Weitere Hintertür beim iTAN-Verfahren der Postbank entdeckt
HBCI-Standard bei der Postbank weiterhin ohne iTan-Unterstützung
Schon einmal ist eine Lücke im neuen iTan-Verfahren der Postbank entdeckt worden (wir berichteten), doch Mitarbeiter der c't haben nun noch eine weitere Methode gefunden, das Sicherheits-Verfahren zu umgehen: Beim eigentlich sicheren HBCI-Überweisungsverfahren wird nämlich iTan bis dato gar nicht genutzt.
Anders als die erste bekannte Sicherheitslücke, die die Arbeitsgruppe "Identitätsschutz im Internet (AI3)" der Ruhr-Universität Bochum (RUB) herausfand, ist bei der jetzt entdeckten Schwachstelle gar kein "Man-in-the-Middle-Angriff" notwendig, im Gegenteil, die Sache ist zu simpel um darauf zu kommen. Der Betrüger müsste wie gehabt seinem Opfer PIN und TAN entwenden, klar, und das, in dem er mit den einschlägigen Phishing-Tricks arbeitet auf die immer noch genug Leute hereinfallen.
Diese dann vorliegenden Nummernkombinationen müssen dann mit einer HBCI-fähigen Banking-Software und nicht wie sonst mit dem Onlinebanking-Web-Portal der Postbank zum Leerräumen des Kontos genutzt werden.
Und dies ist nur deshalb möglich, weil beim HBCI-Verfahren, das die Postbank einsetzt, nach Angaben der c't weder Kartenleser noch dazugehörige Chipkarte, sondern nur die bloße Eingabe dieser beiden Zahlenkombinationen benötigt werden, schwache Leistung, echt schwach. Ausgerechnet das ansonsten sichere HBCI-Verfahren allerdings arbeitet nicht nach dem iTan-Verfahren, sondern wie gehabt mit einer beliebigen TAN.
c't rät deshalb Postbank-Kunden, ihr HBCI-Überweisungslimit auf 0,- Euro zu setzen. Erst im Frühjahr 2006 soll das bisherige HBCI-Verfahren auch iTAN unterstützen.
Beim iTan-Verfahren verlangt das Online-Banking-Webportal die Eingabe einer bestimmten TAN aus der TAN-Liste und akzeptiert nicht mehr eine aus beliebiger Position heraus.
BITTE liebe Nutzer von Online-Banking, nicht naiv Daten preisgeben!!! Die Banken fragen in den seltesten Fällen nach diversen Daten, schon gar nicht nach den "geheimen Daten"!!!
Quelle: http://www.golem.de