Skip to content

Zwei-Faktor-Authentifizierung per SMS

Nach der allgemeinen Beschreibung der Zwei-Faktor-Authentifizierung geht es nun um bekannte Implementierungen und Angriffe darauf. Ein praktisches Beispiel, wie man eine Zwei-Faktor-Authentifizierung nicht implementieren sollte, hat ja Twitter geliefert, aber es gibt noch weitere bekannte Beispiele für Zwei-Faktor-Authentifizierungen und Angriffe darauf. Am bekanntesten ist wohl die

Zwei-Faktor-Authentifizierung beim Onlinebanking

Beim Onlinebanking wurde schon von Anfang an auf eine Zwei-Faktor-Authentifizierung gesetzt: Benutzername (meist in Form einer Kontonummer) und PIN sind der eine Faktor, der zweite waren Anfangs die TAN-Listen. Wobei rein formal nur Benutzername und Passwort der Authentifizierung dienen, die TAN dient eigentlich der Autorisierung der gewünschten Aktionen. Aber hier sehe ich das mal nicht so eng, da das Verfahren mit einer tatsächlichen Zwei-Faktor-Authentifizierung mit SMS-Code als zweitem Faktor quasi überein stimmt. Insbesondere sind die gleichen Angriffe, die beim Onlinebanking erfolgreich sind, auch auf die Authentifizierung mit SMS-Code als zweitem Faktor übertragbar.

Einfache TAN-Listen

Anfangs reichte es aus, irgend eine bisher nicht verwendete TAN der aktuelle TAN-Liste einzugeben, um zum Beispiel eine Überweisung in die Wege zu leiten. Dieses Verfahren wurde sehr schnell durch Phishing-Angriffe und Schadsoftware wie zum Beispiel Zeus erfolgreich angegriffen: Eine beliebige abgephischte oder ausgespähte TAN erlaubte den Cyberkriminellen die Ausführung einer beliebigen Überweisung, und damit konnten sie das Konto ihres Opfers auf einen Schlag leer räumen.

Indexierte TAN-Listen

Die erste Gegenmaßnahme der Banken bestand in der Einführung der iTAN, indexierter TAN-Listen, von denen der Bank-Server dann eine bestimmte TAN für die Autorisierung der aktuellen Aktion verlangte. Das war für die Phisher ungünstig, aber es gab immer noch genug (oder besser: zu viele) Personen, die auch mal eben 20 iTANs auf einmal auf einer Phishing-Seite eingaben. Hinzu kam die inzwischen ausgefeiltere Schadsoftware, die zum Beispiel als Man-in-the-Browser eine vom Benutzer eingegebene Überweisung heimlich nach eigenen Wünschen abänderte und dann vom Benutzer durch Eingabe der vom Server gewünschten iTAN autorisieren ließ.

TAN per SMS

Es musste also ein anderer 2. Faktor her. Dafür gibt es zur Zeit zwei Ansätze: SMS-TANs (auch mTAN genannt) und Chip-TANs. Fangen wir mit den SMS-TANs an: Nachdem der Benutzer zum Beispiel eine Überweisung in Auftrag gegeben hat berechnet der Bank-Server eine TAN. Die wird zusammen mit einem Teil der Daten des Auftrags, meist der Kontonummer des Empfängers und dem Überweisungsbetrag, per SMS an den Benutzer geschickt. Der Benutzer muss nun die Daten aus der SMS mit den von ihm gewünschten Daten vergleichen, und nur wenn sie überein stimmen darf er die TAN eingeben und dadurch den Auftrag bestätigen.

Angriff per Social Engineering

Das schiebt den zum Beispiel als Man-in-the-Browser agierenden Onlinebanking-Trojanern einen Riegel vor: Die können zwar die Überweisungsdaten manipulieren, diese Manipulation fällt dem Benutzer aber bei der Prüfung der Daten aus der SMS auf. Eine Möglichkeit, diesen Schutz auszuhebeln, besteht darin, dem Benutzer per Social Engineering zur Eingabe der empfangenen TAN zu verleiten. Zum Beispiel, indem eine Überprüfung des SMS-Empfangs vorgetäuscht wird. Welcher Benutzer wird schon misstrauisch, wenn er während des Onlinebankings auf der Website seiner Bank aufgefordert wird, eine empfangene Test-TAN einzugeben? Dass diese Aufforderung gar nicht von der Banken-Website sondern von der Schadsoftware auf seinem Rechner stammt, merkt er nicht. Auch nicht, dass diese Schadsoftware heimlich eine Überweisung in die Wege geleitet hat, die er nun durch Eingabe der angeblichen Test-TAN autorisiert. Das die tatsächlich vom Server der Bank zur Autorisierung der Überweisung gesendet wurde, weiß er ja nicht.

