iTAN-Verfahren von Experten geknackt
Kriminelle müssen ihre Technik lediglich ein wenig modifizieren
Bochum (pte/11.11.2005/13:14) - Ein Team der Ruhr Universität Bochum http://www.rub.de ist es gelungen das beim Online-Banking verwendete Sicherheitsverfahren iTAN zu knacken.
Das Expertenteam der Universität hat das Verfahren mit einem nicht spezialisierten Programmieren innerhalb eines Tages überwunden. Mit Hilfe eines Man-in-the-Middle-Angriffs über eine gefälschte Webseite konnte ein symbolischer Betrag von einem Euro auf ein anderes Konto überwiesen werden. Oje...
Als Reaktion auf die Häufung von Phishing-Attaken der vergangen Zeit führten viele Banken extra das iTAN-Verfahren ein. Kunden, die eine Transaktion online tätigen wollen, geben bei dieser Technik nicht wie bisher einen beliebigen TAN-Code zur Freigabe ein, sondern werden von der Bank zur Eingabe eines bestimmten Codes aus einer Liste aufgefordert. Damit sollte unterbunden werden, dass sich Betrüger mit einem beliebigen ergaunerten Code am Kundenkonto bedienen können.
"Mit einer geringen Modifizierung der verwendeten Technik können Kriminelle aber auch dieses iTAN-Verfahren austricksen", teilte Christoph Wegener von der RUB auf eine Anfrage von pressetext (Quelle) mit. Die Testbetrüger der RUB forderten das Opfer per Mail zur Eingabe von Kontonummer und Passwort auf einer gefälschten Bank-Seite auf. Sobald diese Daten am Server eingelangt waren, stellte dieser eine Verbindung mit den echten Bankserver des Opfers her. Die bei der Transaktion gestellten Frage nach dem Freigabecode, wurde dann automatisch an den ahnungslosen Kunden weitergeleitet. So erhielt der Angreifer den korrekten TAN und konnte die Überweisung durchführen.
Wegener betonte, dass sowohl TAN und iTAN bei stets korrekter Überprüfung der SSL-Verbindung nach wie vor sicher sind. Allerdings hätten Angriffe der letzten Zeit gezeigt, dass die Betroffenen den Schutzmechanismus SSL schlichtweg ignorieren oder überhaupt nicht verstehen. "Hier ist bei den Kunden eine verstärkte Aufklärungsarbeit zu leisten", fordert Wegener.
"Die einzig wirklich sichere Lösung ist der Einsatz von Kartenlesern der Klasse drei. Bei diesen Geräten wird sichergestellt, dass die persönlichen Informationen des Kunden auf dem Kartenleser verbleiben und nur verschlüsselt gesendet werden", erläuterte Wegener. Doch diese Methode stößt bei den Bankkunden auf wenig Gegenliebe, da sie mit zusätzlichem Aufwand verbunden ist. "Zudem sind diese Geräte nicht gerade preiswert", meinte Wegener abschließend gegenüber pressetext. Mit Kosten zwischen 80 und 100 Euro ist zu rechnen.
[Blockierte Grafik: http://img.pte.at//lowrespics/1131710908i131.jpg] Kartenleser der Klasse drei!
Quelle: http://www.pressetext.de