iTAN-Verfahren von Experten geknackt

Stefanos Bulletin Board
URL: https://www.kaiwu.de/cgi-bin/sbb//sbb.cgi?&a=show&forum=26&show=44
Thema: iTAN-Verfahren von Experten geknackt

Datum: 12.11.2005, 16:56

Reynard25 (Administrator)
Kriminelle müssen ihre Technik lediglich ein wenig modifizieren

Einzig dauerhaft sichere Lösung: Kartenleser am HeimPC

Bochum (pte/11.11.2005/13:14) - Ein Team der Ruhr Universität Bochum http://www.rub.de ist es gelungen das beim Online-Banking verwendete Sicherheitsverfahren iTAN zu knacken. Das Expertenteam der Universität hat das Verfahren mit einem nicht spezialisierten Programmieren innerhalb eines Tages überwunden. Mit Hilfe eines Man-in-the-Middle-Angriffs über eine gefälschte Webseite konnte ein symbolischer Betrag von einem Euro auf ein anderes Konto überwiesen werden.

Als Reaktion auf die Häufung von Phishing-Attaken der vergangen Zeit führten einige Banken das iTAN-Verfahren ein. Kunden, die eine Transaktion online tätigen wollen, geben bei dieser Technik nicht wie bisher einen beliebigen TAN-Code zur Freigabe ein, sondern werden von der Bank zur Eingabe eines bestimmten Codes aus einer Liste aufgefordert. Damit sollte unterbunden werden, dass sich Betrüger mit einem beliebigen ergaunerten Code am Kundenkonto bedienen können.

"Mit einer geringen Modifizierung der verwendeten Technik können Kriminelle auch das iTAN-Verfahren austricksen", teilte Christoph Wegener von der RUB auf pressetext-Anfrage mit. Die Testbetrüger der RUB forderten das Opfer per Mail zur Eingabe von Kontonummer und Passwort auf einer gefälschten Bank-Seite auf. Sobald diese Daten am Server eingelangt waren, stellte dieser eine Verbindung mit den echten Bankserver des Opfers her. Die bei der Transaktion gestellten Frage nach dem Freigabecode, wurde dann automatisch an den ahnungslosen Kunden weitergeleitet. So erhielt der Angreifer den korrekten TAN und konnte die Überweisung durchführen.

Wegener betonte, dass sowohl TAN und iTAN bei korrekter Überprüfung der SSL-Verbindung sicher sind. Allerdings hätten Angriffe der letzten Zeit gezeigt, dass die Betroffenen den Schutzmechanismus SSL schlichtweg ignorieren oder nicht verstehen (pte berichtete: http://www.pte.at/pte.mc?pte=051109004 ). "Hier ist bei den Kunden verstärkt Aufklärungsarbeit zu leisten", fordert Wegener.

"Die einzig wirklich sichere Lösung ist der Einsatz von Kartenlesern der Klasse drei. Bei diesen Geräten wird sichergestellt, dass die persönlichen Informationen des Kunden auf dem Kartenleser verbleiben und nur verschlüsselt gesendet werden", erläuterte Wegener. Doch diese Methode stößt bei den Bankkunden auf wenig Gegenliebe, da sie mit zusätzlichem Aufwand verbunden ist. "Zudem sind diese Geräte nicht gerade preiswert", meinte Wegener abschließend gegenüber pressetext. Mit Kosten zwischen 80 und 100 Euro ist zu rechnen. (Ende)

Re: iTAN-Verfahren von Experten geknackt

Datum: 07.06.2006, 07:35

tom.stein (Neuer Nutzer)

zitat:(Reynard25,12.11.2005 , 16:56)
"Die einzig wirklich sichere Lösung ist der Einsatz von Kartenlesern der Klasse drei. Bei diesen Geräten wird sichergestellt, dass die persönlichen Informationen des Kunden auf dem Kartenleser verbleiben und nur verschlüsselt gesendet werden", erläuterte Wegener. Doch diese Methode stößt bei den Bankkunden auf wenig Gegenliebe, da sie mit zusätzlichem Aufwand verbunden ist. "Zudem sind diese Geräte nicht gerade preiswert", meinte Wegener abschließend gegenüber pressetext. Mit Kosten zwischen 80 und 100 Euro ist zu rechnen.

