紧急求助，网上银行被盗，钱被转走

mujiaba

xbbyysh 发表于 2014-10-2 11:34
我是在电脑上上的网银，不是手机网银

像这样银行会赔的。一般银行要求不能用同一设备操作网银和收mTAN

rhein1982

alphasong 发表于 2014-10-2 13:56
纯安全性的讨论，人为过失不算在内。

假设入侵者和防御者都有足够的时间且运算能力足够强的前提下

纸TAN的问题是 给你的那些TAN是预先生成的，每个Tan不是针对特定的转账业务，银行软件系统在客户具体某次转账时是采用Token Ring 的方式来实现的，学Info的同学应该知道这个原理，而 mTAN是点对点，也就是说mTAN是因为当前转账(目标账户和金额)而由银行系统生成，只对当前业务有效，LZ这个情况只要核对手机mTAN是可以避免的，但是纸TAN做不到这点。

一旦黑客获取一个纸tan,就可以在别的某个时间进行其所希望的交易，没有实时性要求。

假设:  电脑已经中毒，进入黑客设计的钓鱼网站(伪造的网银网站)，受害者本人尚未知情
过程: 1. 假网银网站要求输入账号密码 --> 受害者本人账号密码被突破
2. 受害者进行计划中的转账 -->假网站索要密码，受害者完全不知情的情况下填写一个纸质Tan
3. 假网站显示转账成功(实际上尚未发生任何转账行为),受害者毫不知情，该干啥干啥去了
4. 黑客拿着已经获得的账号，密码， 还有那个已经获得的Tan, 在网银上不断尝试，直到系统要求给出那个特定序列号码的Tan出现，盗取成功，黑客很高兴

针对第二点还要指出，这个还是笨黑客，高手黑客的假网站可以实时放映，比如，受害者希望转到A账户100欧，黑客在另一边打入汇款到B账户10000欧(根据受害者余额决定), 如果是纸tan,真的银行系统说这比转账(10000-> B)需要56号Tan,然后黑客的假网站提示受害者输入这个56号tan(受害者还以为是在进行100->A), 然后真假网站双双显示交易成功，受害者和黑客都很开心 ，LZ遇到的骗术和这个类似，如果是纸tan,恐怕LZ现在还毫不知情！

rhein1982

wagner 发表于 2014-10-2 22:55
我觉得原因在于LZ电脑中毒。通过电脑的木马，黑客早已搞到LZ网银的登入密码，他登入后等到LZ online，然后 ...

截取的 mTAN 是无效的, 只有在用户提交转账申请后，在明确目标账户和金额情况下，才由银行系统生成只对这比转账有效的一个mTAN，黑客就算盗取了这个mTAN也是毫无用处，只是帮助用户完成预期的转账，当免费劳工

LZ这个情况是，黑客获得账号密码，然后黑客进行转账, 但是黑客无法获得所需要mTAN, 所以通过木马软件问问LZ,而LZ就把黑客急需要的mTAN告诉了黑客  (银行给LZ发的mTAN已经清楚的写出了这个mTAN的用途！ 而LZ疏忽没有看。。。。。。)

wagner

我也觉得纸TAN更不安全，因为，mTAN是通过SMS发的，SMS还包含相应的转账信息，比如转账金额，人们只要看一下，就会觉察到这笔无中生有的款项！

天生小迷糊

rhein1982 发表于 2014-10-2 22:25
纸TAN的问题是 给你的那些TAN是预先生成的，每个Tan不是针对特定的转账业务，银行软件系统在客户具体某 ...

如何发觉钓鱼网站？

alphasong

rhein1982 发表于 2014-10-2 23:25
纸TAN的问题是 给你的那些TAN是预先生成的，每个Tan不是针对特定的转账业务，银行软件系统在客户具体某 ...

恩，可以理解为纸质TAN码是有限的，可以穷举出来；而手机TAN码可以认为是无限的，不容易被穷举出来，这可以被认为是一个手机TAN的安全优势

关于用途的那点，之前就说到了，但是生活里看来不是太有效，而且安全层面上我更多考虑了通信上的隐患，对钓鱼行骗考虑的不够多