Als Reaktion auf die Lawine der „Phishing“-Attacken stellen Postbank und Deutsche Bank derzeit ihr Onlinebanking-System um: Das so genannte iTAN-Verfahren sollte Daten-„Fischern “das Handwerk legen. Doch iTAN darf ab sofort als geknackt gelten: Bochumer Experten der "Arbeitsgruppe Identitätsschutz im Internet" tricksten das System aus.
11.11.2005
Rückschlag für Kreditwirtschaft: Onlinebanking-Verfahren iTAN geknackt
Online-Banking-Verweis auf der Postbank-Internetseite. Foto: dpa
hsn/sia BONN. Offenbar kann iTAN die hoch gesteckten Sicherheitserwartungen nicht erfüllen: Die Software-Spezialisten der Universität Bochum benötigten nach eigenen Angaben gerade einmal einen Tag, um das neue Verfahren zu überlisten – und ihren Erfolg mit der symbolischen Überweisung von einem Euro zu dokumentieren.
Beim gebräuchlichsten Online-Banking-Verfahren melden sich die Kunden auf der entsprechenden Internet-Seite ihrer Bank mit einem Code (PIN) an und bestätigen jede Online-Transaktionen mit einer so genannten Transaktionsnummer (TAN) - ganz gleich, ob es sich um eine Überweisung, einen Dauerauftrag oder um eine Lastschrift handelt. Seit geraumer Zeit werden jedoch immer häufiger so genannte „Phishing“-Attacken (von Password-Fishing) gestartet. Dabei locken Betrüger die Bankkunden per E-Mail auf gefälschte Internetseiten, die denen der Banken gleichen, und fragen unter einem Vorwand Kontodaten und Transaktionsnummern ab.
Diese Angriffe sollten mit indexierten Transaktionsnummern (iTAN) unterbunden werden. Die Bank fordert dabei eine ganz bestimmte Transaktionsnummer von der TAN-Liste des Kunden an. Die Bochumer Experten lösten dieses "Problem" in zwei Schritten: Zunächst lockten sie den Kunden wie ein Betrüger auf eine falsche Internetseite und nötigten ihm im Rahmen eines angeblichen "Sicherheitschecks" Kontonummer und PIN ab. Als sie diese erhalten hatten, klinkten sich die Experten auf der echten Bank-Seite mit den Daten ein und tätigten eine Überweisung. Die von der Bank abgefragte indizierte TAN erfragten die Bochumer - immer noch im Rahmen des vermeintlichen Sicherheitschecks - vom Kunden und tätigten damit die echte Überweisung. „Es war viel einfacher, als wir uns das vorgestellt hatten“, sagte Henrik te Heesen, einer der beteiligten Bochumer Forscher, die den Angriff programmierten.
Für Sicherheitsexperten kommt der erfolgreiche Angriff nicht überraschend. „Wenn Kriminelle ihr Verhalten leicht modifizieren, wird das iTAN-Verfahren nahezu wirkungslos“, urteilt Maximilian Dornseif von der Universität Mannheim und Initiator der Red-Team-Initiative, die Schwachstellen für Sicherheitssysteme prüft.
Lesen Sie weiter auf Seite 2: Herber Rückschlag für die Kreditwirtschaft
0 Bewertungen:
Jetzt bewerten:
