Erfolgreicher Angriff auf iTAN-Verfahren

Eine Arbeitsgruppe der Ruhr-Universität Bochum hat ein Proof-of-Concept-Skript für einen Angriff auf das Online-Banking Verfahren mit indizierten TANs erfolgreich getestet.

In Pocket speichern vorlesen Druckansicht 334 Kommentare lesen
Lesezeit: 3 Min.
Von
  • Daniel Bachfeld

Kaum haben die ersten Banken das iTAN-Verfahren für einen besseren Schutz vor Phishing-Attacken eingeführt, gibt es einen ersten erfolgreichen Angriff einer Arbeitsgruppe der Ruhr-Universität Bochum – allerdings nur unter Laborbedingungen. Bei indizierten TANs fragt die Bank statt nach einer beliebigen TAN auf der Liste nach einer bestimmten TAN, beispielsweise der dreiundzwanzigsten. Allerdings ist für den Kunden nicht vorhersehbar, welche iTAN abgefragt wird. Zudem ist eine iTAN immer an eine bestimmte Transaktion gebunden. Auch wenn die Verbindung unterbrochen wird, kann der Auftrag nur mit dieser TAN zu Ende geführt werden.

Dass das iTAN-Verfahren doch unsicherer ist als von den Banken behauptet, beschrieb erstmals im August das RedTeam der RWTH Aachen in einem Artikel. Dazu muss der Angreifer in der Lage sein, die Kommunikation zwischen seinem Opfer und der Bank über sich umzuleiten und mitzulesen. Entweder hat er dazu das System des Opfers mit einem Trojaner infiziert oder er hat das Opfer per Phishing beziehungsweise Pharming auf eine Webseite gelockt, die eine echte Bankseite vorgaukelt. Genau diesen Fall stellte nun die Arbeitsgruppe Identitätsschutz im Internet e.V. der Uni Bochum in der Praxis nach und programmierte dazu ein Skript.

Meldet sich das Opfer mit seiner PIN auf der vermeintlich echten Seite an, so verwendet das Skript diese zum Login – allerdings bei der echten Bank. Das Skript stößt nun eine Überweisung über 1 Euro an und erhält von der Bank die Nachfrage nach der TAN xyz. Diese Anfrage schickt das Skript nun weiter an das Opfer. In der Annahme, die Nachfrage sei für eine Sicherheitsüberprüfung erforderlich, tippt das Opfer die gewünschte iTAN ein, mit der das Skript die Überweisung abschließen kann.

Der Aufwand für die benutzte Proof-of-Concept-Implementierung lag nach Angaben der Arbeitsgruppe bei etwa einem Personentag. Daher sei damit zu rechnen, dass die Angriffe kurz- bis mittelfristig in der Praxis zum Einsatz kommen werden. Allerdings weisen die Forscher explizit darauf, dass sowohl TAN als auch iTAN-Verfahren bei korrekter Überprüfung der SSL-Verbindung sicher sind. Allerdings hätten bisherige Phishing-Angriffe gezeigt, dass die Betroffenen den Schutzmechanismus SSL schlichtweg ignorieren oder einfach nicht verstehen.

Mit den verschiedenen TAN-Verfahren und der sicheren Alternative HBCI beschäftigt sich auch der Artikel "Nepper, Schlepper, Bauernfänger" in der c't-Ausgabe 22/05.

Siehe dazu auch: (dab)