Skip to content

Die smsTAN ist tot, der SMS-Dieb schon da!

Die Banken schaffen die iTAN ab, weil es (zu viele) Kunden gibt, die das Opfer von Man-in-the-Browser-Angriffen werden oder auf Phisher hereinfallen. Möchte jemand wetten, dass genau diese Kunden sich nicht stattdessen genauso einfach einen Smartphone-Trojaner zum Abfangen der smsTAN/mTAN unterschieben lassen? Nicht? Auch niemand von den Banken? Aha. Und warum wird dann die smsTAN/mTAN so energisch beworben?

mTAN - gefährlicher als iTAN?

Lassen wir den Man-in-the-Browser vorerst mal außen vor und betrachten nur die Phishing-Angriffe. Beim Abphishen von iTANs bekommt der Angreifer eine mehr oder weniger große Anzahl von TANs in die Hand, von denen er mit etwas Glück eine beim Zugriff auf das Konto des Opfers verwenden kann. Angeblich wurden bei Sparkassen-Kunden 20 iTAN abgephisht. Nun reicht schon eine, um das Konto leer zu räumen, aber dass muss dann auch die richtige sein. Wie gross die Wahrscheinlichkeit dafür ist, dass die Cyberkriminellen eine brauchbare iTAN abphishen, weiß ich nicht, aber sie dürfte gross genug sein, um zum einen den Cyberkriminellen den Aufwand wert zu sein und zum anderen bei den Banken den Schaden so gross werden zu lassen, dass sie das iTAN-System aufgeben.

Und jetzt betrachten wir mal die smsTAN/mTAN. Ich gehe davon aus, dass sich jemand, der mehrere iTANs irgendwo eingibt, erst recht dazu verleiten lässt, ein angebliches Sicherheitsupdate o.Ä. auf seinem Smartphone zu installieren. Vor allem, wenn ein Man-in-the-Browser die Aufforderung dazu ins Onlinebanking integriert, frei nach dem Motto "Bitte diesen TrojanerSchutz installieren, ohne ist kein Onlinebanking mehr möglich". Und damit haben die Cyberkriminellen die Kontrolle über das Onlinebanking des Opfers. Ohne sich über die Wahrscheinlichkeit, die richtige iTAN abgephisht zu haben, Gedanken machen zu müssen. Sie können beliebige Transaktionen durchführen und mit den abgefangenen mTANs autorisieren. Noch einfacher ist es dann nur noch, das Opfer zu überreden, das Geld freiwillig zu überweisen, dann sparen sie sich die Mühe mit dem Smartphone-Trojaner.

Bei einem Man-in-the-Browser-Angriff ist es fast egal, ob das Opfer eine iTAN eingibt oder die installierte Mobil-Variante des Desktop-Schädlings die mTAN abfängt. Fast, weil der Schädling beim Einsatz einer mTAN völlig unabhängig vom Benutzer agieren und ohne dessen Zutun z.B. eine Überweisung ausführen kann. Bei der Nutzung der iTAN-Listen muss der Benutzer die iTAN zumindest noch eingeben, und das wird er i.A. nur tun, wenn er das Onlinebanking gerade nutzt und eine Transaktion autorisieren möchte. Das klingt doch sehr so, als sei die mTAN sogar gefährlicher als die iTAN, oder? Meiner Meinung nach ist es jedenfalls so.

(Mehr als) Ein aktueller Anlass

Die "Standpunkt"-Texte schreibe ich in den meisten Fällen ja nicht mal "einfach so", sondern aus einem (mehr oder weniger) aktuellem Anlass. In diesem Fall gibt es gleich mehrere:

Ein neuer Android-Onlinebanking-Trojaner

Vom Onlinebanking-Trojaner SpyEye gibt es nach einer bereits im April entdeckten Symbian-Version (die es übrigens auf deutsche Onlinebanking-Kunden abgesehen hat) eine Variante für Android. SpyEye hat damit weiter zu seinem Konkurrenten Zeus, von dem es bereits seit längerem mobile Varianten für alle verbreiteten und offenen Mobil-Systeme eine Variante gibt, aufgeschlossen. Lediglich das iPhone blieb aufgrund des abgeschotteten App-Stores bisher von diesen Schädlingen verschont.

