iTAN-Verfahren von Experten geknackt

Kriminelle müssen ihre Technik lediglich ein wenig modifizieren

Einem Team der Ruhr Universität Bochum ist es gelungen, das beim Online-Banking verwendete Sicherheitsverfahren iTAN zu knacken. Das Expertenteam der Universität hat das Verfahren mit einem nicht spezialisierten Programmieren innerhalb eines Tages überwunden. Mit Hilfe eines Man-in-the-Middle-Angriffs über eine gefälschte Webseite konnte ein symbolischer Betrag von einem Euro auf ein anderes Konto überwiesen werden.

Als Reaktion auf die Häufung von Phishing-Attaken der vergangen Zeit führten einige Banken das iTAN-Verfahren ein. Kunden, die eine Transaktion online tätigen wollen, geben bei dieser Technik nicht wie bisher einen beliebigen TAN-Code zur Freigabe ein, sondern werden von der Bank zur Eingabe eines bestimmten Codes aus einer Liste aufgefordert. Damit sollte unterbunden werden, dass sich Betrüger mit einem beliebigen ergaunerten Code am Kundenkonto bedienen können.

„Mit einer geringen Modifizierung der verwendeten Technik können Kriminelle auch das iTAN-Verfahren austricksen“, teilte Christoph Wegener von der RUB mit. Die Testbetrüger der RUB forderten das Opfer per Mail zur Eingabe von Kontonummer und Passwort auf einer gefälschten Bank-Seite auf. Sobald diese Daten am Server eingelangt waren, stellte dieser eine Verbindung mit den echten Bankserver des Opfers her. Die bei der Transaktion gestellten Frage nach dem Freigabecode, wurde dann automatisch an den ahnungslosen Kunden weitergeleitet. So erhielt der Angreifer den korrekten TAN und konnte die Überweisung durchführen.

Wegener betonte, dass sowohl TAN und iTAN bei korrekter Überprüfung der SSL-Verbindung sicher sind. Allerdings hätten Angriffe der letzten Zeit gezeigt, dass die Betroffenen den Schutzmechanismus SSL schlichtweg ignorieren oder nicht verstehen. „Hier ist bei den Kunden verstärkt Aufklärungsarbeit zu leisten“, fordert Wegener.

„Die einzig wirklich sichere Lösung ist der Einsatz von Kartenlesern der Klasse drei. Bei diesen Geräten wird sichergestellt, dass die persönlichen Informationen des Kunden auf dem Kartenleser verbleiben und nur verschlüsselt gesendet werden“, erläuterte Wegener. Doch diese Methode stößt bei den Bankkunden auf wenig Gegenliebe, da sie mit zusätzlichem Aufwand verbunden ist. „Zudem sind diese Geräte nicht gerade preiswert“, meinte Wegener abschließend. Mit Kosten zwischen 80 und 100 Euro ist zu rechnen.

Themenseiten: Hacker

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

5 Kommentare zu iTAN-Verfahren von Experten geknackt

Kommentar hinzufügen
  • Am 12. November 2005 um 1:13 von irgendwer

    Nepper, Schlepper, Bauernfänger
    Das ist ja keine Kunst über die gefälschte Seite eine Eingabe zu bekommen.
    Eleganter wäre doch die bei der Original https://-Verbindung den "Mann in der Mitte" zu machen …

  • Am 13. November 2005 um 8:09 von Klaus Blesching

    iTAN-Verfahren von "Experten" geknackt..
    Wenn man so den Berichten im Fernsehen usw. glaubt, ist das Verfahren also geknackt…aber wie? Es ist nicht das Verfahren geknackt, sondern der "Schwachpunkt Mensch" angegriffen worden mit einer Pishing-Mail. Das mag bei Leuten funktionieren, die geil sind auf jede Art von Mail, die man ihnen schickt. Das sind Leute, die ausser Werbe-Mails oder selbst an sich verschickte Mails keine anderen Mails bekommen. Und dann kommt so eine "wichtige" Mail ihrer "Bank"…Also: Knacken kann man das Verfahren nur in "Zusammenarbeit" mit dem Kunden – und sonst nicht!

    • Am 24. November 2005 um 14:16 von NoHero

      Richtig – nur so kommt der Mann in die Mitte
      Einfach so kann man keine Man-in-the-Middle-Attacke fahren, es bedarf in diesem Fall der Mitarbeit des Kunden. Und daher kann es nur heißen: Hände weg von Mails, die vermeintlich von der Bank kommen. Wenn die etwas von einem wollen, dann kommt das mit der normalen Post, niemals per Mail. Diesen Grundsatz müssen sich Bankkunden, die Onlinebanking machen, als 1. Gebot einbleuen – Amen

  • Am 16. November 2005 um 15:04 von Robert

    Wieder einmal wurde nicht richtig nachgeforscht !!
    Es ist doch Quatsch. NICHTS wurde geknackt. Es wurde nur gezeigt, dass der Kunde so doof ist, auf eine Phishing Mail reinzufallen und damit auch durch das i-TAn Verfahren nicht abgesichert ist. Aber das ganze kann man eher damit vergleichen, dass jemand seine EC Karte wegwirft und die Geheimnummer draufgemalt hat.

    Niemand sollte auf Mails von Banken klicken, antworten oder sonstiges. Dann ist man auch sicher. Banken versenden KEINE E-Mails. Fertig.
    SSL evt. beachten und wenn einem irgenwas komisch vorkommt, dann lieber noch einmal beginnen. Und diese Sache mit: Ich schlate mich mal ebend auf Ihren Rechner rauf… Ich lach mich tot ! Das will ich sehen bei meinem Rechner !!!

  • Am 23. November 2005 um 11:23 von U. Ebert

    Bildreife Leistung
    Die Überschrift ist wirklich "BILD"-reif.
    Der Inhalt ist zwar sachlich korrekt, aber die Wertung ist falsch und wird den nicht ganz so aufmerksamen Laien schlichtweg verunsichern.
    Es wurde nichts "geknackt", sondern lediglich durch einen der ältesten Hacker-Tricks, eine sog. "man-in-the-middle"-Attacke, Daten ausgespäht.
    Das iTAN-Verfahren an sich ist nach wie vor nicht kompromittiert.
    Die RUB-Leute haben lediglich ein weiteres Mal erfolgreich bewiesen, daß gegen menschliche Dummheit kein noch so technisch perfektes "Kraut" hilft.

    Diese Form des Ausspähens von Daten wurde schon zu Zeiten von DatexJ (BTX) erfolgreich beim Onlinebanking benutzt.
    Das war vor 10 Jahren.
    Der Autor hätte vor dem Schreiben seines Artikels etwas genauer recherchieren sollen. Solche reisserisch aufgemachten Meldungen stehen ZDNet gar nicht gut.

    Im Moment des Tätigens der Überweisung käme im Übrigen zum Straftatbestand "Ausspähen von Daten" auch noch "Computerbetrug" dazu.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *