-
Die Postbank führt ein neues TAN-System gegen den Datenklau durch das so genannte Phishing ein. Von Montag an können die Kunden "indizierte Transaktionsnummern" (iTAN) nutzen. Bei einer Online-Überweisung gibt der Computer vor, welche TAN aus der Liste benutzt werden muss. Nur diese aktiviert dann die Transaktion. Betrüger hatten versucht, Kunden durch angebliche Bank-E-Mails eine TAN zu entlocken, um mit deren Hilfe dann das Konto zu plündern. Das Phishing über E-Mails, die aussehen, als kämen sie von der Bank des Kunden, hat sich in jüngster Zeit massiv verstärkt .
Bisher bekamen Postbank-Kunden Listen mit 100 TANs, aus denen sie frei wählen konnten. In Zukunft werden sie bei einer Transaktion aufgefordert, eine bestimmt TAN aus der Liste zu nutzen. Die Gefahr, dass ein Phisher eine erbeutete TAN einsetzen kann, sinkt damit auf ein Prozent. Als zusätzliche Sicherheit können Postbankkunden nun eigene Höchstlimits für Überweisungen festlegen. Bislang hat nach Aussage der Postbank noch keiner ihrer Kunden Phishing-Schäden erlitten.
Quelle und Links : http://www.heise.de/newsticker/meldung/62558
-
Kaum haben die ersten Banken das iTAN-Verfahren für einen besseren Schutz vor Phishing-Attacken eingeführt, gibt es einen ersten erfolgreichen Angriff einer Arbeitsgruppe der Ruhr-Universität Bochum – allerdings nur unter Laborbedingungen. Bei indizierten TANs fragt die Bank statt nach einer beliebigen TAN auf der Liste nach einer bestimmten TAN, beispielsweise der dreiundzwanzigsten. Allerdings ist für den Kunden nicht vorhersehbar, welche iTAN abgefragt wird. Zudem ist eine iTAN immer an eine bestimmte Transaktion gebunden. Auch wenn die Verbindung unterbrochen wird, kann der Auftrag nur mit dieser TAN zu Ende geführt werden.
Dass das iTAN-Verfahren doch unsicherer ist als von den Banken behauptet, beschrieb erstmals im August das RedTeam der RWTH Aachen in einem Artikel. Dazu muss der Angreifer in der Lage sein, die Kommunikation zwischen seinem Opfer und der Bank über sich umzuleiten und mitzulesen. Entweder hat er dazu das System des Opfers mit einem Trojaner infiziert oder er hat das Opfer per Phishing beziehungsweise Pharming auf eine Webseite gelockt, die eine echte Bankseite vorgaukelt. Genau diesen Fall stellte nun die Arbeitsgruppe Identitätsschutz im Internet e.V. der Uni Bochum in der Praxis nach und programmierte dazu ein Skript.
Meldet sich das Opfer mit seiner PIN auf der vermeintlich echten Seite an, so verwendet das Skript diese zum Login – allerdings bei der echten Bank. Das Skript stößt nun eine Überweisung über 1 Euro an und erhält von der Bank die Nachfrage nach der TAN xyz. Diese Anfrage schickt das Skript nun weiter an das Opfer. In der Annahme, die Nachfrage sei für eine Sicherheitsüberprüfung erforderlich, tippt das Opfer die gewünschte iTAN ein, mit der das Skript die Überweisung abschließen kann.
Der Aufwand für die benutzte Proof-of-Concept-Implementierung lag nach Angaben der Arbeitsgruppe bei etwa einem Personentag. Daher sei damit zu rechnen, dass die Angriffe kurz- bis mittelfristig in der Praxis zum Einsatz kommen werden. Allerdings weisen die Forscher explizit darauf, dass sowohl TAN als auch iTAN-Verfahren bei korrekter Überprüfung der SSL-Verbindung sicher sind. Allerdings hätten bisherige Phishing-Angriffe gezeigt, dass die Betroffenen den Schutzmechanismus SSL schlichtweg ignorieren oder einfach nicht verstehen.
Mit den verschiedenen TAN-Verfahren und der sicheren Alternative HBCI beschäftigt sich auch der Artikel "Nepper, Schlepper, Bauernfänger" in der c't-Ausgabe 22/05.
Siehe dazu auch:
* iTAN-Verfahren unsicherer als von Banken behauptet Meldung auf heise Security
* RUB-Arbeitsgruppe findet Sicherheitslücke im iTAN-Verfahren Pressemeldung der Ruhr-Universität Bochum
Quelle und Links : http://www.heise.de/security/news/meldung/66046
-
HBCI-Standard bei der Postbank weiterhin ohne iTan-Unterstützung
Schon einmal ist eine Lücke im neuen iTan-Verfahren der Postbank entdeckt worden, doch Mitarbeiter der c't haben nun noch eine weitere Methode gefunden, das Sicherheits-Verfahren zu umgehen: Beim eigentlich sicheren HBCI-Überweisungsverfahren wird nämlich iTan bis dato gar nicht genutzt.
Anders als die erste bekannte Sicherheitslücke, die die Arbeitsgruppe "Identitätsschutz im Internet (AI3)" der Ruhr-Universität Bochum (RUB) herausfand, ist bei der neuerlichen Schwachstelle gar kein Man-in-the-Middle-Angriff notwendig. Der Betrüger müsste wie gehabt seinem Opfer PIN und TAN entwenden, in dem er mit den einschlägigen Phishing-Tricks arbeitet.
Die erbeuteten Nummernkombinationen müssen dann mit einer HBCI-fähigen Banking-Software und nicht wie sonst mit dem Onlinebanking-Web-Portal der Postbank zum Leerräumen des Kontos genutzt werden. Dies ist nur deshalb möglich, weil beim HBCI-Verfahren, das die Postbank einsetzt, nach Angaben der c't weder Kartenleser noch dazugehörige Chipkarte, sondern nur die Eingabe dieser beiden Zahlenkombinationen benötigt werden. Ausgerechnet das ansonsten sichere HBCI-Verfahren allerdings arbeitet nicht nach dem iTan-Verfahren, sondern wie gehabt mit einer beliebigen TAN.
c't rät deshalb Postbank-Kunden, ihr HBCI-Überweisungslimit auf 0,- Euro zu setzen. Erst im Frühjahr 2006 soll das bisherige HBCI-Verfahren auch iTAN unterstützen.
Beim iTan-Verfahren verlangt das Online-Banking-Webportal die Eingabe einer bestimmten TAN aus der TAN-Liste und akzeptiert nicht mehr eine aus beliebiger Position.
Quelle : www.golem.de
-
Auch auf heise.de:
Hintertür im iTAN-Procedere der Postbank
c't berichtet in der Montag, den 28. November, erscheinenden Ausgabe 25/05, dass sich das von der Postbank als besonders sicher angepriesene iTAN-Verfahren noch leichter aushebeln lässt als bisher angenommen. Bei indizierten TANs fragt die Bank statt nach einer beliebigen TAN auf der Liste nach einer bestimmten TAN, die immer an eine bestimmte Transaktion gebunden ist. Bislang ließ sich das Verfahren nur durch Trojaner und Man-in-the-Middle-Attacken unter Laborbedingungen austricksen.
Anzeige
Bei einem Test von heise Security gelang es jedoch, Überweisungen mit jeder beliebigen TAN einer Liste durchzuführen – obwohl das iTAN-Verfahren aktiviert war. Der Trick: Die Postbank bietet als Alternative zum Webzugang das Homebanking Computer Interface (HBCI) mit dem unsicheren PIN/TAN-Verfahren an – auch HBCI+ genannt –, das nach wie vor beliebige TANs akzeptiert. Möglich ist dies auch deshalb, weil die Postbank nach der Abschaltung des BTX-Zugangs sämtliche Konten für HBCI+ freigeschaltet hat. Den meisten Kunden dürfte allerdings nicht klar sein, dass ihr Konto auch über diese Hintertür angreifbar ist.
Durch die Schwachstelle bei der Postbank muss ein Phisher, der PIN und eine TAN ergattert hat, lediglich eine Finanzsoftware installieren und Kontakt mit dem HBCI-Server aufbauen, um damit das Konto leerzuräumen.
Die Postbank bestätigte das Problem gegenüber heise Security: "Für eine Übergangszeit werden indizierte TAN und mobile TAN noch nicht über die HBCI-Schnittstelle geprüft. Dies liegt im bankeneinheitlichen Standard HBCI 2.2 begründet, der diese Neuerungen noch nicht vorsehen konnte. Im Interesse der Kunden kam für die Postbank eine Abschaltung der HBCI-Schnittstelle nach Einführung der iTAN für die Übergangszeit nicht in Frage", erklärte der Pressesprecher der Postbank Jürgen Ebert.
Man sei bereits dabei, den HBCI-Nachfolgestandard FinTS 3.0 zu implementieren, der auch iTAN und mTAN unterstütze, im kommenden Frühjahr soll es soweit sein. Kunden, die den HBCI-Zugang nicht nutzen, sollten bis dahin über den Webzugang das HBCI-Überweisunglimit auf 0 Euro setzen. Im Dezember will die Bank dies automatisch für derartige Konten nachholen.
Siehe dazu auch:
* Hintertür im iTAN-Verfahren der Postbank, c't 25/05, S. 64 (ab Montag, den 28. 11., im Handel)
* Mit den verschiedenen TAN-Verfahren und der sicheren Alternative HBCI mit Chipkarte beschäftigt sich auch der Artikel Nepper, Schlepper, Bauernfänger in c't 22/05. S. 148
. (dab/c't)
Quelle und Links:
http://www.heise.de/newsticker/meldung/66652
-
Update
Die Konten anderer Banken sind unter Umständen ebenfalls über HBCI mit PIN/TAN zugänglich, ohne dass der Kunde davon weiß. So schaltet etwa die Netbank automatisch den Zugang per HBCI frei, um Bankingsoftware zu unterstützen. Auch hier wird die iTAN nur für den Webzugang unterstützt, für Transaktionen mit der Finanzsoftware genügt eine beliebige TAN. Kunden sollten sich im Zweifel bei ihrer Bank erkundigen, ob ihr Konto schon für HBCI freigeschaltet wurde und gegebenenfalls ein Limit setzen. Solange Kunden ihre PIN und TAN nicht auf gefälschten Bank-Seiten eingeben besteht allerdings auch keine Möglichkeit, das Konto über HBCI+ leerzuräumen.
Quelle : www.heise.de
-
Angesichts sich massiv häufender Beschwerden über Betrugsfälle beim Online-Banking hat die Verbraucherzentrale Nordrhein-Westfalen Alarm geschlagen. "Bei den Sicherheitsproblemen müssen wir uns fragen, ob man den Zahlungsverkehr via Internet überhaupt noch empfehlen kann." Das sagte Hartmut Strube, Finanzjurist bei der Verbraucherzentrale Nordrhein-Westfalen, auf Anfrage und bestätigte damit einen Bericht der "Neue Ruhr/Neue Rhein Zeitung" (Samstagsausgabe).
Es gebe eine massive Betrugswelle durch so genanntes Phishing, mit dem sich Hacker Zugriff auf Online-Konten verschaffen. Nach Erkenntnissen Strubes sind immer mehr osteuropäische Banden am Werk. "Wir beobachten hier eine enorme Dynamik, da hat sich eine echte Betrugsindustrie entwickelt", sagte der Finanzexperte.
Sven Kretzschmer von der Verbraucherzentrale Sachsen-Anhalt berichtete jedoch, dass sich auch geprellte Bankkunden melden, bei denen die Institute sich weigern, für die Schäden aufzukommen – oder nur eine minimale Beteiligung anbieten. Eine Praxis, die nach Auffassung Strubes in Zukunft spürbar zunehmen könnte.
Bislang scheine die Schadensregulierung auf Kulanzbasis für die Banken noch lohnend zu sein, weil sie das Online-Banking, das inzwischen rund ein Drittel der Deutschen betreiben, wegen der Kostenersparnis weiter ausbauen wollen. "Wird allerdings das Online-Banking eines Tages so verbreitet sein wie heute die EC-Karte, müssen wir damit rechnen, dass die Banken weit weniger kulant reagieren und es auf ein Beweislastverfahren ankommen lassen", warnte Strube. Juristisch sei die Sache nicht eindeutig. Verbraucher, die sich durch E-Mails von Betrügern auf gefälschte Internet-Seiten lotsen lassen und dort ihre Daten eingeben, könnte Fahrlässigkeit vorgeworfen werden.
Aufgeschreckt durch eine Welle von Phishing-Attacken in den vergangenen Wochen versuchten einige Institute inzwischen, ihre Sicherheitsvorkehrungen zu verbessern. Geldhäuser wie die Postbank oder die Sparkassen versorgen ihre Kunden mit so genannten ITANs. Die TAN-Zahlenkombinationen werden bei diesem Verfahren durchnummeriert und mit einer kurzen Gültigkeitsdauer versehen. Dabei sinkt zwar das Betrugsrisiko. Wissenschaftler der Uni Bochum hätten das neue System aber bereits geknackt.
Quelle und Links : http://www.heise.de/newsticker/meldung/68335
-
Auch der Branchenriese Deutsche Bank stellt sein Online-Banking auf das indizierte -Transaktionsnummer-Verfahren (iTAN) um, das Phishing-Angriffe erschweren soll, meldet dpa. In den vergangenen Monaten hat die Bank die neuen iTAN-Listen an seine rund 2,6 Millionen Online-Kunden verschickt.
Im iTAN-Verfahren wird eine Transaktion nicht mehr durch eine beliebige, sondern eine zufällig aus der Liste vom Bank-Server angeforderte TAN – beispielsweise die sechsundvierzigste – bestätigt. Der gesamte Vorgang ist an die vorgegebene iTAN gebunden, selbst wenn er einmal unterbrochen wird. Dadurch sinke die Wahrscheinlichkeit, dass ein Phisher mit einer ergatterten TAN Unheil anrichten könne, auf 1:100 ab.
Jedoch ist auch das iTAN-Verfahren nicht per se sicher. So demonstrierte das RedTeam einen Man-In-The-Middle-Angriff, bei dem sie trotz der iTAN-Sicherung 3000 Euro von einem Postbank-Konto auf ein fremdes Konto überwiesen.
Quelle und Links : http://www.heise.de/newsticker/meldung/70003
-
Mit einem Gütesiegel bestätigt die TÜV Rheinland Group der mTAN der Postbank eine "wirksame Absicherung der von außen zugänglichen technischen Systeme gegen unbefugte Nutzung". Die mobile Transaktionsnummer, kurz mTAN, bekommt der Bankkunde per SMS auf sein Handy geschickt und dient ihm einmalig zur Freigabe einer Online-Überweisung; und sie ist nur kurze Zeit gültig. Insofern schützt sie vor allem vor Phishing- und Farming-Angriffen.
Seit 2003 bietet die Postbank die mTAN im Privatkundenportal "Postbank direkt" an, seit August 2005 allgemein bundesweit. Zur Anmeldung muss man sich per Telefon-Banking, Fax oder Brief legimieren. Die SMS versendet die Postbank zum Selbstkostenpreis von 9 Cent.
Nachdem anfänglich nur die TAN in der SMS übermittelt wurde, ergänzte die Bank die SMS später durch die Angabe von Ziel-Kontonummer und Betrag. Wer diese Angaben sorgfältig überprüft kann ziemlich sicher sein, dass der Auftrag korrekt an die richtige Adresse geht.
Der ganze Artikel (http://www.heise.de/newsticker/meldung/72098)
Quelle : www.heise.de
-
Vier Fünftel aller Kreditinstitute erfüllen nicht die notwendigen Sicherheitsstandards beim Online-Banking. Bei einem Test erhielten gerade mal vier Institute die Note "gut".
Nur wenige Banken bieten ihren Kunden im Netz angemessene Sicherheitsstandards, wie eine Untersuchung des Fraunhofer Instituts im Auftrag des Magazins "Capital" ergab. Testsieger war die Deutsche Bank mit 25 von maximal 31 erreichbaren Punkten. Das Online-Angebot der Postbank erhielt 24 Punkte, das der Commerzbank 23 Punkte und der Berliner Volksbank 22 Punkte. Die drei Anbieter wurden ebenfalls mit "gut" bewertet. Ein "sehr gut" erreichte kein einziges Online-Banking-Angebot.
Bei 16 von 20 Banken stellte das Fraunhofer Institut für Sichere Informationstechnologie Mängel in punkto Technik und Informationsqualität fest. 40 Prozent der getesteten Banken erreichten nicht einmal die Hälfte der zu vergebenen Punktzahl. Die Onlineangebote von Cortal Consors, SEB und die Volkswagen Bank kamen sogar nur auf ein Drittel der möglichen Punkte und die Note "mangelhaft".
"Viele Institute lassen ihre Kunden mit den Gefahren allein", erklärte Testleiter Sven Türpe. "Die Kostenersparnis, die Geldhäuser dank Online-Banking erzielen, wird nicht vorrangig in neueste Technik investiert." Besonders kritisch sieht Türpe das klassische PIN/TAN-Verfahren, bei dem sich der Kunde mit einer Identifikationsnummer (PIN) und einer variablen Transaktionsnummer (TAN) auf der Internet-Seite der Bank identifiziert. Diese Methode bewertete er als "leicht angreifbar durch Phishing oder Trojaner".
Quelle : www.spiegel.de
-
Angesichts immer ausgefeilterer Methoden von Internet-Betrügern hat der Bundesverband der Verbraucherzentralen (vzbv) die Banken aufgerufen, mehr für die Sicherheit von Online-Konten zu tun. "Die Banken sind gefordert, verständlichere und umsetzbare Systeme anzubieten", sagte vzbv-Bankenexperte Frank-Christian Pauli der Nachrichtenagentur AFP.
Phishing boomt
Besonders der Klau von Passwörtern - das so genannte Phishing - sei nach wie vor ein ernsthaftes Problem. Dabei senden Gauner fingierte Emails an Kunden von Banken oder Internet-Händlern und fordern sie auf, ihre Zugangsdaten über einen angehängten Link erneut zu bestätigen. Folgt der Kunde der Aufforderung, wird sein Konto geplündert.
Zum Schutz vor solchen Phishing-Attacken reiche die herkömmliche Identifizierung mit einer persönlichen PIN-Nummer und der Bestätigung einer Zahlung oder Überweisung mit einer so genannten Transaktionsnummer (TAN) längst nicht mehr aus, sagte Pauli. Diese Daten könnten Betrüger leicht ausspähen. "Es gibt Möglichkeiten, das sicherer zu machen." Dabei verwies Pauli auf Systeme wie HBCI: Dabei müssen Bankkunden ein Lesegerät zwischen Tastatur und PC anschließen und sich mittels Chipkarte beim Bankcomputer autorisieren. Viele Banken bieten diese Technik jedoch nicht an. Wenn doch, wird der Kunde für die Geräte zur Kasse gebeten.
Marktführer Deutsche Bank sieht sich beim Thema Sicherheit im Internet gut positioniert. "Wir bieten Kunden entsprechend ihrem Nutzungsverhalten Standards an, die als sicher gelten", sagt Deutsche-Bank-Sprecher Michael Lermer. Nach den Phishing-Attacken auf Kunden Ende letzten Jahres habe die Bank ihr System im Februar auf iTANs umgestellt. Anders als die herkömmlichen TANs sind iTANs durchnummeriert. Die Bank kann den Kunden so auffordern, eine Zahlung mit einer bestimmten TAN aus seiner Liste zu bestätigen und nicht einer willkürlichen. Dies mindert die Wahrscheinlichkeit von Missbrauch. "Seitdem hat es keinen erfolgreichen Phishing-Versuch mehr gegeben", sagt Lermer. Die Deutsche Bank bietet auch HBCI an.
Gut geschützt
Bei einem aktuellen Test des Wirtschaftsmagazins "Capital" (Heft 16/2006) zur Sicherheit von Online-Konten schnitt die Deutsche Bank von 20 Instituten am besten ab, dicht gefolgt von der Postbank und der Commerzbank. Allerdings kamen auch die drei Sieger über ein "gut" in der Gesamtwertung nicht hinaus. Das Fraunhofer Institut für Sichere Informationstechnologie begründete dies damit, dass die Banken ihren Kunden nicht genug Auswahl bei den verfügbaren Sicherheitssystemen gäben.
Was ist Phishing überhaupt?
Phishing setzt sich aus "password" und "fishing" zusammen, zu Deutsch "nach Passwörtern angeln". Phishing-Betrüger fälschen Emails und Internetseiten von Banken und Internethändlern und erschleichen sich Zugang zu geheimen Bankdaten. Damit räumen sie das Konto ihres Opfers leer.
Wie sieht ein Angriff aus?
