Skip to content

Kommentare zu Social Engineering und unsicherem Banking

Heute gibt es Kommentare zu einem Interview mit einem Social Engineering Spezialisten, einem Social-Engineering-Angriff auf ChipTAN-Nutzer und einem Designfehler in der Spezifikation für die "Chip&PIN"-Bezahlung.

Mat Honan interviewt Social Engineer

Nachdem seine digitale Existenz einem Social-Engineering-Angriff zum Opfer gefallen war, hat Mat Honan ein Interesse für diese Art von Angriffen entwickelt.

Beim damaligen Angriff waren die Hacker eigentlich nur an seinem Twitter-Account unter dem Kürzel "@mat" interessiert. Über Social Engineering tricksten sie erst Amazon aus, danach mit den dort erbeuteten Informationen Apple. Und über den iCloud-Account gelangten sie dann zum Twitter-Account. Alles andere wie das Löschen seiner Geräte und seines Google-Accounts waren quasi "Kollateralschäden" bzw. Vandalismus.

Einer der dabei beteiligten Hacker, "Phobia", stellte einen Kontakt zu "Cosmo" her, dem Social-Engineering-Spezialisten der Hackergruppe "UGNazi" (die Abkürzung für "underground nazi"). In einem Interview plauderte "Cosmo" aus seinem virtuellen Nähkästchen. Sehr beeindruckend. Oder auch beängstigend. Die Frage ist, wie viel vom dem Erzählten wahr ist. Das meiste konnte von Wired nachvollzogen werden, mindestens ein Punkt wirft aber Zweifel auf. Mat Honan beendet seinen Artikel mit

"I wonder how much of everything else Cosmo has told me is true. The only thing I am certain of is that online security is an illusion. But I think he is being honest now. I think he’s genuinely remorseful and just wants all these gaping account holes, many of which he found or helped publicize, closed at last before anyone else has their identity stolen, or the SWAT team sent to their door. That’s what I believe, at least.

But then, he’s a very, very good liar."

Da drängt sich mir natürlich die Frage auf, ob "Cosmo" nicht vielleicht einen neuen Social-Engineering-Angriff durchgeführt hat, indem er seine Geschichte über Mat Honan auf Wired veröffentlicht hat. Generell sind "Cosmos" Aussagen aber plausibel, über Social Engineering kann man wirklich sehr viel erreichen. Und wenn man diese Angriffe auf mehrere Ziele miteinander verkettet, dürfte noch mehr möglich sein, siehe den Angriff auf Mat Honans Twitter-Account.

Social-Engineering-Angriff auf ChipTAN

ChipTAN-Nutzer waren bisher auf der sicheren Seite, solange sie keine Sammelüberweisungen verwendeten. Dass das den Cyberkriminellen nicht gefällt und sie früher oder später eine Möglichkeit finden würden, auch ChipTAN-Nutzer anzugreifen, war ja zu erwarten. Jetzt ist es soweit: Amit Klein von Trusteer berichtet über eine neue Version des Onlinebanking-Trojaners Tatanga, der versucht, über Social Engineering die Nutzer von ChipTANs zum Autorisieren einer Überweisung zu bewegen (deutsche Übersetzung des Blog-Posts von Amit Klein).

Tatanga agiert als "Man-in-the-Browser". Nachdem das Opfer sich auf der Onlinebanking-Website angemeldet hat, prüft der Trojaner, wie viele Konten vorhanden sind, welche Währungen sie verwenden und welche Kontostände und Limits vorliegen. Danach wählt er das Konto, vom dem die größte Überweisung möglich ist. Dafür erstellt der Trojaner dann eine Überweisung. Um an die nötige ChipTAN zu gelangen, manipuliert Tatanga die Webseite, so dass dem Benutzer ein angeblicher ChipTAN-Test seiner Bank vorgetäuscht wird, für den er eine ChipTAN erzeugen muss. Dazu wird laut Amit Klein folgender Text verwendet:

1. Stecken Sie Ihre Chipkarte in den TAN-Generator und drücken "F".
2. Halten Sie den TAN-Generator vor die animierte Grafik. Dabei müssen die Markierungen (Dreiecke) von der Grafik mit denen auf Ihrem TAN-Generator übereinstimmen.
3. Prüfen Sie die Anzeige auf dem Leserdisplay und drücken "OK".
4. Prüfen Sie die Hinweise (Empfänger-Kontonummer (ohne führende Nullen), Bankleitzahl des Empfängers und Betrag) auf dem Leserdisplay und bestätigen diese dann jeweils mit "OK" auf Ihrem TAN-Generator.

Hinweis: Uberprufen Sie die Anzeige des TAN-Generators immer anhand der Original-Transaktions-Daten - z.B. einer Rechnung.

Die eingegebene TAN wird dann zur Autorisierung der Überweisung genutzt. Damit der Angriff nicht so schnell auffällt, werden Überweisungsverlauf und Kontostand so angepasst, als hätte es die Überweisung nicht gegeben.

