| |
|
 Autor: |
|
Thema: Banken sagen Phishing den Kampf an
|
|
|
Reynard25
(offline)
Administrator
Beiträge: 14405
Mitglied seit: 01.01.2000
Brandenburg
|
|
Banken sagen Phishing den Kampf an #1
|
Datum: 25.08.2005, 20:34 
|
Dieser Artikel dient nur zur Information!
Die hier beschriebenen Verfahren werden nur beim Onlinebanking über die Internetseiten der Banken angewandt. Probleme könnte es allerdings in Zukunft für User geben, die mit Quicken ihre Bankgeschäfte via Internetbanking abwickeln.
Lexware schrieb dazu:
Zunächst ist ausschließlich das Web-Banking (über den Browser) vom neuen I-TAN Verfahren betroffen.
Das Web-Banking ist in Quicken 2006 über das sog. Screenscraping integriert.
Wir arbeiten an einer Anpassung, die das I-TAN Verfahren in Quicken 2006 möglich macht und halten Sie über die Verfügbarkeit (z.B. im Rahmen einer Bankaktualisierung) auf dem Laufenden.
Für den Übergang empfehlen wir den Postbank- und
1822Direkt Kunden das HBCI PIN/TAN Verfahren zu
nutzen.
Quicken-User die HBCI nutzen sind von den nachfolgend geschilderten Verfahren nicht betroffen.
Der professionelle Diebstahl von Zugangsdaten und TAN für Bankkonten, das sogenannte Phishing (Password fishing), ist sowohl für die Banken als auch für die Kunden zu einer Plage geworden. Die Attacken häufen sich und trotz der vielen Warnhinweise, die von den Kreditinstituten und den Medien verbreitet werden, folgen immer noch viele Onlinebanking-Kunden den Aufforderungen der Phisher und geben bereitwillig ihre persönlichen Daten preis.
Die Banken haben angekündigt, ihre Systeme gegen den Zugriff von Phishing-Attacken zu sichern und die Kunden vor weiteren Angriffen zu schützen. Den Ankündigungen haben die meisten Unternehmen jetzt Taten folgen lassen.
TAN als Schwachstelle entdeckt
Neben der Persönlichen Identifikations-Nummer (PIN) benötigen die Passworträuber eine Trans-Aktions-Nummer (TAN). Jede Überweisung muss online mit einer TAN bestätigt werden, bevor sie ausgeführt wird. Jede TAN ist dabei nur einmal gültig. Die Banken stellen ihren Onlinekunden ganze Listen mit TAN zur Verfügung. Bisher konnte sich der Kunde aussuchen, welche TAN er für eine Überweisung benutzt. Gelangte ein Phisher in den Besitz von PIN und TAN, so konnte er das fremde Geld auf ein anderes Konto transferieren, da er nur irgendeine und keine bestimmte TAN für die Überweisung benötigte.
Die meisten Kreditinstitute haben die TAN als Schwachstelle im Onlinebankingsystem ausgemacht. Die meisten Vorschläge für mehr Sicherheit im Netz setzen somit auch bei der Modifikation des TAN-Verfahrens an.
iTAN - Bank gibt Nummer vor
Mit der sogenannten indizierten TAN (iTAN) sollen Phisher in Zukunft nichts mehr anfangen können. Hier kann sich der Bankkunde die TAN für seine Überweisung nicht mehr aus seiner Liste aussuchen. Der Computer der Bank gibt ihm bei jeder einzelnen Transaktion die Stelle auf der Liste vor, an der die für diese Transaktion gültige TAN steht und die allein verwendet werden darf. Welche Stelle der Computer dem Kunden vorschreibt, wird vor jeder Transaktion per Zufallsprinzip ermittelt. Das Abfangen einzelner TAN macht so keinen Sinn mehr. Die Wahrscheinlichkeit, eine für die einzelne Überweisung gültige TAN zu erwischen, ist verschwindend gering.
Die iTAN wird derzeit von der Postbank und von der 1822direkt verwendet. Andere Banken haben bereits angekündigt, ihre Kunden ebenfalls mit der neuen iTAN auszustatten. Die Commerzbank und die Deutsche Bank planen die Einführung der iTAN Anfang 2006. Auch die ING-DiBa und die Sparkassen wollen in Kürze auf das modifizierte TAN-Verfahren setzen.
mTAN - Nummer auf's Handy
Eine Weiterentwicklung der iTAN ist die mTAN. Das "m" steht für mobile und weist darauf hin, für welchen Einsatz diese TAN vorgesehen ist. Wer von unterwegs (Arbeitsplatz, Urlaub etc.) eine Überweisung tätigen muss und seine TAN-Liste nicht dabei hat, kann mit dieser TAN gleichwohl Bankgeschäfte erledigen. Per SMS kann eine TAN angefordert werden, die dann kostenpflichtig auf das Handy geschickt wird. Die Postbank berechnet dafür 9 Cent pro SMS. Wie auch die iTAN kann die mTAN nur für eine bestimmte Transaktion verwendet werden. Darüber hinaus ist ihre Gültigkeit auch zeitlich beschränkt.
Rechner ermittelt TAN kurz vorher
Zu i- und m- gesellt sich noch eTAN. Dahinter verbirgt sich ein TAN-Generator. Während bei den anderen TAN-Varianten die einzelnen Nummern bereits feststehen, werden die Nummern bei eTAN erst erzeugt, wenn sie benötigt werden. Will der Kunde eine Überweisung tätigen, so bekommt er auf der Homepage der Bank eine Kontrollnummer. Diese gibt er in seinen TAN-Generator ein. Der Generator, ein optisch mit einem Taschenrechner vergleichbares Gerät, ermittelt daraufhin eine TAN, die der Kunde zur Bestätigung seiner Überweisung verwenden kann. Die Banken stellen ihren Kunden die kleinen TAN-Erzeuger gegen eine geringe Gebühr zur Verfügung. Den Namen "eTAN" tragen die Geräte, die die Kunden der GE Money Bank benutzen. Andere Banken nennen die Geräte "Sm@rt-TAN" (Dortmunder Volksbank) oder auch "Bankey" (Volkswagen Bank).
Gruß Reinhard
|
|
|
Du kannst in diesem Forum keine neuen Beiträge verfassen
Du kannst in diesem Forum nicht auf Beiträge antworten
Du kannst in diesem Forum die eigenen Beiträge nicht bearbeiten
|
|
|
|
|