In der Regel erhält das Opfer eine Email, in der es aufgefordert wird, seine Bankdaten neu einzugeben. Mit einem beigefügten Link wird der Verbraucher auf eine gefälschte Seite gelockt und muss dort neben der Kontonummer sein Passwort und TAN-Nummer eingeben. Als Grund wird etwa eine Software-Aktualisierung oder ein Sicherheits-Check vorgetäuscht. Die Mails sehen täuschend echt aus: Die Betrüger fälschen Firmenlogos und Internetadressen perfekt.
Wer ist von Phishing betroffen?
Ziel solcher Angriffe wurden in Deutschland unter anderem Kunden der Deutschen Bank, der Sparkassen und der Volksbanken Raiffeisenbanken. Im Visier der Betrüger sind aber auch Nutzer von Internet-Auktionshäusern wie eBay und von Internet-Zahlsystemen wie PayPal.
Wie kann ich mich schützen?
Verbraucher sollten grundsätzlich nie persönliche Zugangs- oder Kontodaten herausgeben, wenn sie per Email dazu aufgefordert werden. Keine Bank versendet solche Mails. Das Bundeskriminalamt rät, keinesfalls auf den enthaltenen Link zu klicken. Bankkunden sollten Internet-Adressen immer selbst in den Browser tippen. Niemals sollten Verbraucher für Online-Banking oder Auktionen öffentliche PCs nutzen, etwa im Internet-Café. Die neueste Anti-Viren-Software auf dem heimischen Computer sollte ohnehin selbstverständlich sein.
Wer ersetzt den Schaden?
Rechtlich ist Phishing eine Grauzone. Banken berufen sich nach Angaben von Verbraucherschützern häufig darauf, dass Kunden mit ihren PIN- und TAN-Nummern nicht fahrlässig umgehen dürfen und weigern sich zunächst, den Schaden zu ersetzen. Viele Institute lenken dann aber doch ein, wenn die Täuschung raffiniert war und der Kunde beharrlich bleibt.
Gibt es hundertprozentigen Schutz?
Leider nicht. Kriminelle nutzen immer ausgefeiltere Methoden, um an Bankdaten zu kommen. Neuerdings schalten Kriminelle Bankseiten auch für den Kunden nicht erkennbare Masken vor, in die er seine Zugangsdaten eingegeben soll. "Der Schutz ist schwierig geworden", sagt Bank-Experte Frank-Christian Pauli vom Bundesverband der Verbraucherzentralen. Am meisten helfe noch gesundes Misstrauen.
Quelle : www.onlinekosten.de
-
Die Sicherheit des PIN/TAN-Verfahrens hängt davon ab, dass sich TANs nicht erraten lassen. Die Citibank macht es Betrügern dabei möglicherweise einfacher als nötig. So ergab eine Analyse einiger TAN-Listen durch den Sicherheitsspezialisten Felix Lindner von Sabre Labs, dass die TANs der Citibank eine Systematik aufweisen, die es Angreifer unter Umständen erleichtert, anhand benutzter, ungültiger TANs weitere TANs vorauszusagen. Die Transaktionsnummern sind in aufsteigender Folge sortiert, wobei die Differenzen aufeinander folgender TANs nicht besonders groß sind und sich zudem häufen. Gelangt etwa ein Phisher an eine Serie benutzter TANs, so könnte er mit einer sehr viel höheren Wahrscheinlichkeit als durch reines Raten eine gültige TAN für eine Überweisung berechnen. Die genauere Analyse der TAN-Listen beschreibt der Artikel "Citibank würfelt nicht" auf heise Security.
Die Citibank hält ihr Verfahren indes für sicher. Es sei ausgeschlossen, dass sich eine TAN aus einer anderen TAN errechnen lässt, erklärte Rüdiger Stahlschmidt, Pressesprecher der Citibank gegenüber heise Security. Die aufsteigende Folge würde sich daduch erklären, dass als Zufallskomponenten die Zeit in den Prozess der Generierung von TANs eingehe. Schließlich nehme die Zeit als Zufallsgröße während des Prozesses der Generierung zu. Dabei würde jede TAN unabhängig von den vorigen ermittelt. "Da hierbei fortlaufend sich ändernde Zeitpunkte einfließen, ist die Generierung der TANs letzten Endes zufällig.", erklärte Stahlschmidt. Gleichwohl schreibt er:"Die statistischen Häufungen von gleichen Differenzen zwischen einzelnen TANs sind zufällig und somit je nach TAN-Liste verschieden. Etwaige gewonnene Erkenntnisse über Abstände zwischen einzelnen TANs aus einer TAN-Liste lassen sich somit nicht auf eine andere TAN-Liste übertragen. Insofern ist das von Citibank angewandte Zufallskomponenten-Verfahren sicher."
Das sieht selbst das Bundesamt für Sicherheit in der Informationstechnik (BSI) anders. "Eine TAN-Liste, die eine Systematik bei aufeinanderfolgenden TANs aufweist, und die den theoretischen Wertebereich nicht vollständig ausnutzt, schwächt die Sicherheit des PIN/TAN-Verfahrens.", erkärt Matthias Gärtner, Pressesprecher des BSI, auf Nachfrage von heise Security. Die Sicherheit eines PIN/TAN-Verfahrens basiere insbesondere darauf, dass die Wahrscheinlichkeit für eine erfolgreiche Vorhersage gültiger TANs möglichst klein ist.
