|
|
|
|
| 2006/03/23 Phishing - iTAN-Lösung leicht geknackt Selbst iTAN-Lösungen sind "leicht" zu knacken - auch Signaturkartenlösungen könnten auf diesem Weg einfach ausgetrickst werden - nur Betrachtung des Gesamtprozesses "Onlinebanking" wird ausreichende Kundensicherheit bieten Phishing - was in der nächsten Welle droht Trojaner, die über unauffällige Websites eingefangen werden, könnten schon in naher Zukunft die Kontrolle über das Onlinebanking beim Kunden übernehmen. Aufpassen und bisherige Vorsichtsmaßnahmen greifen dann nicht mehr. iTAN-Lösungen sind "leicht" zu knacken Immer mehr österrreichische Banken, zuletzt die BA-CA führen das iTAN-Verfahren im Telebanking ein. Auch die ARGE DATEN berichtete darüber. Verkauft wird diese, an sich selbstverständliche Lösung, als letzter Sicherheitsschrei. Meistens werden jedoch die weiter bestehenden offenen Sicherheitslücken nicht ausreichend mitkommuniziert, Bankkunden somit in falscher Sicherheit gewogen. Schon m Herbst 2005 wurden erste Szenarien zum "knacken" des iTAN-Verfahrens veröffentlicht. Offenbar dienten sie Phishern als Denkanstoß. Und so läuft der iTAN-Hack ab 1. C ruft seine Online-Banking-Seite auf 2. A registriert die Logindaten von C 3. C startet eine Transaktion (Banküberweisung an XY), die einen iTAN erfordert 4. A unterbricht die Transaktion und speichert die Transaktionsdaten 5. A startet seine eigene Transaktion und benutzt dazu die Logindaten von C (aus 2.) 6. B verlangt für die Transaktion von A einen iTAN und sendet eine entsprechende Anforderungsnummer X. 7. A unterbricht wiederum die Kommunikation 8. A sendet nun an C die Anforderung den iTAN einzugeben, der der Anforderungsnummer X entspricht 9. C glaubt, dass seine ursprüngliche Transaktion durchgeführt wird und gibt iTAN ein 10. A unterbricht wiederum die Kommunikation und speichert den iTAN für seine eigene Transaktion 11. A meldet an C den "erfolgreichen" Abschluss der Transaktion oder er bricht die Transaktion wegen eines "Fehlers" des B-Servers ab 12. A verwendet den iTAN und schließt seine Transaktion erfolgreich ab Auch Signatur-Lösungen sind auf diesem Weg angreifbar Ein Problem kann jedoch das unsichere (Betriebssystem-)Umfeld sein. Gelingt es einem Angreifer vor dem Signiervorgang eine Banktransaktion unbemerkt zu manipulieren und der Kunde erkennt diese Manipulation auch nicht während des Signiervorgangs, dann ist zwar die Transaktion fälschungssicher, nichtsdestotrotz aber falsch. Die Angriffsmöglichkeiten ergeben sich daraus, dass zwar die Freigabe einer Transaktion durch PIN-Eingabe auf einem gesicherten Kartenlesegerät erfolgt, die gesamte Vorbereitung der Transaktion jedoch nach wie vor im ungesicherten Kundenbetriebssystem. Genau dort können jedoch die Transaktionen ausgetauscht werden. Aus der Überweisung von 128 EUR auf das Konto der Hausverwaltung werden dann rasch 1280 EUR auf ein Fremdkonto. Möglicherweise werden die Angriffe noch einfacher. Erstens müssen bei den gegenwärtigen Kartensignaturlösungen der Banken Microsoft-Betriebssysteme verwendet werden, diese sind jedoch für Trojaner besonders anfällig. Zweitens entfällt die Eingabe von Einmalpasswörtern, wie es die TAN's und iTAN's sind. Gesamtprozess "Onlinebanking" betrachten Ein betrügerischer Eingriff in das iTAN-Verfahren setzt nämlich automatisierte Transaktionen, die innerhalb weniger Sekunden ablaufen, voraus. Eine entsprechende Protokollierung, die auch auf Kundenseite erfolgen müßte bzw. Auswertungen am Banking-Server würde Angriffsversuche erkennbar machen und wenn schon nicht verhindern, doch die Beweislage für den Konsumenten, dass er Opfer einer Attacke wurde, erheblich verbessern. Somit könnte die Haftung für fehlerhafte Überweisungen wieder eindeutig dem Systembetreiber, der Bank zugeordnet werden. Ungerechte Risikoverteilung Dies wäre dann ein akzeptabler Standpunkt, wenn auch die Scahdensfälle anstandslos von den Banken getragen werden. Tatsächlich werden diese oft nur "aus Kulanz" übernommen und etwa nur dann, wenn der Betroffene lautstark argumentiert und mit Anwalt, Konsumentenschutzorganisation und Medien genügend Drohungspotential verbreitet. Nützt man alle heute verfügbaren technischen und organisatorischen Maßnahmen aus, könnte das Gefährdungspotential auf wenige Promille der jetztigen Fälle reduzuiert werden. Bei insgesamt geringen Kosten für die Banken, aber bei einer klareren Risikoverteilung zuungunsten der Banken. Es wären dann nur ein Bruchteil der Schadensfälle denkbar, diese wären aber dann jeweils viel eindeutiger den Banken bzw. den Kunden zuzuordnen. Eine bloße Kriminalisierung einzelner Täter, wie es Microsoft zuletzt als Beitrag zur internationalen Zusammenarbeit angekündigt hat, wird sicher nicht ausreichen, um das Vertrauen in eCommerce und Online-Banking wieder herzustellen. mehr --> Phishing - so prüfen Sie die Sicherheitszertifikate der Banken mehr --> Phishing - Hektische Abwehr-Bemühungen der Banken mehr --> Die wichtigsten Online-Banking-Anbieter in Österreich |
Die angezeigten Informationen sind nur zur persönlichen Nutzung bestimmt. Jede Weitergabe an Dritte ist unzulässig und ausdrücklich untersagt. Alle Angaben und Informationen ohne Gewähr. Trotz sorgfältiger Recherche besteht die Möglichkeit, daß einzelne Informationen veraltet, unklar oder unvollständig sind. Sollten Sie Kenntnis von derartigen Informationen erhalten, ersuchen wir Sie um Rückmeldung, damit wir die Daten raschest korrigieren können. e-commerce Ratingwerte geben die Einschätzung des e-rating-Teams zu der genannten Organisationen und Webshops wider. Diese Einschätzung muss nicht mit Einschätzungen anderer Rating-Organisationen oder mit der Selbsteinschätzung der bewerteten Organisation übereinstimmen. Es liegt in der Verantwortung jedes Benutzers des Informationssystems die Ratingwerte in geeigneter Weise zu interpretieren. Bei Nutzungsproblemen wenden Sie sich bitte an unseren Support! per fax ++43(0)1/4803209 oder per e-mail Online Hilfe Content Management System developed & powered by e-commerce monitoring gmbh |
| © e-commerce monitoring GmbH 2002-2010 | webmaster |