Die smsTAN ist tot, der SMS-Dieb schon da!
Die Banken schaffen die iTAN ab, weil es (zu viele) Kunden gibt, die das Opfer von Man-in-the-Browser-Angriffen werden oder auf Phisher hereinfallen. Möchte jemand wetten, dass genau diese Kunden sich nicht stattdessen genauso einfach einen Smartphone-Trojaner zum Abfangen der smsTAN/mTAN unterschieben lassen? Nicht? Auch niemand von den Banken? Aha. Und warum wird dann die smsTAN/mTAN so energisch beworben?
mTAN - gefährlicher als iTAN?
Lassen wir den Man-in-the-Browser vorerst mal außen vor und betrachten nur die Phishing-Angriffe. Beim Abphishen von iTANs bekommt der Angreifer eine mehr oder weniger große Anzahl von TANs in die Hand, von denen er mit etwas Glück eine beim Zugriff auf das Konto des Opfers verwenden kann. Angeblich wurden bei Sparkassen-Kunden 20 iTAN abgephisht. Nun reicht schon eine, um das Konto leer zu räumen, aber dass muss dann auch die richtige sein. Wie gross die Wahrscheinlichkeit dafür ist, dass die Cyberkriminellen eine brauchbare iTAN abphishen, weiß ich nicht, aber sie dürfte gross genug sein, um zum einen den Cyberkriminellen den Aufwand wert zu sein und zum anderen bei den Banken den Schaden so gross werden zu lassen, dass sie das iTAN-System aufgeben.
Und jetzt betrachten wir mal die smsTAN/mTAN. Ich gehe davon aus, dass
sich jemand, der mehrere iTANs irgendwo eingibt, erst recht dazu verleiten
lässt, ein angebliches Sicherheitsupdate o.Ä. auf seinem
Smartphone zu installieren. Vor allem, wenn ein Man-in-the-Browser die
Aufforderung dazu ins Onlinebanking integriert, frei nach dem Motto
"Bitte diesen TrojanerSchutz installieren, ohne ist
kein Onlinebanking mehr möglich". Und damit haben die
Cyberkriminellen die Kontrolle über das Onlinebanking des Opfers.
Ohne sich über die Wahrscheinlichkeit, die richtige iTAN abgephisht zu
haben, Gedanken machen zu müssen. Sie können beliebige
Transaktionen
durchführen
und mit den abgefangenen mTANs autorisieren. Noch einfacher ist es
dann nur noch, das Opfer
zu überreden,
das Geld freiwillig zu überweisen, dann sparen sie sich die Mühe
mit dem Smartphone-Trojaner.
Bei einem Man-in-the-Browser-Angriff ist es fast egal, ob das Opfer eine iTAN eingibt oder die installierte Mobil-Variante des Desktop-Schädlings die mTAN abfängt. Fast, weil der Schädling beim Einsatz einer mTAN völlig unabhängig vom Benutzer agieren und ohne dessen Zutun z.B. eine Überweisung ausführen kann. Bei der Nutzung der iTAN-Listen muss der Benutzer die iTAN zumindest noch eingeben, und das wird er i.A. nur tun, wenn er das Onlinebanking gerade nutzt und eine Transaktion autorisieren möchte. Das klingt doch sehr so, als sei die mTAN sogar gefährlicher als die iTAN, oder? Meiner Meinung nach ist es jedenfalls so.
(Mehr als) Ein aktueller Anlass
Die "Standpunkt"-Texte schreibe ich in den meisten Fällen ja nicht mal "einfach so", sondern aus einem (mehr oder weniger) aktuellem Anlass. In diesem Fall gibt es gleich mehrere:
Ein neuer Android-Onlinebanking-Trojaner
Vom Onlinebanking-Trojaner SpyEye gibt es nach einer bereits im April entdeckten Symbian-Version (die es übrigens auf deutsche Onlinebanking-Kunden abgesehen hat) eine Variante für Android. SpyEye hat damit weiter zu seinem Konkurrenten Zeus, von dem es bereits seit längerem mobile Varianten für alle verbreiteten und offenen Mobil-Systeme eine Variante gibt, aufgeschlossen. Lediglich das iPhone blieb aufgrund des abgeschotteten App-Stores bisher von diesen Schädlingen verschont.
Verbreitet wird die SpyEye-Android-Version, indem die Desktop-Varianten in die Banken-Website eine Aufforderung zur Installation einer neuen Sicherheitsmaßnahme einfügt. Wie viele Onlinebanking-Nutzer werden so einer Aufforderung wohl nicht folgen? Die SpyEye-Android-Version scheint zur Zeit nicht weit verbreitet zu sein, aber das waren Phishing-Angriffe auf Papier-TANs anfangs auch nicht. Außerdem ist sie ja noch recht neu, und SpyEye ist auch weniger verbreitet als Zeus, so dass das gar nichts zu bedeuten hat. Einen Vergleich von Spitmo (SpyEye in the mobile) und Zitmo (Zeus in the mobile) gibt es übrigens im Blog von McAfee.
Zeus ist und bleibt eine Bedrohung
Microsofts "Malicious Software Removal Tool" MSRT kann seit Oktober 2010 Zeus-Infektionen beseitigen, und die entsprechenden Signaturen wurden seitdem jeden Monat aktualisiert. Mit dem aktuellen Update wurden die entsprechenden Funktionen erneut überarbeitet. Interessant (oder eher beunruhigend) ist eine kleine Statistik: Monatlich wurden zwischen 60.000 und 100.000 Windows-Rechner von Zeus befreit - es muss also entweder laufend entsprechende Neuinfektionen geben, oder jeden Monat gibt es einen entsprechenden Zuwachs bei den MSRT-Nutzern. Im Zweifelsfalls und mangels besserer Informationen würde ich dabei auf laufende Neuinfektionen (oder besser Re-Infektionen) tippen. Zeus ist und bleibt also eine große Gefahr für Onlinebanking-Nutzer.
