Onlinebanking - Mit Beelzebub gegen den Teufel
Beim Onlinebanking hat die herkömmliche iTAN ausgedient. Ersetzt wird sie durch smsTAN/mTAN und chipTAN. Während die mTAN eigentlich auch schon wieder unsicher ist, erkauft man sich die Sicherheit der chipTAN mit neuen Schwachstellen im Browser.
iTAN wirklich unsicher?
Die iTAN gilt als unsicher. Das ist sie aber nur in bestimmten Fällen. Bei der iTAN gibt der Benutzer nach Aufforderung durch die Onlinebanking-Anwendung eine bestimmte TAN von einer vorhandenen Liste ein. Ein Cyberkrimineller kann dieses Verfahren in zwei Fällen aushebeln:
- Es werden die PIN und eine gewisse Anzahl von TANs abgephisht. Das ist dann aber der Nachlässigkeit des Benutzers zuzuschreiben, schließlich weisen die Banken oft genug darauf hin, dass niemals mehrere TANs eingegeben werden sollen. Aber auch mit nur einer abgephishten TAN ist ein Angriff möglich, der Angreifer muss nur das Glück haben, dass bei einem seiner Versuche die abgephishte TAN angefordert wird.
- Der Rechner des Benutzers ist mit einem Schädling infiziert, der z.B. als Man in the Middle eine vom Benutzer eingegebene Überweisung manipuliert, die der Benutzer dann mit seiner TAN autorisiert.
Solange der Rechner des Benutzers nicht mit einem Schädling infiziert ist und er seine PIN und TANs geheim hält, ist das iTAN-Verfahren sicher.
mTAN - Kaum eingeführt, schon ausgehebelt
Bei der mTAN wird eine nur für die jeweilige Transaktion gültige TAN per SMS an das Handy des Onlinebanking-Kunden geschickt, der sie dann wie eine herkömmliche TAN eingibt. Dieses Verfahren ist ebenfalls angreifbar. Zum einen kann die SMS mit der TAN u.U. abgefangen werden (wobei immer noch nicht sicher ist, ob es sich beim verlinkten Angriff nicht um einen Hoax handelt), die nutzt dem Cyberkriminellen aber wenig, da sie nur für eine bestimmte Transaktion gültig ist.
Deutlich gefährlicher ist ein anderer Angriff: Ein Schädling auf dem Rechner des Benutzers kann auch dessen Handy infizieren. Das ist bereits mehrmals passiert, z.B. im September 2010 in Spanien und im Februar 2011 in Polen (weitere Berichte). Es gibt generell einen Trend der Cyberkriminellen, sowohl Rechner als auch Smartphone zu infizieren. Der Schädling auf dem Handy kann dann je nach Bedarf z.B. die SMS an die Cyberkriminellen weiterleiten oder die Anzeige der TAN so manipulieren, dass sie zur Eingabe des Benutzers passt.
Wenn der Rechner des Benutzers mit Schadsoftware infiziert ist, ist eine mTAN also nicht sicherer als die herkömmliche Papier-TAN. Hinzu kommt, dass ein Handy doch öfter gestohlen wird oder verloren geht als ein Desktop-Rechner und eine TAN-Liste - und dann ist es erst mal vorbei mit dem Onlinebanking. Mal ganz davon abgesehen, dass nicht garantiert ist, dass die SMS mit der TAN wirklich rechtzeitig ankommt.
chipTAN - Sicherheit mit Pferdefuß
Theoretisch ist die chipTAN sehr sicher. Ein spezielles Gerät, der TAN-Generator, erzeugt eine individuelle TAN, die nur für eine Überweisung gültig ist. Der Ablauf ist relativ einfach: Der Benutzer gibt die Überweisungsdaten in die Onlinebanking-Anwendung ein. Die erzeugt einen "Flackercode", über den die Daten auf den TAN-Generator übertragen werden, der dazu an den Bildschirm gehalten werden muss. Der TAN-Generator (in dem dabei die Kundenkarte des Benutzers stecken muss) zeigt dann die Überweisungsdaten an und erzeugt auf Knopfdruck eine TAN, die nur für genau diese Transaktion gültig ist.
Selbst wenn der Rechner des Benutzers mit Schadsoftware infiziert ist, kann diese keinen Schaden anrichten. Manipuliert die Schadsoftware die Daten, bevor sie an den TAN-Generator übertragen werden, stimmen die davon angezeigten Daten nicht mit den eingegebenen Daten überein, so dass der Benutzer die TAN nicht erzeugen lässt. Manipuliert die Schadsoftware die Daten erst danach, passen sie nicht zur erzeugten TAN und werden vom Bankserver nicht akzeptiert.
Das Problem dabei: Der "Flackercode" zur Übertragung der
Überweisungsdaten ist in Flash realisiert. Mit anderen Worten: Die
Banken zwingen ihre Benutzer, eine bekannt
unsichere
Technologie einzusetzen. Ich bin begeistert. Ich habe auf meinem
Arbeitsplatzrechner seit über einem Jahr kein Flash mehr aktiviert,
und vermisse es auch nicht. Ganz im Gegenteil, dadurch entfällt auch
eine Menge störender Werbung. Und fürs Onlinebanking wird Flash
Pflicht? Dadurch wird der Rechner eindeutig unsicherer... und der Teufel
"Onlinebanking-Trojaner" wird mit dem Beelzebub "Flash" ausgetrieben.
Treffer, versenkt. Haben die, die sich das ausgedacht haben, noch nie
davon gehört, das Flash erstens Böse und zweites total out ist?
Da gibt es doch sicher auch was von RatiophHTML5?
Es gibt natürlich eine sichere Alternative: Ist Flash nicht verfügbar, soll man die Überweisungsdaten eintippen können, woraufhin der TAN-Generator dann die TAN erzeugt. Prima, ich bin schon ganz wild darauf, alles doppelt eintippen zu dürfen.
Onlinebanking war gestern...
Egal wie ich es drehe und wende, das Onlinebanking wird umkomfortabler und/oder unsicherer. Davon dürften in meinem Fall Anbieter wie z.B. Paypal und ClickandBuy profitieren. Denn die sind für mich als Käufer deutlich komfortabler als Onlinebanking. Dass die Händler dann länger warten müssen, bis sie das Geld auf ihrem Konto haben, ist ja nicht mein Problem.
Trackbacks
Dipl.-Inform. Carsten Eilers am : Der Flash Player - Gefährlich und überflüssig
Vorschau anzeigen
Was ist eine TAN-Nummer? @ Wie Wie Ratgeber am : Was ist eine TAN-Nummer?
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Flash Player und 0-Day-Exploit - eine unendliche Geschichte
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Der Flash Player gefährdet Ihr Online-Banking!
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Onlinebanking: Cyberkriminelle reagieren auf Chip- und SMS-TAN
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Die smsTAN ist tot, der SMS-Dieb schon da!
Vorschau anzeigen
www.produkt-fehler.de am : PingBack
Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.Dipl.-Inform. Carsten Eilers am : Adobe: Lieber Exploits verteuern statt Schwachstellen beheben
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Eurograbber beweist: mTANs gefährden Ihr Bankkonto!
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Zwei-Faktor-Authentifizierung per SMS
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Zwei-Faktor-Authentifizierung mit spezieller Hardware, Teil 1
Vorschau anzeigen