Wenn Ihre Bank sie also demnächst zu einem Test der chipTAN auffordert: Vorsicht, das ist nicht Ihre Bank, sondern ein cyberkrimineller Schädling in Ihrem Rechner. Die Angaben auf dem TAN-Generator-Display sind echt - wenn Sie die TAN eingeben, wird der angezeigte Betrag an die angegebene Kontonummer überwiesen. Und da sie die Überweisung mit Ihrer TAN bestätigt haben, dürften Sie auf dem Schaden sitzen bleiben.

Angriff auf "Chip&Pin"

Mike Bond, Omar Choudary, Steven J. Murdoch, Sergei Skorobogatov und Ross Anderson vom University of Cambridge Computer Lab haben ein Paper (PDF) veröffentlicht, in dem sie einen möglichen Angriff auf das an Geldautomaten und Point-of-Sale-Terminals verwendete "Chip&Pin"-Verfahren beschreiben.

Um Replay-Angriffe, d.h. das erneute Einspielen bereits verwendeter Daten, zu verhindern, werden beim "Chip&Pin"-Verfahren sog. Unpredictable Numbers (UN) verwendet. Laut den Untersuchungen der Forscher sind diese Zahlen aber gar nicht so unvorhersagbar, wie es ihr Name nahe legt. Stattdessen wird die UN von vielen Geräten einfach hoch gezählt oder auf andere, vorhersagbare Art und Weise erzeugt.
Interessanterweise entspricht das sogar dem Standard, der lediglich verlangt, dass für vier nacheinander ausgeführte Transaktionen jeweils eine andere Zahl verwendet werden muss. Wieso man das dann "Unpredictable" nennt, wüsste ich wirklich zu gerne.

Durch die vorhersagbaren "Unpredictable Numbers" kann ein Angreifer einen sog. "Pre-play"-Angriff durchführen. Dazu benötigen die Kriminellen zuerst eine Reihe von "Unpredictable Numbers" für das Zielgerät, z.B. einem Geldautomaten, an dem sie die "gefälschte Karte" später einsetzen wollen.

Danach muss das Opfer ein entsprechend präpariertes Point-of-Sale-Terminal nutzen. Auch ein präpariertet Geldautomat erfüllt diesen Zweck, aber an ein Terminal dürften die Kriminellen i.A. einfacher gelangen, sofern sie nicht den Spruch "Was ist ein Einbruch in eine Bank gegen die Gründung einer Bank?" von Bertolt Brecht beherzigen. Das präparierte Terminal lässt die Karte dann zu den vorhandenen "Unpredictable Numbers" die entsprechenden Daten berechnen. Dafür muss das Opfer nur ein mal seine PIN eingeben, z.B. weil er einen Einkauf bezahlen will.

Das Terminal speichert die Daten, die von den Kriminellen dann später im passenden Zeitpunkt am Zielgerät wieder ein gespielt werden - mit dem Effekt, dass dieses Gerät, also eben meist ein Geldautomat, der Ansicht ist, es würde mit der entsprechenden Chipkarte kommunizieren. Mit den Effekt, dass er anstandslos den gewünschten Betrag auszahlt.

Die Kriminellen haben die Chipkarte also quasi "kopiert", wenn auch nicht vollständig, sondern temporär: Verwendet das Zielgerät eine der zuvor berechneten UNs, kann es die vorher berechnete und nur wieder eingespielte Antwort nicht von einer aktuell berechneten Antwort unterscheiden.

Dem Problem auf die Spur gekommen sind die Forscher bei der Analyse echter Angriffe. Es handelt sich also sehr wahrscheinlich nicht um eine theoretische Überlegung und Laborergebnisse, sondern Kriminelle nutzten die Schwachstellen aus, um mit aufgezeichneten Transaktionen Geld abzuheben. Und was kann man dagegen machen? Als Kunde eigentlich gar nichts. Solange Sie kein präpariertes Gerät zur Eingabe der PIN nutzen, kann Ihnen nichts passieren.

Aber ob Sie ein präpariertes Gerät wirklich immer erkennen würden, wenn Sie davor stehen, wage ich zu bezweifeln. Ich jedenfalls würde es mir nicht zutrauen. Wer weiss schon, wie die Geräte im Originalzustand aussehen müssen, und wie genau kann man sie sich denn im Geschäft ansehen? Ich vermute mal, wenn ich anfange, das Gerät erst mal ein paar Mal um die eigene Achse zu drehen um es von allen Seiten zu begutachten, dürfte ich ziemlich schnell aus dem Laden geschmissen werden, oder?

Carsten Eilers

Trackbacks

Dipl.-Inform. Carsten Eilers am : Eurograbber beweist: mTANs gefährden Ihr Bankkonto!

Vorschau anzeigen
Eran Kalige von Versafe und Darrell Burkey von Check Point Software Technologies haben eine Fallstudie zu einem groß angelegten Angriff auf Onlinebanking-Nutzer veröffentlicht: "A Case Study of Eurograbber: How 36 Million Euros was Stolen

Dipl.-Inform. Carsten Eilers am : Ransomware greift iCloud-Nutzer an

Vorschau anzeigen
Eine neue Ransomware greift iCloud-Nutzer an und sperrt die damit verknüpften Mac und iOS-Geräte. "Find My iPhone, iPad, and Mac" in Angreiferhand Die Funktion "Find My iPhone, iPad, and Mac" der iCloud dient dazu, geklaute Har