Diskussionsforum
Menü

Wo ist die Sicherheitslücke beim iTAN?


14.12.2010 13:38 - Gestartet von mikiscom
Wie soll ein Angreifer die TAN abfischen, die ich auf meinem Papierzettel stehen habe und ich natürlich nicht auf die Idee komme, den Zettel vor die Webcam zu halten oder auf den Scanner zu legen? (Wer auf einer Webseite die angeblich von der eigenen Bank ist, alle 100 TANs fleißig der Reihe nach eingibt ist halt selbst schuld.)

Einzige Möglichkeit die ich mir vorstellen könnte, wäre ein Zwischenschalten zwischen Computer des Anwenders und Server der Bank. Hierfür muss der Hacker dann die Verschlüsselung knacken. Aber es dürfte doch ziemlich egal sein woher der Anwender die eingegebene TAN hat ob nun vom Zettel oder einem Zusatzgerät, Hauptsache der Hacker schaltet sich sich dazwischen und ändert den Empfänger und Betrag.

Für sicherer würde ich eine Kombination mit dem Handy halten: Wenn man nach beauftragter Überweisung eine SMS der Bank mit individueller Kennung der getätigten Überweisung bekommt, schickt man eine SMS mit einer anderen dazugehörigen TAN an die Bank zurück, nach dem Motto: "Ja, ich will wirklich."

Steht in der Nachfrage SMS dann der Empfänger, der es wirklich sein soll, kann der Hacker, selbst wenn er das Handy anzapft nur noch zustimmen oder ablehnen. Er könnte aber nicht mehr den Empfänger ändern weil es beim Handy nur Ja oder Nein zur Auswahl gibt. Ändert er den Empfänger am Computer, steht in der "Wollen Sie wirklich"-SMS der Bank dann der Fremde Empfänger und der Bankkunde merkt, dass sein Auftrag gerade manipuliert werden soll und schickt keine Bestätigungs-Antwort-SMS an die Bank.
Menü
[1] Peterdoo antwortet auf mikiscom
14.12.2010 13:51
Wer ist aber der Empfänger der angezeigt werden soll? Neuerdings wird die Überweisung nur anhand der Kontonummer/IBAN durchgeführt. Der Name wird einfach ignoriert und kann vom Angreifer unverändert gelassen werden. Wer wird schon die bald zu verwendende 22-stellige IBAN bei jeder Überweisung genau überprüfen?
Menü
[1.1] mikiscom antwortet auf Peterdoo
14.12.2010 14:47
Aber die IBANs sollte man halt überprüfen wenn man das Risiko nicht selbst erhöhen will. So viel Ziffern sind das ja auch nicht. Außerdem genügt ja meist schon ein kurzer Blick auf die letzten 4 Ziffern. Das genau diese auch mit dem gefälschten Empfänger übereinstimmen ist doch schon unwahrscheinlicher. Und den Betrag zu überprüfen ist wohl auch nicht zu viel verlangt.
Menü
[2] myselfme antwortet auf mikiscom
14.12.2010 13:56
Ich denke, dass die Banken gar nicht einmal so das Risiko von Hackern sehen. Hauptaufgabe neuer Sicherheitslösungen dürfte es sein, dass die Banken sich vor dem Risiko "KUNDE" schützen.
Und bei HBCI schafft es nicht Kalli Klapps aus Dasseldorf Schaden durch eine Phishing-Mail zu verursachen (es sein denn, er gibt Karte, Leser und PIN dem "Sicherheitsbeauftragten" an der Haustür - aber dann ist die Bank in jedem Fall von einer Haftung frei und verliert maximal einen Terrorkunden).
Ist wie mit Viren, Würmern und all diesem supergefährlichen Zeugs für PC-User. Der Rechner arbeitet nur mit Einsen und Nullen und manchmal springen halt die Nullen vom virtuellen ins reale Leben (womit ich nichts gg Virenscanner gesagt haben will - ist im Gegensatz zu einer Softwarefirewall sehr sinnvoll !)
Menü
[2.1] BuergerFloyd antwortet auf myselfme
14.12.2010 17:31
Die Sicherheitslücke im iTAN ist folgende:

Wenn deine Online-Banking-Website dich auffordert TAN 21 einzugeben, weißt du nicht, welche Transaktion zu damit auslöst. Zwar steht auf dem Bildschirm "Überweisung an Oma, 50 Euro", was aber wirklich abgeschickt wird, ist unklar. Ein Trojaner auf dem PC kann z.B. im Hintergrund eine andere Überweisung ausführen. Die Umsatzübersicht wird bei der Gelegenheit auch manipuliert, so dass der Betrug nicht gleich auffällt.

