Dipl.-Inform. Carsten Eilers

Die herkömmlichen TAN-Listen sind tot, egal ob mit oder ohne Indexierung schützen sie heutzutage nicht mehr vor einem Angriff. Zum einen, weil sie abgephisht werden können, zum anderen, weil ein Man-in-the-Middle-Angriff bei Verwendung von TAN-Listen kinderleicht ist.

Die Antwort der Banken besteht zum einen in der SMS-TAN: Nachdem der Kunde seinen Auftrag, z.B. eine Überweisung, an den Bankserver gesendet hat, berechnet der eine individuelle und nur kurze Zeit gültige TAN und sendet sie per SMS zusammen mit der übermittelten Kontonummer des Empfängers und dem Überweisungsbetrag an die vom Kunden angegebene Mobilfunk-Nummer. Die Überlegung dahinter: Wenn der Rechner des Kunden mit einem Schädling infiziert ist, der die Überweisungsdaten ändert, bemerkt der Kunde das beim Vergleich mit den per SMS übermittelten Daten und bricht die Aktion ab.

Das Verfahren hat mehrere Nachteile, insbesondere ist es gefährdet, wenn die Bankkunden ein Smartphone verwenden. Denn die Cyberkriminellen haben natürlich auf die Entwicklung reagiert und ihre Taktik an die SMS-TAN angepasst: Ein Schädling auf dem Smartphone wartet auf die SMS und sendet sie an die Cyberkriminellen. Und so einen Schädling gibt es inzwischen für alle gängigen und offenen Smartphone-Betriebssysteme, nur das abgeschottete iPhone mit seinem App-Store blieb bisher von Angriffen verschont.

Zwar werden die Smartphone-Schädlinge bisher "nur" als Trojaner verbreitet, z.B. indem der Schädling auf dem Desktop-Rechner zur Installation eines Sicherheitstools oder Zertifikats auf dem Smartphone auffordert, aber gerade das dürfte die für die Cyberkriminellen zielführendste Vorgehensweise sein. Denn so ist sicher gestellt, dass Desktop-Rechner und Smartphone mit zusammengehörenden Schädlingen infiziert sind. Es wäre aus Sicht der Cyberkriminellen doch ziemlich ungünstig, wenn das Smartphone durch z.B. eine Drive-by-Infektion oder einen Wurm mit einem die SMS abfangenden Schädling infiziert wird, auf dem fürs Onlinebanking genutzten Desktop-Rechner jedoch gar kein Schädling oder einer konkurrierender Cyberkrimineller installiert ist.

Chip-TAN bisher sicher

Zumindest bisher ist die Chip-TAN, bei der die individuelle TAN von einem TAN-Generator (genauer: Der darin steckenden Smartcard) berechnet wird, sicher. In die Berechnung gehen z.B. im Fall einer Überweisung die Kontonummer des Empfängers und der Betrag der Überweisung ein. Manipuliert ein als Man-in-the-Browser agierender Schädling die Überweisung, gibt es zwei Möglichkeiten: Manipuliert er auch die für die TAN-Berechnung verwendeten Daten, fällt das beim Vergleich der gewünschten Daten mit den auf dem TAN-Generator angezeigten Daten auf. Werden die Originaldaten für die TAN-Berechnung verwendet, wird die TAN vom Server nicht akzeptiert, da sie nicht zu den empfangenen manipulierten Überweisungsdaten passt.

Gefahr droht lediglich bei Sammelüberweisungen: Da dabei nur die Anzahl der Überweisungen und die Summe der Beträge für die TAN-Berechnung verwendet werden, könnte ein Man-in-the-Browser einzelne oder alle Überweisungen manipulieren. Solange Anzahl und Summe unverändert bleiben, fällt die Manipulation beim Prüfen der an den Generator übertragenen Daten nicht auf.

Der Nachteil der Chip-TAN: Für die Übertragung der Daten zum TAN-Generator wird ein sog. Flackercode verwendet, der meist in Flash implementiert ist. Und der Flash-Player ist laut Kaspersky für 6 der 10 am häufigsten auf Desktop-Rechnern gefundenen Schwachstellen verantwortlich. Zwar kann man die ChipTAN i.A. auch ohne Datenübertragung per Flackercode nutzen, dann müssen aber Startwert, Kontonummer des Empfängers und Überweisungsbetrag in den ChipTAN-Generator eingegeben werden. Besonders komfortabel ist das nicht.

"Überweisungen manipulieren" war gestern...

Die Reaktion der Cyberkriminellen blieb nicht lange aus. Der neueste Trick: Ein als Man-in-the-Browser agierender Schädling täuscht beim Start des Onlinebankings eine fehlgeleitete Gutschrift vor, die zurück überwiesen werden muss, da das Onlinebanking sonst gesperrt wird. Der angezeigte Kontostand und die angezeigten Umsätze werden so manipuliert, dass es aussieht, als wäre tatsächlich die behauptete Gutschrift eingegangen.

Folgt der Benutzer der Aufforderung, den Betrag zurück zu überweisen, wird das bereits passend ausgefüllte Überweisungsformular präsentiert. Da der Benutzer die Überweisung in diesem Fall selbst ausführt, sind alle Sicherungsmechanismen wirkungslos und die Überweisung wird ausgeführt. Danach landet das Geld auf nimmer Wiedersehen auf einem Konto der Cyberkriminellen. Das Polizeipräsidium Mittelhessen in Gießen meldet einen konkreten derartigen Angriff, bei dem das Opfer 5.000 Euro einbüßte.

Die Cyberkriminellen gehen also dazu über, die Opfer mit Hilfe der Schadsoftware zum Überweisen von Geld zu verleiten statt wie bisher eine Überweisung zu manipulieren oder selbst vorzunehmen. Eins steht fest: Beim Onlinebanking muss man weiterhin besonders vorsichtig sein.

Eine kleine Voraussage...

Ich vermute, dass solche Angriffe zunehmen werden. Warum sollten die Cyberkriminellen sich damit zufrieden geben, mühsam SMS-TANs abzufangen und bei Chip-TAN-Nutzern leer auszugehen, wenn sie ihre Opfer auch einfach dazu verleiten können, ihnen Geld zu überweisen? Dann ist es egal, wie die Opfer ihre Überweisungen autorisieren.

Und wenn die Cyberkriminellen schon dabei sind, ihre Taktik zu ändern, warum sollten sie dann nicht auch einen weiteren inzwischen überholten Angriff aktualisieren? Ich denke dabei an die altbekannten Phishing-Mails. TANs abphischen ist inzwischen zwecklos, aber vielleicht lassen sich arglose Benutzer ja über eine entsprechend formulierte Mail dazu verleiten, den Cyberkriminellen z.B. angeblich falsch gutgeschriebenes Geld zu überweisen? Die Mail kann dann ggf. auf eine entsprechend aufgebaute angebliche Bank-Website verweisen, die die Forderung untermauert. Mit einer XSS-Schwachstelle könnte die Bank-Website sogar die echte Bank-Website sein, und XSS-Schwachstellen sind auf Banken-Websites nicht unbedingt selten. Und wer würde misstrauisch, wenn auf der eigenen Bank-Website steht, dass es einen Fehler gab und man doch bitte einen bestimmten Betrag auf ein bestimmtes Konto überweisen möchte? Dass der Betrag im Online-Banking nicht angezeigt wird, kann z.B. mit einem technischen Problem erklärt werden.

Carsten Eilers