Es gibt neue Zeus-Varianten
Wie bereits in der vorigen Woche erwähnt, gibt es nach der Veröffentlichung des Sourcecodes des Trojaner-Baukastens Zeus mindestens eine neue, evtl. nur angeblich verbesserte Variante, genannt "Ice IX", die es u.a. auf deutsche Onlinebanking-Kunden abgesehen hat.
Online-Bankraub lohnt sich
Trend Micro berichtet, dass ein einzelner, "Soldier" genannter Cyberkrimineller bei Angriffen auf Onlinebanking-Nutzer in den USA im ersten Halbjahr 2011 3,2 Millionen US-Dollar erbeutet hat. Nebenbei hat er noch jede Menge Zugangsdaten zu verschiedenen Diensten gesammelt, die sich sicherlich ebenfalls zu Geld machen lassen. So eine Erfolgsnachricht dürfte andere Kriminelle anstacheln, ebenfalls aktiv zu werden. Vor allem, da der Cyberkriminelle seine "Erfolge" mit Hilfe von SpyEye- und Zeus-Varianten erreicht hat, und zumindest Zeus gibt es inzwischen ja zum kostenlosen Download, es ist also nicht mal eine Anfangsinvestition zur Anschaffung des Trojaner-Baukastens nötig.
Man-in-the-Middle-Angriffe auf finnische Banken
F-Secure berichtet über Man-in-the-Middle-Angriffe auf mindestens zwei finnische Banken, bei denen Einmal-Passwörter und Verification Codes ausgehebelt werden: Eine E-Mail lockt die Opfer auf eine gefälschte Banken-Website, die die Benutzer-ID und das Einmal-Passwort abfragt und dann um zwei Minuten Geduld bittet. In diesen zwei Minuten wird auf der echten Banken-Website eine Transaktion im Namen des Benutzers ausgelöst, der benötigte Verification Code wird dann auf der gefälschten Banken-Website beim Benutzer angefordert. Gibt der Benutzer ihn ein, autorisierter er damit die von den Angreifern eingeleitete Transaktion. Ein solcher Angriff lässt sich natürlich auf jede beliebige Bank übertragen, die vergleichbare Schutzmaßnahmen verwendet. Fällt der Benutzer auf die gefälschte Website herein, hat er verloren. Auch eine mTAN oder chipTAN würde in so einem Fall keinen Schutz bieten - die Angreifer würden die Benutzer einfach unter einem Vorwand dazu auffordern, die erhaltene mTAN oder die angeforderte chipTAN einzugeben.
chipTAN ist sicher, Flash nicht
Die Nutzung des Onlinebankings ist also durchaus gefährdet, und neue Schutzmaßnahmen sind nötig. Aber die oft angepriesene mTAN ist keine zielführende Lösung, sofern man die Kunden den Cyberkriminellen nicht sehenden Auges in die Arme treiben will. Die chipTAN ist nach aktuellem Wissenstand sicher, sofern keine Sammelüberweisungen verwendet werden (und man keinem Man-in-the-Middle-Angriff wie in Finnland zum Opfer fällt).
Prinzipiell kann man die chipTAN also aus Sicherheitssicht empfehlen. Wenn die meisten Banken nur nicht ausgerechnet das Dauer- Sicherheitsrisiko Flash-Player zur Darstellung des Flacker-Codes zur Übertragung der Daten an den TAN-Generator verwenden würden. Können die Banken es sich nicht mal mehr leisten, dafür eine anständige Lösung in HTML5 entwickeln zu lassen? Brauchen die schon wieder einen neuen Rettungsschirm? Wenn nicht, sollten sie vielleicht mal jemanden suchen, der sich damit auskennt und eine anständige Lösung entwickelt. Und nicht weiter ihre Kunden zwingen, den Flash-Player zu installieren und ihr System dadurch anfällig für Schadsoftware zu machen - auch fü Zeus, SpyEye und Co., die u.a. als Drive-by-Infektion verbreitet werden. Dann hätten sie vielleicht auch viel weniger Probleme mit infizierten Kunden-Rechnern.
Trackbacks
Dipl.-Inform. Carsten Eilers am : Apples Umgang mit Schwachstellen und deren Entdeckern
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Angriffe auf mTAN, tibetische Aktivisten, Windows 8 und mehr
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Eurograbber beweist: mTANs gefährden Ihr Bankkonto!
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Zwei-Faktor-Authentifizierung per SMS
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Drucksache: PHP Magazin 3.2014 - Zwei-Faktor-Authentifizierung - Doppelt hält besser
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Drucksache: Mobile Technology 2.2014 - Zwei-Faktor-Authentifizierung mit dem Google Authenticator
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Drucksache: Mobile Technology 3.2014 - Androids Sicherheit aus Forschersicht
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Neues eBook: Android Security - Von Fake-Apps, Trojanern und Spy Phones
Vorschau anzeigen
entwickler.de am : PingBack
Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.Dipl.-Inform. Carsten Eilers am : Neues eBook: "Angriffsziel UI - Benutzeraktionen, Passwörter und Clickjacking"
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Drucksache: Windows Developer 11.16 - Zwei-Faktor-Authentifizierung
Vorschau anzeigen