Quelle : www.heise.de
-
Die Citibank hat angekündigt, für die Generierung der TANs ab sofort einen Zufallsgenerator zu verwenden. Die in den vergebenen TAN-Listen aufgeführten Nummer sollen damit zufällig sein, erklärte Rüdiger Stahlschmidt, Pressesprecher der Citibank in einer Mitteilung an heise Security. Anfang Oktober hatte ein auf heise Security veröffentlichter Artikel von Felix "FX" Lindner bemängelt, dass die TANs der Citibank eine Systematik aufweisen, die es Angreifern unter Umständen erleichtert, anhand benutzter, ungültiger TANs weitere TANs vorauszusagen. Unter anderem waren die TANs in aufsteigender Reihenfolge mit einer relativ geringen Differenz zur vorhergehenden TANs aufgelistet.
Mit einer Serie benutzter TANs hätte ein Angreifer mit einer sehr viel höheren Wahrscheinlichkeit als durch reines Raten eine gültige TAN für eine Überweisung berechnen können. In einer Stellungnahme erklärte Stahlschmidt damals, die aufsteigende Folge würde sich daduch erklären, dass als Zufallskomponenten die Zeit in den Prozess der Generierung von TANs eingehe. Da sich dabei die Zeitpunkte ständig ändern würde, sei die Generierung der TANs letzten Endes zufällig und das Verfahren sicher.
Offenbar war die Citibank sich aber doch nicht ganz so sicher und führte daraufhin den Zufallsgenerator ein. Nach Aussage von Stahlschmidt, sei dies aber ohnehin geplant gewesen. Ansonsten bleiben die TAN-Listen wie bisher: 200 sechsstellige Nummern.
Siehe dazu auch:
* Citibank würfelt nicht, Hintergrundartikel auf heise Security
Quelle und Links : http://www.heise.de/security/news/meldung/80079
-
Kunden der Volksbanken und Raiffeisenbanken sollen zukünftig ihre Bankgeschäfte online noch sicherer durchführen können: Durch die Einführung der mobilen TAN per SMS aufs Handy (mTAN) sollen Phisher so gut wie keine Chance mehr haben, an eine gültige Transaktionsnummer für ihre betrügerischen Zwecke zu gelangen. Die mTAN gilt nur für eine gerade angestoßene Transaktion kann somit nicht zweckentfremdet werden. Zusätzlich werden in der SMS die Empfängerkontonummer und der Betrag genannt. Prüft der Kunde die Angaben sorgfältig, sollte ein Betrug nicht mehr möglich sein.
Mitte des Jahres befand auch die TÜV Rheinland Group das schon von der Postbank seit längerem eingesetzte mTAN-Verfahren als eine "wirksame Absicherung der von außen zugänglichen technischen Systeme gegen unbefugte Nutzung" und vergab ein Gütesiegel. Ob ein Kunde der Volksbanken und Raiffeisenbanken wirklich in den Genuss der mTAN kommen kann, hängt von der jeweiligen Filiale ab. Die IT-Dienstleister der Banken Fiducia und GAD haben den Pilotbetrieb des neuen Verfahrens abgeschlossen und wollen die Technik nun in der Breite zur Verfügung stellen. Allerdings hängt es letztlich von der Filiale ab, ob sie ihren Kunden das sicherere Verfahren auch anbietet.
Siehe dazu auch:
* Die neue mobileTAN kommt per SMS aufs Handy, Mitteilung von Fiducia
Quelle und Links : http://www.heise.de/security/news/meldung/81301
-
Wenn Sicherheitsexperten tagen, dann drohen düstere Szenarien. Wer sich vorwiegend mit Bedrohungen durch Schadsoftware, Phishing-Attacken und Kreditkartenbetrug auseinandersetzt, ist entsprechend sensibilisiert. Der Benutzer mag keine Passwörter, der Sicherheitsexperte mag keine Benutzer.
Thorsten Holz, wissenschaftlicher Mitarbeiter an der Uni Mannheim, sammelt im Rahmen des Honeynet Project Schadsoftware, so genannte Malware. Mit beachtlichem Erfolg, denn binnen vier Monaten lockte ein einziger Rechner mit Nepenthes immerhin 50 Millionen Exemplare an. Ohne die Duplikate waren es immer noch 14.414 verschiedene Schadprogramme, die rund 1000 verschiedenen Botnets zuzuordnen sind. Die große Zahl der eingesammelten Schädlinge ruft nach einer automatischen Untersuchung, die von CWSandbox geleistet werden soll. Diese mit einem CAST Förderpreis 2006 ausgezeichnete Software testet Die Probanden in einer virtuellen Umgebung und erstellt eine Analyse im XML-Format. In der aktuellen Betaversion kann man verdächtige Binaries auf den Server laden und erhält die Auswertung dann per E-Mail.