Diese abschreckende Formulierung kann nicht unwidersprochen bleiben, zumal sie sachlich falsch ist: Auch bei Klasse 2-Lesern bleiben die persönlichen Infos auf dem Kartenleser. Und: Sicherheit ist auch erheblich preiswerter zu haben!

Der Preis von 80-100 Euro stimmt für die vollausgestatteten und sehr guten "Mercedes"-Modelle z.B. von SCM, wenn diese nicht von der Bank verbilligt angeboten werden (ggf. auch bei anderen Banken nachfragen, die werden oft nicht nur an die eigenen Kunden verkauft).

Tatsächlich...

sind Homebanking-Programme (Quicken, Starmoney, ...) auch ohne HBCI gegen die bisherigen, weit verbreiteten Phishing-Angriffe vollständig resistent, da diese Programme nicht, auch nicht aus Bequemlichkeit, die URL aus einer Mail verwenden
sind bisher keine HBCI-Angriffe außerhalb eines Labors bekannt geworden und damit können derzeit alle HBCI-Leser als sicher betrachtet werden
sind auch Klasse-1-Leser (Kosten ca. 25 Euro, bei Ebay neuwertig ca. 10 Euro) gegen Man-in-the-middle-Angriffe vollständig resistent, nur eine Spyware auf dem Rechner des Opfers könnte die PIN mitlesen (aber nur zusammen mit der physikalisch eingesteckten Karte verwenden)
sind auch Klasse-3-Leser nicht sicherer als Klasse-2-Leser, weil der Empfänger der Zahlung nicht angezeigt+bestätigt wird (eine echte Lücke im Protokoll bzw. der Firmware)
sind Klasse-2-Leser gegen Man-in-the-middle-Angriffe und Spyware vollständig resistent und kosten nur 50 Euro, sie können nur von einem dedizierten (bisher nicht existierenden) Programm auf dem Rechner des Opfers, das sich zwischen Überweisungs-Eingabe und Übermittlung an den HBCI-Leser klinkt, geknackt werden

Soweit der Rechner des Opfers nicht infiziert ist, kann damit HBCI (auch Klasse 1) als derzeit nicht knackbar gelten (was sich natürlich ändern kann, aber seit längerer Zeit und immer noch zutrifft). Leser der Klasse 3 bringen auf Grund einer Schwachstelle im Protokoll keine zusätzliche Sicherheit gegenüber Lesern der Klasse 2. Auf Gebrauchtmärkten (Usenet, Ebay, ...) erhält man teilweise sehr preiswerte Geräte. Aus diesen Gründen sollten die Leser nicht durch die Angabe von hohen Preisen abgeschreckt werden. Schon ein Klasse-2-Gerät kann derzeit als absolut sicher betrachtet werden. Schon ein Klasse-1-Leser zusammen mit einer Antivirensoftware, die auch Spyware entdeckt, ist derzeit ziemlich sicher und würde die ganzen TAN/iTAN/mTAN/Phishing-Diskussionen beenden.

So viel Sicherheit erhält man selten - und sie kostet nur minimal 10 Euro, i.d.R. plus die Kosten für ein Banking-Programm, das viele Institute jedoch kostenlos abgeben (selbst wenn nur vorübergehend ein Konto eröffnet wird) und Leser dieses Forums wohl schon besitzen.

Tom

Re: iTAN-Verfahren von Experten geknackt

Datum: 13.06.2006, 09:17

Reynard25 (Administrator)
Tom schrieb:

zitat:
Auf Gebrauchtmärkten (Usenet, Ebay, ...) erhält man teilweise sehr preiswerte Geräte. Aus diesen Gründen sollten die Leser nicht durch die Angabe von hohen Preisen abgeschreckt werden

Ich möchte darauf hinweisen, dass man sich vor dem Kauf eines gebrauchten/kostengünstigen Kartenleser darüber im Klaren sein muß, welche Art von HBCI-Chipkarten man nutzen will.
Die in letzter Zeit von den Geno-Banken herausgegebenen SECCOS-Karten können z.B. von Kobil-Lesern mit dem Namen "standard" und "standard plus" nicht gelesen werden. Auch ältere Leser der Firma cyberJack und anderer Firmen können nicht mit SECCOS-Karten umgehen.