Re: Kein Online-Banking im öffentlichen WLAN

[Christian Weisgerber <naddy@xxxxxxxxxxxx>]

Danny Edel:

> Schritt 1:   Anwender will auf sein Online-Banking gehen.
> 
> Option 1 (sicher): Er klickt auf sein Lesezeichen, wo z.B.
> https://meine-bank.de/onlinebanking drinsteht.
> 
> Option 2 (unsicher): Er gibt (nur!) meine-bank.de in die Adresszeile
> ein, der Browser erweitert das zu http://meine-bank.de und die Anfrage
> geht unverschlüsselt raus.   Der böse Netzwerkadmin kann machen was er will.

(Der Browser versucht heute https://meine-bank.de zuerst.)

Ja diese Szenarien hatte ich im Hinterkopf. Der Browser kontaktiert
meine-bank.de:443, Connection refused, fällt zurück auf meine-bank.de:80,
und ...

> Typischerweise wird er mit einem HTTP 302 Redirect nach
> https://klingt-so-ähnlich-wie-meine-bank.de antworten, also einer
> Webseite die er kontrolliert und für die er auch problemlos ein gültiges
> TLS-Zertifikat bekommt.

Warnen aktuelle Browser an irgendeiner Stelle in diesem oben
skizzierten Ablauf?

> Schritt 2.2: Zertifikatsvalidierung
> * Ist es von einer vertrauten CA ausgestellt?
> => Hier ist die Crux.

Soweit ich mich erinnere, sind solche Angriffe bisher nur von
staatlichen Stellen gefahren worden, aber, wenn noch nicht geschehen,
ist es nur eine Frage der Zeit, bis Kriminelle mal bei einer CA
eindringen und sich eigene Zertifikate ausstellen. Sicherlich aber
ein geringfügiges Risiko gegenüber:

> Erfolgreiche (!) Angriffe haben daher fast immer folgende Ursachen:
> 
> (1) Der Benutzer hat NICHT https://meine-bank.de aufgerufen sondern
> https://klingt-so-ähnlich-wie-meine-bank.de

Ja, darauf läuft es in Praxis hinaus.

-- 
Christian "naddy" Weisgerber                          naddy@xxxxxxxxxxxx

-- 
Unix User Group Rhein-Neckar e.V.: https://www.uugrn.org
Archiv und An-/Abmeldung:          https://mail2.uugrn.org
Social Media:                      https://social.uugrn.org