Verbreitet wird die SpyEye-Android-Version, indem die Desktop-Varianten in die Banken-Website eine Aufforderung zur Installation einer neuen Sicherheitsmaßnahme einfügt. Wie viele Onlinebanking-Nutzer werden so einer Aufforderung wohl nicht folgen? Die SpyEye-Android-Version scheint zur Zeit nicht weit verbreitet zu sein, aber das waren Phishing-Angriffe auf Papier-TANs anfangs auch nicht. Außerdem ist sie ja noch recht neu, und SpyEye ist auch weniger verbreitet als Zeus, so dass das gar nichts zu bedeuten hat. Einen Vergleich von Spitmo (SpyEye in the mobile) und Zitmo (Zeus in the mobile) gibt es übrigens im Blog von McAfee.

Zeus ist und bleibt eine Bedrohung

Microsofts "Malicious Software Removal Tool" MSRT kann seit Oktober 2010 Zeus-Infektionen beseitigen, und die entsprechenden Signaturen wurden seitdem jeden Monat aktualisiert. Mit dem aktuellen Update wurden die entsprechenden Funktionen erneut überarbeitet. Interessant (oder eher beunruhigend) ist eine kleine Statistik: Monatlich wurden zwischen 60.000 und 100.000 Windows-Rechner von Zeus befreit - es muss also entweder laufend entsprechende Neuinfektionen geben, oder jeden Monat gibt es einen entsprechenden Zuwachs bei den MSRT-Nutzern. Im Zweifelsfalls und mangels besserer Informationen würde ich dabei auf laufende Neuinfektionen (oder besser Re-Infektionen) tippen. Zeus ist und bleibt also eine große Gefahr für Onlinebanking-Nutzer.

Es gibt neue Zeus-Varianten

Wie bereits in der vorigen Woche erwähnt, gibt es nach der Veröffentlichung des Sourcecodes des Trojaner-Baukastens Zeus mindestens eine neue, evtl. nur angeblich verbesserte Variante, genannt "Ice IX", die es u.a. auf deutsche Onlinebanking-Kunden abgesehen hat.

Online-Bankraub lohnt sich

Trend Micro berichtet, dass ein einzelner, "Soldier" genannter Cyberkrimineller bei Angriffen auf Onlinebanking-Nutzer in den USA im ersten Halbjahr 2011 3,2 Millionen US-Dollar erbeutet hat. Nebenbei hat er noch jede Menge Zugangsdaten zu verschiedenen Diensten gesammelt, die sich sicherlich ebenfalls zu Geld machen lassen. So eine Erfolgsnachricht dürfte andere Kriminelle anstacheln, ebenfalls aktiv zu werden. Vor allem, da der Cyberkriminelle seine "Erfolge" mit Hilfe von SpyEye- und Zeus-Varianten erreicht hat, und zumindest Zeus gibt es inzwischen ja zum kostenlosen Download, es ist also nicht mal eine Anfangsinvestition zur Anschaffung des Trojaner-Baukastens nötig.

Man-in-the-Middle-Angriffe auf finnische Banken

F-Secure berichtet über Man-in-the-Middle-Angriffe auf mindestens zwei finnische Banken, bei denen Einmal-Passwörter und Verification Codes ausgehebelt werden: Eine E-Mail lockt die Opfer auf eine gefälschte Banken-Website, die die Benutzer-ID und das Einmal-Passwort abfragt und dann um zwei Minuten Geduld bittet. In diesen zwei Minuten wird auf der echten Banken-Website eine Transaktion im Namen des Benutzers ausgelöst, der benötigte Verification Code wird dann auf der gefälschten Banken-Website beim Benutzer angefordert. Gibt der Benutzer ihn ein, autorisierter er damit die von den Angreifern eingeleitete Transaktion. Ein solcher Angriff lässt sich natürlich auf jede beliebige Bank übertragen, die vergleichbare Schutzmaßnahmen verwendet. Fällt der Benutzer auf die gefälschte Website herein, hat er verloren. Auch eine mTAN oder chipTAN würde in so einem Fall keinen Schutz bieten - die Angreifer würden die Benutzer einfach unter einem Vorwand dazu auffordern, die erhaltene mTAN oder die angeforderte chipTAN einzugeben.

chipTAN ist sicher, Flash nicht

Die Nutzung des Onlinebankings ist also durchaus gefährdet, und neue Schutzmaßnahmen sind nötig. Aber die oft angepriesene mTAN ist keine zielführende Lösung, sofern man die Kunden den Cyberkriminellen nicht sehenden Auges in die Arme treiben will. Die chipTAN ist nach aktuellem Wissenstand sicher, sofern keine Sammelüberweisungen verwendet werden (und man keinem Man-in-the-Middle-Angriff wie in Finnland zum Opfer fällt).

