Home | Registrieren | Mitgliederliste | Suchen | Hilfe | Themen des Tages | Alle Lampen aus | Login
Guten Tag, Gast

Wenn dies Dein erster Besuch hier ist, lies Dir die FAQ - Häufig gestellte Fragen durch. Du musst Dich vermutlich Registrieren, bevor Du Beiträge schreiben kannst: klicke oben auf registrieren, um den Registrierungsprozess zu starten. Um Beiträge zu lesen, suche Dir einfach das Forum aus, das Dich interessiert. Die Registrierung ist kostenlos.
Username:
Passwort:
Suchen:
 


Seiten: <<  1  >>
Board >>  Allgemein >>  Sonstige wichtige Hinweise >> iTAN-Verfahren von Experten geknackt
Neues Thema    »Antworten«
Seite Drucken
red.gif Autor:
Thema: iTAN-Verfahren von Experten geknackt
Reynard25 (offline)
Administrator





Beiträge: 14611

Mitglied seit: 01.01.2000

Brandenburg
icon1  iTAN-Verfahren von Experten geknackt #1 Datum: 12.11.2005, 16:56  

Kriminelle müssen ihre Technik lediglich ein wenig modifizieren


Einzig dauerhaft sichere Lösung: Kartenleser am HeimPC

Bochum (pte/11.11.2005/13:14) - Ein Team der Ruhr Universität Bochum http://www.rub.de ist es gelungen das beim Online-Banking verwendete Sicherheitsverfahren iTAN zu knacken. Das Expertenteam der Universität hat das Verfahren mit einem nicht spezialisierten Programmieren innerhalb eines Tages überwunden. Mit Hilfe eines Man-in-the-Middle-Angriffs über eine gefälschte Webseite konnte ein symbolischer Betrag von einem Euro auf ein anderes Konto überwiesen werden.

Als Reaktion auf die Häufung von Phishing-Attaken der vergangen Zeit führten einige Banken das iTAN-Verfahren ein. Kunden, die eine Transaktion online tätigen wollen, geben bei dieser Technik nicht wie bisher einen beliebigen TAN-Code zur Freigabe ein, sondern werden von der Bank zur Eingabe eines bestimmten Codes aus einer Liste aufgefordert. Damit sollte unterbunden werden, dass sich Betrüger mit einem beliebigen ergaunerten Code am Kundenkonto bedienen können.

"Mit einer geringen Modifizierung der verwendeten Technik können Kriminelle auch das iTAN-Verfahren austricksen", teilte Christoph Wegener von der RUB auf pressetext-Anfrage mit. Die Testbetrüger der RUB forderten das Opfer per Mail zur Eingabe von Kontonummer und Passwort auf einer gefälschten Bank-Seite auf. Sobald diese Daten am Server eingelangt waren, stellte dieser eine Verbindung mit den echten Bankserver des Opfers her. Die bei der Transaktion gestellten Frage nach dem Freigabecode, wurde dann automatisch an den ahnungslosen Kunden weitergeleitet. So erhielt der Angreifer den korrekten TAN und konnte die Überweisung durchführen.

Wegener betonte, dass sowohl TAN und iTAN bei korrekter Überprüfung der SSL-Verbindung sicher sind. Allerdings hätten Angriffe der letzten Zeit gezeigt, dass die Betroffenen den Schutzmechanismus SSL schlichtweg ignorieren oder nicht verstehen (pte berichtete: http://www.pte.at/pte.mc?pte=051109004 ). "Hier ist bei den Kunden verstärkt Aufklärungsarbeit zu leisten", fordert Wegener.

"Die einzig wirklich sichere Lösung ist der Einsatz von Kartenlesern der Klasse drei. Bei diesen Geräten wird sichergestellt, dass die persönlichen Informationen des Kunden auf dem Kartenleser verbleiben und nur verschlüsselt gesendet werden", erläuterte Wegener. Doch diese Methode stößt bei den Bankkunden auf wenig Gegenliebe, da sie mit zusätzlichem Aufwand verbunden ist. "Zudem sind diese Geräte nicht gerade preiswert", meinte Wegener abschließend gegenüber pressetext. Mit Kosten zwischen 80 und 100 Euro ist zu rechnen. (Ende)

Gruß Reinhard
     PM   Buddy hinzufügen Copy
tom.stein (offline)
Neuer Nutzer



Beiträge: 2
Geschlecht:
Mitglied seit: 07.06.2006

Deutschland
icon1  Re: iTAN-Verfahren von Experten geknackt #2 Datum: 07.06.2006, 07:35  

zitat:(Reynard25,12.11.2005 , 16:56)
"Die einzig wirklich sichere Lösung ist der Einsatz von Kartenlesern der Klasse drei. Bei diesen Geräten wird sichergestellt, dass die persönlichen Informationen des Kunden auf dem Kartenleser verbleiben und nur verschlüsselt gesendet werden", erläuterte Wegener. Doch diese Methode stößt bei den Bankkunden auf wenig Gegenliebe, da sie mit zusätzlichem Aufwand verbunden ist. "Zudem sind diese Geräte nicht gerade preiswert", meinte Wegener abschließend gegenüber pressetext. Mit Kosten zwischen 80 und 100 Euro ist zu rechnen.

