privacy service   a-cert e-rating.at
e-commerce News | Bewertungsmethoden | Shop anmelden | Benutzer registrieren | Mitglied werden | Hilfe
2006/03/23 Phishing - iTAN-Lösung leicht geknackt
Selbst iTAN-Lösungen sind "leicht" zu knacken - auch Signaturkartenlösungen könnten auf diesem Weg einfach ausgetrickst werden - nur Betrachtung des Gesamtprozesses "Onlinebanking" wird ausreichende Kundensicherheit bieten

Phishing - was in der nächsten Welle droht

Während Banken noch mit dem Verwechslungsproblem unübersichtlicher Onlinebanking-Sites kämpfen, Kunden sich mit undurchschaubaren Sicherheitseinstellungen, unbekanten Zertifikaten und widersprüchlichen Sicherheitsanweisungen abmühen, steht die nächste Angriffswelle bevor.

Trojaner, die über unauffällige Websites eingefangen werden, könnten schon in naher Zukunft die Kontrolle über das Onlinebanking beim Kunden übernehmen. Aufpassen und bisherige Vorsichtsmaßnahmen greifen dann nicht mehr.


iTAN-Lösungen sind "leicht" zu knacken

Beim iTAN-Banking werden nicht TAN-Nummern in einer bestimmten Reihenfolge verwendet, sondern die Bank gibt vor welcher TAN aus einer bestimmten Liste zu verwenden ist.

Immer mehr österrreichische Banken, zuletzt die BA-CA führen das iTAN-Verfahren im Telebanking ein. Auch die ARGE DATEN berichtete darüber. Verkauft wird diese, an sich selbstverständliche Lösung, als letzter Sicherheitsschrei. Meistens werden jedoch die weiter bestehenden offenen Sicherheitslücken nicht ausreichend mitkommuniziert, Bankkunden somit in falscher Sicherheit gewogen.

Schon m Herbst 2005 wurden erste Szenarien zum "knacken" des iTAN-Verfahrens veröffentlicht. Offenbar dienten sie Phishern als Denkanstoß.


Und so läuft der iTAN-Hack ab

Die Rollen und ihre Bedeutung: A == der Angreifer, B == die Bank und C == der Konsument:
1. C ruft seine Online-Banking-Seite auf
2. A registriert die Logindaten von C
3. C startet eine Transaktion (Banküberweisung an XY), die einen iTAN erfordert
4. A unterbricht die Transaktion und speichert die Transaktionsdaten
5. A startet seine eigene Transaktion und benutzt dazu die Logindaten von C (aus 2.)
6. B verlangt für die Transaktion von A einen iTAN und sendet eine
entsprechende Anforderungsnummer X.
7. A unterbricht wiederum die Kommunikation
8. A sendet nun an C die Anforderung den iTAN einzugeben,
der der Anforderungsnummer X entspricht
9. C glaubt, dass seine ursprüngliche Transaktion durchgeführt wird und gibt iTAN ein
10. A unterbricht wiederum die Kommunikation und
speichert den iTAN für seine eigene Transaktion
11. A meldet an C den "erfolgreichen" Abschluss der Transaktion oder
er bricht die Transaktion wegen eines "Fehlers" des B-Servers ab
12. A verwendet den iTAN und schließt seine Transaktion erfolgreich ab


Diese als Man-in-the-Middle-Attacke bekannte Vorgangsweise wird üblicherweise durch ein am Computer des Kunden installiertes Programm, eines Trojaners, realisiert. Dieser Trojaner verändert die Betriebssystemeinstellungen so, dass bei Eingabe des Namens des Bankrechners eine Verbindung mit dem Angreiferrechner hergestellt wird. Unter Microsoft genügt dazu das editieren der "hosts"-Datei. Die Attacke kann vollautomatisiert innerhalb weniger Sekunden geführt werden, also im Rahmen des typischen Antwortverhaltens von Online-Banking-Systemen abgewickelt werden.


Auch Signatur-Lösungen sind auf diesem Weg angreifbar

Grundsätzlich sind Signatur-Lösungen als sichere Authentisierungsverfahren einzustufen und könnten im Online-Banking wertvolle Dienste erfüllen. An signierten Transaktionen können nachträgliche Manipulationen leicht erkannt werden, weiters ist die Authentizität des Absenders gewährleistet.

Ein Problem kann jedoch das unsichere (Betriebssystem-)Umfeld sein. Gelingt es einem Angreifer vor dem Signiervorgang eine Banktransaktion unbemerkt zu manipulieren und der Kunde erkennt diese Manipulation auch nicht während des Signiervorgangs, dann ist zwar die Transaktion fälschungssicher, nichtsdestotrotz aber falsch.

Die Angriffsmöglichkeiten ergeben sich daraus, dass zwar die Freigabe einer Transaktion durch PIN-Eingabe auf einem gesicherten Kartenlesegerät erfolgt, die gesamte Vorbereitung der Transaktion jedoch nach wie vor im ungesicherten Kundenbetriebssystem. Genau dort können jedoch die Transaktionen ausgetauscht werden. Aus der Überweisung von 128 EUR auf das Konto der Hausverwaltung werden dann rasch 1280 EUR auf ein Fremdkonto.