Prinzipiell kann man die chipTAN also aus Sicherheitssicht empfehlen. Wenn die meisten Banken nur nicht ausgerechnet das Dauer- Sicherheitsrisiko Flash-Player zur Darstellung des Flacker-Codes zur Übertragung der Daten an den TAN-Generator verwenden würden. Können die Banken es sich nicht mal mehr leisten, dafür eine anständige Lösung in HTML5 entwickeln zu lassen? Brauchen die schon wieder einen neuen Rettungsschirm? Wenn nicht, sollten sie vielleicht mal jemanden suchen, der sich damit auskennt und eine anständige Lösung entwickelt. Und nicht weiter ihre Kunden zwingen, den Flash-Player zu installieren und ihr System dadurch anfällig für Schadsoftware zu machen - auch fü Zeus, SpyEye und Co., die u.a. als Drive-by-Infektion verbreitet werden. Dann hätten sie vielleicht auch viel weniger Probleme mit infizierten Kunden-Rechnern.

Carsten Eilers

Trackbacks

Dipl.-Inform. Carsten Eilers am : Apples Umgang mit Schwachstellen und deren Entdeckern

Vorschau anzeigen
Charlie Miller, der bereits etliche Schwachstellen in Mac OS X, Safari und iOS gefunden und seit 2008 alle Pwn2Own-Wettbewerbe gewonnen hat, hat wieder zugeschlagen: Eine von ihm entdeckte Schwachstelle in iOS erlaubt das Einschleusen beliebigen Cod

Dipl.-Inform. Carsten Eilers am : Angriffe auf mTAN, tibetische Aktivisten, Windows 8 und mehr

Vorschau anzeigen
In der letzten Woche hatte ich des öfteren den Eindruck eines Deja Vu. Oder um es mit Bernd dem Brot zu sagen: Alles ist wie immer, bloss schlimmer. Angriffe auf mTANs Die Berliner Polizei warnt vor Angriffen auf das mTAN-Verfahren.

Dipl.-Inform. Carsten Eilers am : Eurograbber beweist: mTANs gefährden Ihr Bankkonto!

Vorschau anzeigen
Eran Kalige von Versafe und Darrell Burkey von Check Point Software Technologies haben eine Fallstudie zu einem groß angelegten Angriff auf Onlinebanking-Nutzer veröffentlicht: "A Case Study of Eurograbber: How 36 Million Euros was Stolen

Dipl.-Inform. Carsten Eilers am : Zwei-Faktor-Authentifizierung per SMS

Vorschau anzeigen
Nach der allgemeinen Beschreibung der Zwei-Faktor-Authentifizierung geht es nun um bekannte Implementierungen und Angriffe darauf. Ein praktisches Beispiel, wie man eine Zwei-Faktor-Authentifizierung nicht implementieren sollte, hat ja Twitter

Dipl.-Inform. Carsten Eilers am : Drucksache: Mobile Technology 3.2014 - Androids Sicherheit aus Forschersicht

Vorschau anzeigen
Im Magazin Mobile Technology 3.2014 ist ein Artikel über die Vorträge zu Android auf den Sicherheitskonferenzen erschienen. "IT-Sicherheit" ist allgemein ein sehr dynamischer Bereich, und Android macht da keine Ausnahme. Neue Technol

Dipl.-Inform. Carsten Eilers am : Neues eBook: Android Security - Von Fake-Apps, Trojanern und Spy Phones

Vorschau anzeigen
Bei entwickler.press ist mein E-Book über die Sicherheit von Android erschienen: "Android Security - Von Fake-Apps, Trojanern und Spy Phones". Es gibt einen Überblick über die aktuelle Sicherheitslage von Android: W

entwickler.de am : PingBack

Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Noch keine Kommentare

Kommentar schreiben

Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
BBCode-Formatierung erlaubt
Formular-Optionen

Kommentare werden erst nach redaktioneller Prüfung freigeschaltet!