktionieren. Ich verwende LuaKit, http://mason-larobina.github.io/luakit/ und kann mich ganz entspannt zurücklehnen.
J. Wa. schrieb: >> mit verschiedenen Browsern wie Firefox und Chrome funktionieren. > > Ich verwende LuaKit, > http://mason-larobina.github.io/luakit/ > und kann mich ganz entspannt zurücklehnen.
1 | It is primarily targeted at ... any people with too much time on their hands |
Uhu Uhuhu schrieb: > It is primarily targeted at ... any people with too much time on their > hands Die heißt doch Lua :-)
LuaKit basiert auf Webkit, Chrome tat es bisher auch, ebenso ziemlich viel vom dem was auf Handys läuft. Angesichts dieses Marktes für Neugierige wäre ich mit dem "entspannt zurücklehnen" etwas vorsichtig.
Die sich sicher fühlen sind immer die besten Ziele, für jed Art von Angriff.Arglosigkeit macht angreifbar. Deshalb sollte man sich der Risiken bewusst sein und nicht auf Versprechen vertrauen, welche man nicht nachzuprüfen vermag.;) Namaste
> Die Security-Spezialisten > in ihrem Blog > Laut RSA soll > Die Malware soll Ob die Spezialisten gerade Auftragsflaute haben? > der Benutzer muss ihn selbst installieren Was? Das ist aber echt User-Unfreundlich... na immerhin gibt es ein Setupprogramm: > indem er beispielsweise ein Mail-Attachment ohne nähere > Prüfung ausführt oder Programmpakete aus anderen Quellen > als den Repositories seiner Distribution installiert Da haben die "Spezialisten" also einen etwas besseren Keylogger geschrieben den ich mir auch noch selber installieren darf und dass ist jetzt dann der ultimative "Linux-Banking-Trojaner"...
Läubi .. schrieb: > Da haben die "Spezialisten" also einen etwas besseren Keylogger > geschrieben den ich mir auch noch selber installieren darf und dass ist > jetzt dann der ultimative "Linux-Banking-Trojaner"... Diese Linux-Heinis sind für alles andere doch sowieso zu doof ;-)
ich nütze kein Linux für mein Onlinebanking, aber ich sehe in solch einem Virus für die meisten user keine wirkliche Gefahr. wer fremde Pakete abseits des Repositories seiner Distribution holt sollte schon wissen was er tut. Ausserdem bedarf dies einer größere Userinteraktion, mit zwei Mausklicks ist das nicht erledigt. gleiches gilt für die "Installation" eines Mailanhangs. Alles in allem ist das m.M.n. wieder eine theoretische Lücke. Abgesehen davon dass die ganzen Onlinebanking-LivCDs davon sowieso nicht betroffen sind!
Jeffrey Lebowski schrieb: > Alles in allem ist das m.M.n. wieder eine theoretische Lücke. Ich frage mich auch gerade, was man mit einem simplen Keylogger denn heutzutage überhaupt noch anrichten kann? Der Angreifer hat danach als einzig verwertbare Daten Kontonummer mit PIN. Aber selbst mit dem „klassischen“ (Papierzettel-)TAN-Verfahren hätte er doch damit weiter nichts anfangen können, als den Kontostand und die Kontobewegungen abzufragen, aber eine eigene Buchung tätigen wäre nicht drin. Dafür brauchte es einen man-in-the-middle-Angriff (Formulardaten umlenken, um die eigene Kontonummer einzutauschen), und mit den aktuellen TAN-Verfahren ist der Gewinn noch geringer. Warum zum Geier[TM] würde dafür jemand zweitausend Bucks hinlegen?
Jörg Wunsch schrieb: > Warum zum Geier[TM] würde dafür jemand zweitausend Bucks hinlegen? Warum sollten immer die User abgezockt werden und nicht auch mal die "bösen Buben"? ;-)
Jörg Wunsch schrieb: > Aber selbst mit > dem „klassischen“ (Papierzettel-)TAN-Verfahren hätte er doch damit > weiter nichts anfangen können, als den Kontostand und die > Kontobewegungen abzufragen, aber eine eigene Buchung tätigen wäre > nicht drin. Wenn der Keylogger schnell genug ist, daß ein Man in the Middle die Daten schnell genug bekommt, kann er sehr wohl.
Uhu Uhuhu schrieb: > Wenn der Keylogger schnell genug ist, daß ein Man in the Middle die > Daten schnell genug bekommt, kann er sehr wohl. Meines Wissens wurden aber Chip- und SMS-TAN ja extra dagegen entwickelt. Da bekommst du das tatsächliche Gegenkonto nochmal angezeigt zum Verfizieren. Davon abgesehen, müsste der Keylogger ja sicherstellen, dass die mitgeschnittenen (und hernach manipulierten) Daten vor den originalen beim Computer der Bank eintreffen.
Uhu Uhuhu schrieb: > Wenn der Keylogger schnell genug ist, daß ein Man in the Middle > die Daten schnell genug bekommt, kann er sehr wohl. Alle modernen Verfahren erlauben es mit der Tan nur die angelegte Transaktion durchzuführen, es müsste also schon ein echter "Man in the Middle" sein und dann braucht er auch nicht einen Trojaner um die PW zu klauen. Außerdem kommt noch was Jörg ansprach hinzu.
Jörg Wunsch schrieb: > Davon abgesehen, müsste der Keylogger ja sicherstellen, dass die > mitgeschnittenen (und hernach manipulierten) Daten vor den > originalen beim Computer der Bank eintreffen. Es reicht doch, wenn der Ganove die Bankseite manipuliert, bevor sie dem Bankkunden angezeigt wird. Der Ganove nimmt die Kommunikation mit der Bank in die eigene Hand. Solche Tricksereien werden gemacht. Selbst SMS-TAN haben sie auf die Weise schon erfolgreich kompromittiert.
Uhu Uhuhu schrieb: > Es reicht doch, wenn der Ganove die Bankseite manipuliert, bevor sie dem > Bankkunden angezeigt wird. Dann ist es aber eben kein einfacher Keylogger mehr. Genau das ist es ja aber gemäß dem Heise-Artikel.
Jörg Wunsch schrieb: > Ich frage mich auch gerade, was man mit einem simplen Keylogger denn > heutzutage überhaupt noch anrichten kann? Identitätsdiebstahl. Zugang zu Mailaccounts und darüber Zugang zu allem was eine "Passwort vergessen" Funktion hat. Händler-Accounts, ...
> "Hand of Thief" nutzt keine spezielle Linux-Sicherheitslücke aus; der Benutzer
muss ihn selbst installieren, indem er beispielsweise ein Mail-Attachment ohne
nähere Prüfung ausführt oder Programmpakete aus anderen Quellen als den
Repositories seiner Distribution installiert.
lol. Und dann wird einfach sowas wie ein Keylogger installiert. Naja...
Von ner echten Gefahr für den üblichen Linuxanweder (der wohl
hoffentlich mehr Ahnung von der Materie hat als der normale User) würde
ich hier mal nicht ausgehen.
A. K. schrieb: > Identitätsdiebstahl. Zugang zu Mailaccounts und darüber Zugang zu allem > was eine "Passwort vergessen" Funktion hat. Hier war aber von "Bankingtrojaner" die Rede.
Johannes O. schrieb: > Von ner echten Gefahr für den üblichen Linuxanweder (der wohl > hoffentlich mehr Ahnung von der Materie hat als der normale User) würde > ich hier mal nicht ausgehen. Für Linux-User die keine Ahnung von dem System haben aber auch nicht: - Um irgendetwas (Emailanhänge) auszuführen muss man erst mal das executeable-Bit setzen - Falls es ein Paket ist (z.B. .deb) startet die Softwareverwaltung und der User muss selbst auf "installieren" klicken (da sollte es dann klingeln) - Um die Software über Repos zu bekommen muss er erst mal solche einrichten So lange also ein Nicht-Profi-Linux-User seinen PC einfach ganz normal benutzt kann eigentlich nichts passieren..