Erschreckend ist, dass selbst tagesaktuelle Antiviren-Software nur zwischen 78 und 90 Prozent der von Nepenthes eingesammelten Schadprogramme erkennt. Bei der Ernte des aktuellen Tages, immerhin 460 Exemplare, sieht es noch schlechter aus. Hier liegt die Erkennung bei nur 73 bis 84 Prozent. Entsprechend düster waren auch die Szenarien, die Michael Mehrhoff vom Bundesamt für Sicherheit in der Informationstechnik in seinem Vortrag über die gezielte Spionage mit Trojanischen Pferden präsentierte. Während das Internet vor sechs Jahren noch einem Goldfischteich geglichen habe, müsse man heute von einem Haifischbecken sprechen: Erkannte Schwachstellen nähmen zu, die Anzahl der Schadprogramme steige bei beschleunigtem Entwicklungstempo. Das kritische Zeitfenster zwischen der Entdeckung einer Schachstelle und der Bereitstellung einer Gegenmaßnahme werde verstärkt ausgenutzt, die Opfer würden dabei gezielt angegriffen für Spionage, Sabotage und Erpressung.
Während früher nur aktive Inhalte, ausführbare Dateien und Makros verdächtig waren, sind heute alle Daten außer einfachem Text geeignet, Rechner zu infizieren. Insbesondere Dateien der Microsoft-Programme Word und Powerpoint würden laut Mehrhoff für die Verbreitung trojanische Pferde eingesetzt. Antivirenprogramme und Firewalls seien als Schutz nicht mehr ausreichend. Ein gezielter Angriff eines Nachrichtendienstes sei praktisch nicht erkennbar, insbesondere weil das begleitende Social Engineering perfekt sei. Man müsse damit rechnen, die Spionagesoftware verdeckt aus einer vertrauten Quelle zu erhalten. Die Bedrohungslage ist laut Mehrhoff so ernst, dass man den technischen Fortschritt nicht mehr so nutzen könne, wie das bisher getan getan wurde. Zur Sensibilisierung von Entscheidungsträgern und der Vorstellung von wirksamen Sicherheitsmaßnahmen hat das BSI einen "Trojaner-Leitfaden" erstellt, der nach Prüfung im Innenministerium auf der Webseite des BSI veröffentlicht werden soll.
Sven Türpe vom Fraunhofer Institut für sichere Informationstechnologie beschäftigte sich mit der Frage, wie eine sichere Kommunikation zwischen Nutzer und Bank trotz unsicherem Endgerät und Benutzerfehlern zustande kommen kann. Theoretisch sind die Problem durch SSL und HBCI/FinTS gelöst. Dieser Ansatz setzt aber voraus, dass der Anwender SSL-Zertifikate und Daten auf dem Display eines Kartenlesers jedesmal prüft. Indexierte TANs (iTAN) oder TAN-Generatoren sind laut Türpe bei Echtzeit-Angriffen mit Man-in-the-middle-Attacken unwirksam. Eine Übermittlung der TAN über einen getrennten Kanal, etwas als SMS auf eine vorher registriertes Handy dagegen macht Massenangriffe schwierig. Der Server berechnet eine nur kurzzeitig gültige TAN und überträgt sie zusammen mit den Transaktionsdaten an das Mobiltelefon des Benutzers, der dann die TAN auf dem PC wieder eingibt. Diese mTAN genannte Lösung setzt jedoch ein betriebsbereites Handy voraus und kann durch lange SMS-Laufzeiten gestört werden.
Auch der Kreditkartenbetrug macht den Anbietern zunehmend Sorgen. Bernd-Ludwig Müller, Risk & Security Manager bei ConCardis zieht das Fazit: "Solange es die Zahlungsmittel gibt, wird ein Mensch den anderen betrügen." Neben Einzeltätern sieht sich die Branche vor allem mit organisierter Kriminalität konfrontiert. Müller spricht von technisch hochgerüsteten und flexiblen Banden, die international tätig sind. Die Daten von Kreditkarten werden bei leichfertigen Anwendern, durch Skimming von Magnetstreifen, Kontoauszüge in Papiertonnen ("Dumpster Diving) und durch Berechnung mit Hilfe von Crack-Programmen wie Credit-Master oder Creditwizard sowie simplem Datenklau gewonnen. Kompromittierte Karteninformationen werden nicht nur am Bahnhof, sondern auch über ständig wechselnde Webseiten en gros verkauft. Der Missbrauch der Kreditkarten ist laut Müller relativ leicht von Händlern erkennbar. Typische Merkmale seien große atypische Bestellmengen, viele Bestellungen in sehr kurzer Zeit, zu atypischen Uhrzeiten, von Waren, die im Empfängerland eigentlich billiger sind. Wenn Waren- und Versandkosten keine Rolle spielen, oder wenn etwa eine Kreditkarte aus USA für eine Lieferung nach Singapur mit einer Absenderadresse eines Freemailers zusammen aufträten, dann müsse man von einem Missbrauch ausgehen. Die Geschädigten solcher Transaktionen seien vor allem die Händler, die sich von einem schnellen Geschäft locken lassen würden. Durch Rückbelastungen würden sie am Ende auf dem Schaden sitzen bleiben, während die ergaunerte Ware über Versteigerungsplattformen verkauft werde.
Alle Vortragende waren sich darüber einig, dass gutgläubige Menschen das schwächste Glied in der Sicherheitskette darstellen. Dies betrifft sowohl Händler, Phishing-Opfer als auch Finanzagenten, die Geld von ihrem Konto abheben und per Western Union versenden. Social Engineering bleibt die effektivste Angriffsstrategie.
Quelle und Links : http://www.heise.de/newsticker/meldung/82576
-
Onlinebanking ist heute bei den meisten Banken selbstverständlich. Ebenso selbstverständlich sollte es sein, dass die Banken ihren Kunden dafür sichere Verfahren zur Verfügung stellen.
