iTAN-Verfahren unsicherer als von Banken behauptet

Die von einigen Banken als Schutz vor Phishing-Angriffen vorgestellten -- und etwa bei der Postbank bereits eingeführten -- iTANs sind nach Ansicht des RedTeams der RWTH Aachen weniger sicher als behauptet. Bei indizierten TANs fragt die Bank statt nach einer beliebigen TAN auf der Liste nach einer bestimmten TAN, beispielsweise der dreiundzwanzigsten. Allerdings ist für den Kunden nicht vorhersehbar, welche iTAN abgefragt wird. Zudem ist eine iTAN immer an eine bestimmte Transaktion gebunden. Auch wenn die Verbindung unterbrochen wird, kann der Auftrag nur mit dieser TAN zu Ende geführt werden.

Nach Meinung der Banken hat somit eine beliebige abgefangene TAN für einen Phisher keinen Wert mehr, da er damit keine Überweisung tätigen kann. Schließlich fragt die Bank immer nach einer zufälligen indizierten TAN, die so gut wie nie zur Überweisung des Betrügers passt. Die Wahrscheinlichkeit eine richtige TAN zu erbeuten, liegt bei einem Prozent. Ein Angriff sei deshalb praktisch nicht mehr möglich, so die einhellige Aussage der Banken.

Das sieht die Forschungsgruppe etwas anders. Ihrem veröffentlichten Advisory zufolge wird durch das iTAN-Verfahren nur der Zeitraum eines erfolgreichen Angriffs und einer Überweisung eingeschränkt. Eine Transaktion des Phishers muss also während einer versuchten Transaktion des Opfers stattfinden und nicht wie bisher mit normalen TANs zu einem späteren Zeitpunkt.

Dazu hat das RedTeam ein Szenario beschrieben, bei dem der Angreifer in der Lage ist, die Kommunikation zwischen seinem Opfer und der Bank über sich umzuleiten und mitzulesen. Entweder hat er dazu das System des Opfers mit einem Trojaner infiziert oder er hat das Opfer per Phishing beziehungsweise Pharming auf eine Webseite gelockt, die eine echte Bankseite vorgaukelt.

Im ersten Fall greift der Angreifer in die Kommunikation zwischen Opfer und Bank ein, im zweiten muss das Opfer nicht zwangsläufig mit der Bank eine Verbindung aufbauen. Es genügt, wenn das Opfer denkt, es würde auf einer echten Seite eine Überweisung tätigen.

Meldet sich das Opfer mit seiner PIN auf der vermeintlich echten Seite an, so verwendet der Phisher diese zum Login -- allerdings bei der echten Bank. Versucht das Opfer nun eine Überweisung anzustoßen, so tut es der Phisher ihm gleich -- wiederum bei der echten Bank. Das Opfer erhält in diesem Fall von der Bank aber keine Nachfrage nach einer iTAN. Stattdessen fragt die Bank den Phisher nach der iTAN xyz für dessen Überweisung. Da er die nicht kennt, gaukelt er nun seinem Opfer eine Nachfrage der Bank vor. In der Annahme, die Nachfrage sei für seine Überweisung, tippt das Opfer die gewünschte iTAN ein, die anschließend beim Phisher landet.

Damit kann der Betrüger seine Überweisung erfolgreich beenden. Gegebenenfalls täuscht er dem Bankkunden eine erfolgreiche Transaktion vor, damit dieser zunächst keinen Verdacht eines Missbrauchs schöpft. Das alles muss in Echtzeit geschehen -- was aber die Phisher kaum an der Durchführung hindern dürfte. Sämtliche Vorgänge lassen sich leicht per Skript auf einem Server steuern.

RedTeam hat mehrere deutsche Banken auf dieses Problem angesprochen und wollte insbesondere wissen, warum die Kunden in falscher Sicherheit gewogen werden, mit iTANs sei ein Missbrauch so gut wie unmöglich. Laut Umfrage des RedTeams wurde das geschilderte Problem von den Banken zwar weitestgehend verstanden, allerdings nicht ganz ernst genommen. Man wolle an der Darstellung der sicheren iTANs weiterhin festhalten. Eine Bank argumentierte, dass der Angriff sehr schnell sein und innerhalb von sieben Minuten stattfinden müsse. Ein anderes Institut wolle erst dann von seinen Aussagen Abstand nehmen, wenn der erste Schadensfall bei einem Kunden eingetreten sei.

Siehe dazu auch: (dab)

• Forschungsgruppe der RWTH Aachen warnt vor trügerischer Sicherheit des neuen iTAN Verfahren, Mitteilung von RedTeam
• New banking security system iTAN not as secure as claimed, Advisory von RedTeam