Diese abschreckende Formulierung kann nicht unwidersprochen bleiben, zumal sie sachlich falsch ist: Auch bei Klasse 2-Lesern bleiben die persönlichen Infos auf dem Kartenleser. Und: Sicherheit ist auch erheblich preiswerter zu haben!

Der Preis von 80-100 Euro stimmt für die vollausgestatteten und sehr guten "Mercedes"-Modelle z.B. von SCM, wenn diese nicht von der Bank verbilligt angeboten werden (ggf. auch bei anderen Banken nachfragen, die werden oft nicht nur an die eigenen Kunden verkauft).

Tatsächlich...

  • sind Homebanking-Programme (Quicken, Starmoney, ...) auch ohne HBCI gegen die bisherigen, weit verbreiteten Phishing-Angriffe vollständig resistent, da diese Programme nicht, auch nicht aus Bequemlichkeit, die URL aus einer Mail verwenden
  • sind bisher keine HBCI-Angriffe außerhalb eines Labors bekannt geworden und damit können derzeit alle HBCI-Leser als sicher betrachtet werden
  • sind auch Klasse-1-Leser (Kosten ca. 25 Euro, bei Ebay neuwertig ca. 10 Euro) gegen Man-in-the-middle-Angriffe vollständig resistent, nur eine Spyware auf dem Rechner des Opfers könnte die PIN mitlesen (aber nur zusammen mit der physikalisch eingesteckten Karte verwenden)
  • sind auch Klasse-3-Leser nicht sicherer als Klasse-2-Leser, weil der Empfänger der Zahlung nicht angezeigt+bestätigt wird (eine echte Lücke im Protokoll bzw. der Firmware)
  • sind Klasse-2-Leser gegen Man-in-the-middle-Angriffe und Spyware vollständig resistent und kosten nur 50 Euro, sie können nur von einem dedizierten (bisher nicht existierenden) Programm auf dem Rechner des Opfers, das sich zwischen Überweisungs-Eingabe und Übermittlung an den HBCI-Leser klinkt, geknackt werden


Soweit der Rechner des Opfers nicht infiziert ist, kann damit HBCI (auch Klasse 1) als derzeit nicht knackbar gelten (was sich natürlich ändern kann, aber seit längerer Zeit und immer noch zutrifft). Leser der Klasse 3 bringen auf Grund einer Schwachstelle im Protokoll keine zusätzliche Sicherheit gegenüber Lesern der Klasse 2. Auf Gebrauchtmärkten (Usenet, Ebay, ...) erhält man teilweise sehr preiswerte Geräte. Aus diesen Gründen sollten die Leser nicht durch die Angabe von hohen Preisen abgeschreckt werden. Schon ein Klasse-2-Gerät kann derzeit als absolut sicher betrachtet werden. Schon ein Klasse-1-Leser zusammen mit einer Antivirensoftware, die auch Spyware entdeckt, ist derzeit ziemlich sicher und würde die ganzen TAN/iTAN/mTAN/Phishing-Diskussionen beenden.

So viel Sicherheit erhält man selten - und sie kostet nur minimal 10 Euro, i.d.R. plus die Kosten für ein Banking-Programm, das viele Institute jedoch kostenlos abgeben (selbst wenn nur vorübergehend ein Konto eröffnet wird) und Leser dieses Forums wohl schon besitzen.

Tom
     PM   Buddy hinzufügen Copy
Reynard25 (offline)
Administrator





Beiträge: 14611

Mitglied seit: 01.01.2000

Brandenburg
icon1  Re: iTAN-Verfahren von Experten geknackt #3 Datum: 13.06.2006, 09:17  

Tom schrieb:
zitat:
Auf Gebrauchtmärkten (Usenet, Ebay, ...) erhält man teilweise sehr preiswerte Geräte. Aus diesen Gründen sollten die Leser nicht durch die Angabe von hohen Preisen abgeschreckt werden


Ich möchte darauf hinweisen, dass man sich vor dem Kauf eines gebrauchten/kostengünstigen Kartenleser darüber im Klaren sein muß, welche Art von HBCI-Chipkarten man nutzen will.
Die in letzter Zeit von den Geno-Banken herausgegebenen SECCOS-Karten können z.B. von Kobil-Lesern mit dem Namen "standard" und "standard plus" nicht gelesen werden. Auch ältere Leser der Firma cyberJack und anderer Firmen können nicht mit SECCOS-Karten umgehen.
Gruß Reinhard
     PM   Buddy hinzufügen Copy
Board >>  Allgemein >>  Sonstige wichtige Hinweise >> iTAN-Verfahren von Experten geknackt
Seiten: <<  1  >>
Seite Drucken
Neues Thema    »Antworten«



Forum durchsuchen:


Du kannst in diesem Forum keine neuen Beiträge verfassen
Du kannst in diesem Forum nicht auf Beiträge antworten
Du kannst in diesem Forum die eigenen Beiträge nicht bearbeiten

   


Stefanos Bulletin Board, v1.3.8
© Coder-World.de, 2001-2006 (Stefanos)