xbbyysh 发表于 2014-10-2 11:34
我是在电脑上上的网银,不是手机网银
像这样银行会赔的。一般银行要求不能用同一设备操作网银和收mTAN
本帖最后由 rhein1982 于 2014-10-3 00:06 编辑
alphasong 发表于 2014-10-2 13:56
纯安全性的讨论,人为过失不算在内。
假设入侵者和防御者都有足够的时间且运算能力足够强的前提下
纸TAN的问题是 给你的那些TAN是预先生成的,每个Tan不是针对特定的转账业务,银行软件系统在客户具体某次转账时是采用Token Ring 的方式来实现的,学Info的同学应该知道这个原理,而 mTAN是点对点,也就是说mTAN是因为当前转账(目标账户和金额)而由银行系统生成,只对当前业务有效,LZ这个情况只要核对手机mTAN是可以避免的,但是纸TAN做不到这点。
一旦黑客获取一个纸tan,就可以在别的某个时间进行其所希望的交易,没有实时性要求。
假设:电脑已经中毒,进入黑客设计的钓鱼网站(伪造的网银网站),受害者本人尚未知情
过程: 1. 假网银网站要求输入账号密码 --> 受害者本人账号密码被突破
2. 受害者进行计划中的转账 -->假网站索要密码,受害者完全不知情的情况下填写一个纸质Tan
3. 假网站显示转账成功(实际上尚未发生任何转账行为),受害者毫不知情,该干啥干啥去了
4. 黑客拿着已经获得的账号,密码, 还有那个已经获得的Tan, 在网银上不断尝试,直到系统要求给出那个特定序列号码的Tan出现,盗取成功,黑客很高兴{:2_231:}
针对第二点还要指出,这个还是笨黑客,高手黑客的假网站可以实时放映,比如,受害者希望转到A账户100欧,黑客在另一边打入汇款到B账户10000欧(根据受害者余额决定), 如果是纸tan,真的银行系统说这比转账(10000-> B)需要56号Tan,然后黑客的假网站提示受害者输入这个56号tan(受害者还以为是在进行100->A), 然后真假网站双双显示交易成功,受害者和黑客都很开心{:2_231:} {:2_231:} ,LZ遇到的骗术和这个类似,如果是纸tan,恐怕LZ现在还毫不知情!
本帖最后由 rhein1982 于 2014-10-3 00:03 编辑
wagner 发表于 2014-10-2 22:55
我觉得原因在于LZ电脑中毒。通过电脑的木马,黑客早已搞到LZ网银的登入密码,他登入后等到LZ online,然后 ...
截取的 mTAN 是无效的, 只有在用户提交转账申请后,在明确目标账户和金额情况下,才由银行系统生成只对这比转账有效的一个mTAN,黑客就算盗取了这个mTAN也是毫无用处,只是帮助用户完成预期的转账,当免费劳工{:2_232:}
LZ这个情况是,黑客获得账号密码,然后黑客进行转账, 但是黑客无法获得所需要mTAN, 所以通过木马软件问问LZ,而LZ就把黑客急需要的mTAN告诉了黑客(银行给LZ发的mTAN已经清楚的写出了这个mTAN的用途! 而LZ疏忽没有看。。。。。。)
我也觉得纸TAN更不安全,因为,mTAN是通过SMS发的,SMS还包含相应的转账信息,比如转账金额,人们只要看一下,就会觉察到这笔无中生有的款项!
rhein1982 发表于 2014-10-2 22:25
纸TAN的问题是 给你的那些TAN是预先生成的,每个Tan不是针对特定的转账业务,银行软件系统在客户具体某 ...
如何发觉钓鱼网站?
rhein1982 发表于 2014-10-2 23:25
纸TAN的问题是 给你的那些TAN是预先生成的,每个Tan不是针对特定的转账业务,银行软件系统在客户具体某 ...
恩,可以理解为纸质TAN码是有限的,可以穷举出来;而手机TAN码可以认为是无限的,不容易被穷举出来,这可以被认为是一个手机TAN的安全优势
关于用途的那点,之前就说到了,但是生活里看来不是太有效,而且安全层面上我更多考虑了通信上的隐患,对钓鱼行骗考虑的不够多