SE auf Bank

[aL1ien]

Hallo,

Ich habe einen erfolgreichen "angriff" auf eine Bank erfolgreich abgeschlossen. Ich möchte euch meinen gedankengänge teilhaben lassen.

Also: Aus einem gespräch über sicherheit mti meiner mutter, hat sie gesagt, dass ich es nicht schaffe in den ebanking account meines Bruder ranzukommen. Sie wettete schliesslich 50.- und da ich immer nach neuen herausforderungen suchte, nahm ich die wette an.

kleine info zu dem Accountsystem:

Jeder Bankkunde hat einen eigenen Rechner, indem er via vergragsnummer, welche geheim ist, und seiner Bankkarte (Die bankkarte muss in den Schlitz des rechners geschoben werden), einem Schlüssel, welchen man bekommt wenn man seine vertragsnummer im Loginfehlt eingibt, das Passwort berechnet. Dieses Passwort ändert minütlich. Um den Rechner zu starten braucht man wieder einen individuellen pin.

Ich musste also zuert an den Pin kommen. Ich gab mich als völliger neuling aus und stürmte zu ihm in sein Zimmer. Ich fragte, ob er mir zeigen kann, wie man einen dauerauftrag erstellt. Er zückte seinen Rechner und gab den Pin ein. Ich habe mich so plaziert, dass ich vom Winkel her genau auf die eingabe schauen konnte und merkte mir den pin. Als er es mir fertig erklärt hatte ging ich wieder und war einen beträchtlichen schritt weiter.

Nun, wie komme ich nun an die restlichen daten? Ich erzähls euch

Ein paar tage später fragte ich meinen Bruder, ob ich seine Bankkarte haben dürfte, da ich gerne ein bisschen geld auf meinen PP account einzahlen möchte und ich ihm das geld bar aushändigte. Zudem fragte ich, ob ich noch gleich dazu seinen Rechner haben dürfte, da meiner doch kaputt sei und ich wichtige zahlungen zu tätigen habe.

Ich habe nun seinen Rechner, den pin um den rechner zu aktivieren und die Bankkate, welche ich in den rechner stecken muss um das ganze nützen zu können. Nun fehlte mir noch die Vertragsnummer. Nun, wie kann ich an diese Nummer kommen? Ich konnte nicht einfachso meinen Bruder danach fragen.

Ich rufte die Bank an und gab mich als meinen Bruder aus. Die dame am telefon war recht stutzig, als ich erzählte, dass ich meine Vertragsnummer verlegt hatte und ob sie mir die doch schnell vorlesen könne. Sie sagte, dass man die Vertragsnummer normalerweise nur bekommt, indem man einen Brief mit dem Ausweis zu der bank schickt. Ich machte also einen auf gestresst und sagte, dass ich dringend Auslandszahlungen vornehmen müssen und ich nicht 1-2 wochen warte könne, bis ich wieder zugang dazu habe. Um sicher zu stellen, dass auch der, welcher in der leitung ist, auch wirklich der ist, für den ich mich ausgebe, stellte sie mir einige fragen. Ich hatte mich natürlich gründlich darauf vorberietet und meinen Bruder zuvor mit gezielten fragen ausgefragt. Sie fragte mich, seit wann ich denn ein konto bei der bank habe, wie der kontostand ist, wie die kartennummer ist und noch einige fragen mehr. Da ich, wie oben schon genannt, diese informationen über wochen gesammelt habe, konnte ich sofort darauf antworten und sie erhob keine zweifel.

Sie gab mir dann schliesslich die Vertrangsummer und ich konnte mich einloggen und hatte volle gewalt über sein konto. Natürlich habe ich nichts gemacht und habe meinen Bruder aufgeklärt.

Die moral von der geschichte: Jedes system ist verwundbar

mfG

please visit: Blog

[Zeko]

Sehr coole Geschichte und sehr geschickt gemacht. Und wie beweist du quasi deiner Mutter, dass du seinen Account hast? Schickst ihr 50€?

Aber sag mal, wie funktioniert das da mit den "Rechnern"? Kann mir nicht vorstellen, dass jeder einen eigenen PC von seiner Bank bekommt, der auch noch derart customized ist.

[aL1ien]

Sehr coole Geschichte und sehr geschickt gemacht. Und wie beweist du quasi deiner Mutter, dass du seinen Account hast? Schickst ihr 50€?

Aber sag mal, wie funktioniert das da mit den "Rechnern"? Kann mir nicht vorstellen, dass jeder einen eigenen PC von seiner Bank bekommt, der auch noch derart customized ist.

Es ist ein kleiner, handlicher rechner. EIne art Taschenrechner. Ist in etwa so gross wie eine kreditkarte. Nochmal das Verfahren:

- man geht in das interface der bank.
- tippt die vertrangsummer ab
- man bekommt einen code
- man startet den "taschenrechner"
- Gibt seinen pin ein
- steckt die Kreditkarte rein
- tippt den zuvor bekommenen code ab
- man gibt das passwort, welches man nun vom "taschenrechner" bekommt, ein.

[king555]

bei was für ner schwulen bank seit ihr?
Da wird sicherheit aber nicht grad groß geschrieben?
Bei meiner Bank muss ich geheimfragene festellegen ect. und werde doch nicht nach Kontostand als billig ersatz gefragt O_o...

[aL1ien]

bei was für ner schwulen bank seit ihr?
Da wird sicherheit aber nicht grad groß geschrieben?
Bei meiner Bank muss ich geheimfragene festellegen ect. und werde doch nicht nach Kontostand als billig ersatz gefragt O_o...

Ich sagte doch oben, dass sie noch weitere fragen gestellt haben...

[...]kartennummer ist und noch einige fragen mehr[...]

Ich wette mit euch, dass jeder von euch die bank kennt

[int_main();]

Sehr gut. Mal was anderes, und SE "richtiges". Als diese Gratis Mc Donalds kacke...

Nur sehr verwunderlich, wie leicht sich die Bank Angestellte täuschen lässt. Ich würde die Bank wechseln *g*

[BlackRiddig]

Schöne Geschichte

[mogtarno]

krass. da war dein bruder aber auch schön dumm. ich wäre als bruder schonmal stuzig geworden. aber naja..... jeder ist halt anders. aber trotzdem klasse gemacht.

[aL1ien]

Das ganze ist nun auch auf meinem Blog nachzulesen.

[slyzer]

DU meinst mit diesen kleinen Pins die der Rechner ausgiebt nicht zufällig ide TAN`s oder?