Jörg Wunsch schrieb: > Hier war aber von "Bankingtrojaner" die Rede. Naja, ein Bankingtrojaner muss heute schon etwas mehr können. Mitgelesene Formulareingaben bringen den bei iTan oder ChipTan überhaupt nicht weiter. Ein Bankingtrojaner heutzutage 1. Legt sich bei Aufruf des Bankingprogrammes oder der Internetseite der Bank über diese. 2. Fängt Login und Überweisungen ab, schickt aber nach erfolgter Anmeldung seine eigenen Angaben (anderes Konto, andere Summe der Überweisung) an die Bank. 3. Empfängt die Rückantwort der Bank mit Tanabfrage. 4. Gibt die Tanabfrage manipuliert mit den anscheinend richtigen Werten aus. 5. Fängt die Tan ab und schickt diese für seine falschen Angaben an die Bank. 6. Fängt die Umsatzanzeige der Bank ab und manipuliert die so, dass anscheinend die richtige Abbuchung erfolgt ist. Das ist schon recht anspruchsvoll, sollte aber im Browser sofort auffallen, wenn kein https mit der richtigen Adresse der Bank in der Adresszeile steht.
So, wie dieses Spielzeug haben sie auf Windows auch mal angefangen. Erfahrungsgemäß ist Software ausbaufähig und die Jungs, die sowas machen, keine Dilletanten.
Uhu Uhuhu schrieb: > keine Dilletanten Sind das Tanten, die Gurken in Dill einlegen? Die Spasskasse setzt seit Jahren auf Starmoney. Auch wenn das Programm immer aufgeblähter wird, scheint es erfolgreich zu laufen. Einige Banken bieten eigene Apps für Smartphone an. Scheinen es also für ausreichend sicher zu halten (Nur ist mtan dann etwas blöd, wenn die auf das gleiche Gerät geht). iTan wurde ja eigentlich nur abgesetzt, weil es Typen gab, die Pishern ihre abgetippte Tanliste geschickt haben. ChipTan dürfte - sofern man die im Tangenerator angezeigten Daten wirklich vergleicht -, relativ schwer angreifbar sein. Es sei denn, der Tangenerator hat eine Schwachstelle. Ansonsten hilft da meines Wissen auch obiges Szenario mit abgefangenen Formulardaten und manipulierter Ausgabe nichts, weil die Überweisungsdaten eben nicht mit den im Tangenerator angezeigten Daten übereinstimmen. Ein Hardware-Hack auf schriftliche Überweisungen ist vor ein paar Jahren hier erfolgt: An der Sparkasse wurde der - clevererweise aussen angebrachte - Briefkasten für Überweisungen abgerissen. Die Diebe hatten damit Kontonummer, Kontoinhaber und Unterschrift von einigen hundert Kunden. Mehr brauchen sie nicht, um Geld fröhlich hin- und herzuschicken. Im Prinzip reicht dazu eine kopierte EC-Karte mit Deiner Unterschrift. Und nun beweise der Bank mal, dass das nicht Deine Unterschrift ist und Du nicht das Überweisungsformular ausgefüllt hast. Aber keiner redet von der Unsicherheit schriftlicher Überweisungen.
Timm Thaler schrieb: > Und nun beweise der Bank mal, dass das nicht Deine > Unterschrift ist und Du nicht das Überweisungsformular ausgefüllt hast. > Aber keiner redet von der Unsicherheit schriftlicher Überweisungen. Datenschutz ist für viele heute eine Sache, die nur mit dem Computer zu tun hat. Was sich die Geschäftsleute hingegen da so im ICE oder im Flieger erzählen... das schlägt jedem NSA-Faß den Boden aus. Aber wehe, das Passwort wird nicht täglich geändert und enthält nicht mindestens 3 Sonderzeichen!
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.