Angriff per Schadsoftware

Außer diesem auf Social Engineering basierenden Angriff gibt es für die Cyberkriminellen eine weitere Möglichkeit, an die per SMS gesendete TAN zu gelangen: Indem Sie das Smartphone des Opfers mit einer entsprechenden Schadsoftware infizieren. Erste entsprechende Angriffe gab es bereits 2010, als die Banken hier gerade anfingen, die iTANs durch SMS-TANs zu ersetzen. Weitere Beispiele gefällig? Seit Mitte 2011 gibt es eine Mobil-Version des schon oben erwähnten Zeus für Android, und auch der "Zeus-Konkurrent" SpyEye macht mobil. Und im November 2012 warnte sogar die Berliner Polizei vor Angriffen auf die SMS-TANs.

Wie erfolgreich solche Angriffe sind, hat der "Eurograbber" genannte Angriff gezeigt, bei dem 2012 mehr als 36 Millionen Euro von mehr als 30.000 Bank-Kunden in Europa geklaut wurden - mit einer Mobil-Version von Zeus.

SMS-TAN sind also potentiell unsicher, wenn sie auf einem Gerät empfangen werden, auf dem beliebige Software installiert werden kann. Mit anderen Worten: Entweder Sie verwenden für den Empfang der SMS-TAN ein ganz einfaches Handy oder gehen die Gefahr ein, dass ihr für dem Empfang verwendetes Smartphone mit einem entsprechenden Schädling infiziert wird und die SMS-TANs daraufhin abgefangen werden.

Smartphones sind kein guter "zweiter Faktor"

Der erste Faktor bei der Zwei-Faktor-Authentifizierung besteht im Wissen der Zugangsdaten, beim Onlinebanking also Benutzername/Kontonummer und PIN, bei Webanwendungen wie Twitter meist Benutzername und Passwort. Der zweite Faktor besteht eigentlich im Besitz eines Geräts. Oder besser: Sollte darin bestehen. Im Fall der mittels SMS übertragenen TANs oder Codes also im Besitz des registrierten Empfangsgeräts.

Dieser Besitz ist aber nicht wirklich notwendig, es reicht, die empfangene TAN bzw. den empfangenen Code zu kennen. Und an diesem Punkt wird es bei mit dem Internet bzw. allgemein einem Netzwerk verbundenen Geräten kritisch: Ein Angreifer, der das Gerät kompromittiert, kennt die damit empfangene TAN bzw. den damit empfangenen Code genauso wie der rechtmäßige Benutzer. In dem Moment, in dem das Gerät kompromittiert wurde, ist der zweite Faktor also wirkungslos. Und da es recht einfach ist, auf einem Smartphone Schadsoftware zu installieren, sind Smartphones als zweiter Faktor ungeeignet.

Gefährlich: Smartphone mit doppelter Funktion

Besonders gefährlich wird es, wenn Sie das Smartphone nicht nur zum Empfang der SMS verwenden, sondern auch für das Onlinebanking nutzen. Denn dann haben es die Angreifer noch einfacher - sie müssen nur ein Gerät kompromittieren, um an beide Faktoren für die Authentifizierung zu gelangen. Die Banken verbieten also aus guten Grund den Empfang der SMS-TAN auf einem Smartphone, das für das Onlinebanking genutzt wird.

Daher sollten Sie generell nicht die per SMS zugeschickten Codes einer Zwei-Faktor-Authentifizierung mit dem Smartphone empfangen, mit dem sie auch die entsprechende Anwendung nutzen. Noch gibt es keine zum Beispiel auf Twitter spezialisierte Schadsoftware. Aber wenn die Cyberkriminellen Bedarf dafür haben, wird es nicht lange dauern, bis es Smartphone-Schädlinge zum Abfangen bzw. Ausspähen der Code-SMS von Twitter und Co. gibt. Und die Cyberkriminellen haben es besonders leicht, wenn Twitter und Co. auch vom Smartphone aus genutzt werden, denn dann müssen sie nicht PC und Smartphone infizieren, um Zugangsdaten und SMS-Code auszuspähen, sondern gelangen schon mit dem Schädling auf dem Smartphone ans Ziel.

Übrigens muss im Fall der Angriffe auf normale Webanwendungen der Desktop-Rechner nicht zwingend kompromittiert werden. Es reicht, wenn der Benutzer seine Zugangsdaten auf einer Phishing-Seite eingibt und dabei sein Smartphone mit Schadsoftware zum Ausspähen des SMS-Codes infiziert wird. Und wer auf einer Phishing-Seite seine Zugangsdaten eingibt, wird sicher nicht zögern, von dort auch eine zum Beispiel als Sicherheitsupdate oder nützliche App getarnte Schadsoftware zu installieren.

Sicherer als die SMS-TAN ist die Chip-TAN, um die es in der nächsten Folge unter anderem geht.

Carsten Eilers


Übersicht über alle Artikel zum Thema

Authentifizierung: Sichere Passwörter
Authentifizierung: Passwortregeln, Teil 1
Authentifizierung: Passwortregeln, Teil 2
Authentifizierung: Ein Faktor reicht nicht (mehr)
Zwei-Faktor-Authentifizierung per SMS
Zwei-Faktor-Authentifizierung mit spezieller Hardware, Teil 1
Zwei-Faktor-Authentifizierung mit spezieller Hardware, Teil 2
Zwei-Faktor-Authentifizierung mit der Smartphone-App

Trackbacks

Keine Trackbacks