Möglicherweise werden die Angriffe noch einfacher. Erstens müssen bei den gegenwärtigen Kartensignaturlösungen der Banken Microsoft-Betriebssysteme verwendet werden, diese sind jedoch für Trojaner besonders anfällig. Zweitens entfällt die Eingabe von Einmalpasswörtern, wie es die TAN's und iTAN's sind.


Gesamtprozess "Onlinebanking" betrachten

Trotzdem könnte das iTAN-Verfahren eine wesentliche Steigerung der Sicherheit bieten, wenn man die gesamte Transaktion beim Onlinebanking betrachtet.

Ein betrügerischer Eingriff in das iTAN-Verfahren setzt nämlich automatisierte Transaktionen, die innerhalb weniger Sekunden ablaufen, voraus. Eine entsprechende Protokollierung, die auch auf Kundenseite erfolgen müßte bzw. Auswertungen am Banking-Server würde Angriffsversuche erkennbar machen und wenn schon nicht verhindern, doch die Beweislage für den Konsumenten, dass er Opfer einer Attacke wurde, erheblich verbessern.

Somit könnte die Haftung für fehlerhafte Überweisungen wieder eindeutig dem Systembetreiber, der Bank zugeordnet werden.


Ungerechte Risikoverteilung

Beobachtet man jedoch die Wortmeldungen zum Thema "Phishing", insbesondere von Seiten der Banken, entsteht immer stärker der Eindruck, dass gar nicht die Bereitschaft besteht, einen heute erreichbaren Sicehrheitsstandard im Onlinebanking zu erreichen. "Das würde uns hunderte Millionen EURO kosten", so die Horrormeldungen. Dem stehen ja doch weniger als 500.000 EUR Schaden in Österreich (derzeit etwa 200 Fälle) gegenüber.

Dies wäre dann ein akzeptabler Standpunkt, wenn auch die Scahdensfälle anstandslos von den Banken getragen werden. Tatsächlich werden diese oft nur "aus Kulanz" übernommen und etwa nur dann, wenn der Betroffene lautstark argumentiert und mit Anwalt, Konsumentenschutzorganisation und Medien genügend Drohungspotential verbreitet.

Nützt man alle heute verfügbaren technischen und organisatorischen Maßnahmen aus, könnte das Gefährdungspotential auf wenige Promille der jetztigen Fälle reduzuiert werden. Bei insgesamt geringen Kosten für die Banken, aber bei einer klareren Risikoverteilung zuungunsten der Banken. Es wären dann nur ein Bruchteil der Schadensfälle denkbar, diese wären aber dann jeweils viel eindeutiger den Banken bzw. den Kunden zuzuordnen.

Eine bloße Kriminalisierung einzelner Täter, wie es Microsoft zuletzt als Beitrag zur internationalen Zusammenarbeit angekündigt hat, wird sicher nicht ausreichen, um das Vertrauen in eCommerce und Online-Banking wieder herzustellen.

mehr --> Phishing - so prüfen Sie die Sicherheitszertifikate der Banken
mehr --> Phishing - Hektische Abwehr-Bemühungen der Banken
mehr --> Die wichtigsten Online-Banking-Anbieter in Österreich


Die angezeigten Informationen sind nur zur persönlichen Nutzung bestimmt. Jede Weitergabe an Dritte ist unzulässig und ausdrücklich untersagt. Alle Angaben und Informationen ohne Gewähr. Trotz sorgfältiger Recherche besteht die Möglichkeit, daß einzelne Informationen veraltet, unklar oder unvollständig sind. Sollten Sie Kenntnis von derartigen Informationen erhalten, ersuchen wir Sie um Rückmeldung, damit wir die Daten raschest korrigieren können. e-commerce Ratingwerte geben die Einschätzung des e-rating-Teams zu der genannten Organisationen und Webshops wider. Diese Einschätzung muss nicht mit Einschätzungen anderer Rating-Organisationen oder mit der Selbsteinschätzung der bewerteten Organisation übereinstimmen. Es liegt in der Verantwortung jedes Benutzers des Informationssystems die Ratingwerte in geeigneter Weise zu interpretieren.

Bei Nutzungsproblemen wenden Sie sich bitte an unseren Support! per fax +43(0)1/5320974 oder per e-mail Online Hilfe
Content Management System developed & powered by e-commerce monitoring gmbh

© e-commerce monitoring GmbH 2002-2016 webmaster
Datenschutz, Privatsphäre, Privacy, Informationsrecht, Datensicherheit, Inhouse-Schulung, Datenschutzbeauftragter, DSB, Österreich, Austria, Wien, Internet, Telekommunikation, Personendaten, Auftraggeber, Dienstleister, datenschutz-seminar.at, privacy-day.at, privacyday.at, Cloud Computing, datenschutz-seminare@at, Vorratsdatenspeicherung, Vorratsspeicherung, datenschutz tag, hacking, hacker, Whistleblowing, RFID, social media, Web 2.0, Web2.0, informationelle Selbstbestimmung, datenschutz tagung, e-government, e-commerce, Identität, phishingdata protection, privacy, data security, data safety, Inhouse, data protection officer, Austria, Vienna, internet, telecommunication, personal data, data retention, privacy protection, privacy protect, Video Surveillance, CCTV