Selbst wenn der PC komplett virenfrei ist, kann man über DNS-Manipulation im Internetrouter Nutzer auf falsche Seiten schicken. Man muss schon sehr aufmerksam sein und sich überdurchschnittlich gut auskennen, um solche Angriffe zu bemerken.
Menü
[2.1.1] myselfme antwortet auf BuergerFloyd
14.12.2010 18:41
Diesen Umstand will und wollte ich gar nie nicht verleugnen. Dennoch bin ich mir sicher, dass die Banken egoistischerweise doch eher an User-Inkompetenzen denken wenn sie zB HBCI bevorzugen.
Das von Dir beschriebene Szenario ist sicher technisch machbar - für den Quicky-Kontoleerräumer aber viel zu aufwändig. Da lohnen sich die Millionenfach versendeten Phishing-Mails in Übungsdeutsch wohl immer noch wesentlich mehr...
Menü
[3] Christian_Wien antwortet auf mikiscom
14.12.2010 21:06
Benutzer mikiscom schrieb:
Wie soll ein Angreifer die TAN abfischen, die ich auf meinem Papierzettel stehen habe und ich natürlich nicht auf die Idee komme, den Zettel vor die Webcam zu halten oder auf den Scanner zu legen? (Wer auf einer Webseite die angeblich von der eigenen Bank ist, alle 100 TANs fleißig der Reihe nach eingibt ist halt selbst schuld.)

Einzige Möglichkeit die ich mir vorstellen könnte, wäre ein Zwischenschalten zwischen Computer des Anwenders und Server der Bank. Hierfür muss der Hacker dann die Verschlüsselung knacken.


In deinem zweiten Absatz kommst du dem Prinzip schon sehr nahe.
Nur braucht der Hacker keine Verschlüsselung zu knacken, da er die Daten ohnehin schon vorher im Klartext zur Verfügung hat.
Das Problem sind nämlich Trojaner, die sich über Boot- bzw. Rootkits für normale Virenscanner etc. unsichtbar auf dem (Windows-)Rechner einnisten und dabei die komplette Onlinebankingsession sowohl mitlesen als auch manipulieren können.
D.h., du erstellst eine Überweisung über € 40,-- auf das Konto 1234 der Firma Meyer und im Hintergrund wird diese für dich unsichtbar z.B. auf € 400,-- und Konto 5678 der Fa. Huber bzw. eines naiven "Finanzagenten" geändert.
Du bestätigst dann mit deiner iTAN unerkennbar die veränderte Überweisung und es werden dir auf dem verseuchten Rechner auch immer die erwarteten Kontodaten angezeigt.
Die Wahrheit siehst du erst auf einem anderen, nicht verseuchten Rechner oder wenn du dir einen Kontoauszug ziehst bzw. diesen zugesandt wird.

Solche Trojaner kann man sich auch als "drive-by" beim Surfen auf (gehackten) seriösen Seiten einfangen.
Auf halb- und illegalen Seiten ist das Risiko natürlich noch viel größer und die von Microsoft zusätzlich implementierten Schutzmaßnahmen bei 64bit Windows-Systemen können mittels Bootkit ebenfalls problemlos ausgehebelt werden.

Menü
[3.1] mikiscom antwortet auf Christian_Wien
15.12.2010 07:38
Aber was bringt dann ein externes Gerät was mir eine TAN generiert?
Wenn der Trojaner sich auf meinem Rechner einnistet, kann er jede Überweisung fälschen, egal ob die TAN nun von einem externen Gerät oder einem Papier stammt.

Sinnvoll finde ich daher nur solch ein von mir beschriebenen Weg, wo ein unabhängiges Gerät wie ein Handy selbst zusätzlich Verbindung zur Bank aufnimmt.
Ich habe das bisher so verstanden, dass der TAN-Generator u.ä. dem Nutzer die TANs nur anzeigt, aber keine eigene Verbindung zur Bank hält. Oder ist das doch so?
Menü
[3.1.1] Christian_Wien antwortet auf mikiscom
15.12.2010 10:00
Benutzer mikiscom schrieb:
Aber was bringt dann ein externes Gerät was mir eine TAN generiert?
Wenn der Trojaner sich auf meinem Rechner einnistet, kann er jede Überweisung fälschen, egal ob die TAN nun von einem externen Gerät oder einem Papier stammt.

Sinnvoll finde ich daher nur solch ein von mir beschriebenen Weg, wo ein unabhängiges Gerät wie ein Handy selbst zusätzlich Verbindung zur Bank aufnimmt.
Ich habe das bisher so verstanden, dass der TAN-Generator u.ä. dem Nutzer die TANs nur anzeigt, aber keine eigene Verbindung zur Bank hält. Oder ist das doch so?


mTANs & Co bieten natürlich nur dann zusätzliche Sicherheit, wenn - wie es aber bei fast allen Banken gemacht wird - gemeinsam mit der mTAN auch Empfängerkontonummer und Betrag übermittelt werden.
Nur dann kannst du erkennen, ob die Bank auch tatsächlich die korrekten, von dir beabsichtigten Daten bekommen hat und bei Nichtübereinstimmung eben die Transaktion NICHT mit der mTAN abzuschließen.
Natürlich solltest du dich dann intensiv um deine(n) Rechner kümmern, denn Trojaner haben es üblicherweise nicht "nur" auf das klassische Onlinebanking, sondern auch auf andere lukrative Ziele (andere Zahlungsdienstleister wie PayPal, eBay, Paßwörter, Identitätsdiebstahl, etc.) abgesehen.
Menü
[3.1.2] BeRu antwortet auf mikiscom
15.12.2010 14:26
Benutzer mikiscom schrieb:
Aber was bringt dann ein externes Gerät was mir eine TAN generiert?
Wenn der Trojaner sich auf meinem Rechner einnistet, kann er jede Überweisung fälschen, egal ob die TAN nun von einem externen Gerät oder einem Papier stammt.


Bei diesen externen Geräten muss zur TAN-Ermittlung die Zielkontonummer und der Überweisungsbetrag manuell oder optisch über den Computerbildschirm in das Gerät eingegeben werden.
Wird dann Zielkonto oder Betrag manipuliert funktioniert diese TAN nicht.


Menü
[3.1.2.1] mikiscom antwortet auf BeRu
15.12.2010 16:16
Benutzer BeRu schrieb:

Bei diesen externen Geräten muss zur TAN-Ermittlung die Zielkontonummer und der Überweisungsbetrag manuell oder optisch über den Computerbildschirm in das Gerät eingegeben werden. Wird dann Zielkonto oder Betrag manipuliert funktioniert diese TAN nicht.


Heißt das, die TAN wird anhand der Überweisungsangaben individuell generiert und steht nicht vorher schon fest wie am Papier?
Menü
[3.1.2.1.1] BeRu antwortet auf mikiscom
15.12.2010 17:48
Benutzer mikiscom schrieb:

Heißt das, die TAN wird anhand der Überweisungsangaben individuell generiert und steht nicht vorher schon fest wie am Papier?

So ist es!

Viele Grüße
Bert
Menü
[3.1.2.1.1.1] mikiscom antwortet auf BeRu
16.12.2010 07:11
Benutzer BeRu schrieb:
Benutzer mikiscom schrieb:

Heißt das, die TAN wird anhand der Überweisungsangaben individuell generiert und steht nicht vorher schon fest wie am Papier?

So ist es!

Viele Grüße
Bert

Würde dann bei 2 Überweisungen an den selben Empfänger mit dem gleichen Betrag nur zu unterschiedlichen Monaten die gleich TAN raus kommen?

Und was ist, wenn der Trojaner auf dem Rechner des Absenders auch die Lichtsignale an das externe Gerät so manipuliert, dass dieses eine für den Gauner passende TAN ausspuckt?

Außerdem basiert die TAN-Generierung dann doch irgendwie auf einer mathematischen Formel, die sich früher oder später knacken lässt. Sind dann Benutzername und Passwort ausgespäht, kann der Gauner mithilfe der Formel die weiteren Überweisungen auch ohne gleichzeitige Anwesenheit des Kontoinhabers ausführen.
Er kann ja bei mehreren Überweisungen erst nur "zugucken" und hat dann mehrere Versuche an die Formel für die TAN Generierung zu kommen.
Menü
[3.1.2.1.1.1.1] BeRu antwortet auf mikiscom
16.12.2010 17:51
Benutzer mikiscom schrieb:

Würde dann bei 2 Überweisungen an den selben Empfänger mit dem gleichen Betrag nur zu unterschiedlichen Monaten die gleich TAN raus kommen?


Nein. Es gibt noch verschiedene andere Parameter, die in diese Rechnung mit einfließen.

Und was ist, wenn der Trojaner auf dem Rechner des Absenders auch die Lichtsignale an das externe Gerät so manipuliert, dass dieses eine für den Gauner passende TAN ausspuckt?

Ob das ein theoretische Möglichkeit ist, kann ich nicht sagen.


Außerdem basiert die TAN-Generierung dann doch irgendwie auf einer mathematischen Formel, die sich früher oder später knacken lässt.

Vermutlich! Jede Sicherheitstechnik wird irgendwann überwunden. Dann gibt es wieder was Neues.

Sind dann Benutzername und Passwort ausgespäht, kann der Gauner mithilfe der Formel die weiteren Überweisungen auch ohne gleichzeitige Anwesenheit des Kontoinhabers ausführen.

Benutzername und Passwort? So einfach ist dieser Rechnervorgang nicht. Ich vermute schon einen hoher Verschlüsselungsgrad.

Er kann ja bei mehreren Überweisungen erst nur "zugucken" und hat dann mehrere Versuche an die Formel für die TAN Generierung zu kommen.

Man müsste vermutlich mehr TAN ausspähen, als ein Mensch im ganzen Leben verbraucht, um daraus eine Formel zu errechnen.
Aber genau weiß ich das nicht. Ich bin kein Mathematiker.

Infos findest Du mit dem Suchbegriff "chipTAN" bei Wikipedia.
Menü
[3.1.2.1.1.1.1.1] mikiscom antwortet auf BeRu
17.12.2010 07:53
Danke für die ausführlichen Infos.