Leider sieht das in der Realität noch anders aus: Im aktuellen Test von FINANZtest bieten nur 14 von insgesamt 20 überprüften Banken ausreichend sichere Verfahren für das Onlinebanking an. Bei den anderen sind die Bankgeschäfte per Internet nur eingeschränkt beziehungsweise nach dem heutigen Stand der Technik gar nicht sicher. Grund dafür: Sie bieten meist nur einfache Pin-Tan-Verfahren an, die nicht mehr dem derzeitigen Sicherheitsstandard entsprechen. FINANZtest sagt, welche Verfahren heute als besonders sicher gelten, welche Banken ihren Kunden sicheres Onlinebanking ermöglichen und was Kunden dabei generell beachten sollten.
Einfache Pin-Tan-Verfahren reichen nicht
Die schlechte Nachricht zuerst: Noch immer gibt es Banken, die nur das einfache Pin-Tan-Verfahren anbieten. Dafür müssen sich Kunden mit einer persönlichen Identifikationsnummer (Pin) legitimieren und jeden einzelnen Auftrag mit einer Transaktionsnummer (Tan) bestätigen. Die Tan entnehmen Kunden einer Liste, die sie von ihrer Bank bekommen. Jede Tan kann nur einmal benutzt werden. Sie ist aber nicht an einen bestimmten Auftrag gebunden. Betrüger können daher mit einer gestohlenen Transaktionsnummer Geld auf ein fremdes Konto überweisen. Für Onlinekunden von Citibank und readybank ist dies besonders fatal: Beide Banken bieten nur dieses unsichere Verfahren für Onlinebanking an. Transaktionen per Internet sind bei beiden Banken also alles andere als sicher. Ein wenig besser, aber aus heutiger Sicht nur eingeschränkt sicher ist das iTan-Verfahren. Hier gibt die bank vor, mit welcher Tan von der Liste eine Überweisung freigegeben wird. Betrüger müssten mehrere Tan erbeuten, damit die Richtige dabei ist.
Höchst möglicher Sicherheitsstandard
Derzeit ist das Home Banking Computer Interface (HBCI) das sicherste Verfahren für Onlinebanking. Es stellt sicher, dass die Daten unverändert dort ankommen, wo sie hinsollen und dass kein Fremder die Daten anzapfen kann. Im Test bieten zehn von 20 Banken dieses Verfahren an. Obwohl es derzeit das sicherste Verfahren ist, greift ein Großteil der Kunden lieber auf andere Methoden zurück. Grund: Es ist recht umständlich. Um HBCI nutzen zu können, benötigen Kunden eine Diskette oder Chipkarte sowie ein Lesegerät. Sie können Bankgeschäfte mittels HBCI dann nur von dem Rechner aus durchführen, an den das entsprechende Lesegerät angeschlossen ist.
Verbesserter Schutz
Mittlerweile gibt es aber auch verbesserte Pin-Tan-Verfahren, mit denen Onlinebanking sicher ist. Dazu gehören eTan, eTan Plus und mTan. Bei letzterer sendet die Bank die Transaktionsnummern auf das Handy des Kunden. Beim eTan-Verfahren erhält der Kunde dagegen von der Bank eine Pin und ein elektronisches Gerät. Dieser Tan-Generator ist nicht viel größer als ein kleiner Taschenrechner. Er generiert für jeden Auftrag eine Tan. Da diese speziell für einen bestimmten Auftrag erzeugt wird, können Betrüger sie nicht einfach stehlen. Bankkunden sind also auch mit den erweiterten Pin-Tan-Verfahren vor Datenklau sicher. Zumindest eine Weile. Denn auch Internetbetrüger entwickeln immer ausgeklügeltere Trickmethoden. Wer online seine Bankgeschäfte abwickeln möchte, sollte sich daher immer über neue sichere Verfahren informieren.
Sorgfältig handeln
Trotz aller Vorsichtsmaßnahmen kann es Bankkunden passieren, dass es Betrügern gelingt, ihr Onlinekonto leerzuräumen. Nicht immer haftet dann die Bank. Sie verlangt, dass ihre Kunden die Sorgfaltspflichten einhalten, um Schäden möglichst zu vermeiden. Was Banken darunter verstehen, steht in ihren Allgemeinen Geschäfts- und Sonderbedingungen. Solange sich Kunden daran halten, müssen sie bei einem Schaden nicht haften. Viele Banken verlangen zum Beispiel, dass Kunden Pin und Tan nicht elektronisch speichern oder in anderer Form notieren. Ebenso sollen Kunde ihre Tan-Liste sicher verwahren und bei der Eingabe sicherstellen, dass Dritte sie nicht ausspähen können. Diese Forderungen von Banken sind akzeptabel. Im Test gab es aber auch Sorgfaltspflichten, die für Kunden kaum zumutbar sind - etwa wenn sie Aufgaben übernehmen sollen, die für technische Laien kaum verständlich oder ausführbar sind. Negatives Beispiel ist hier wieder die Citibank: Kunden müssen beim Erscheinen des Begrüßungsbildschirms prüfen, ob die Onlineadresse auch stimmt. Doch Betrüger können in der kurzen Zeit die Webadresse schon so gestalten, dass Laien Original und Fälschung nicht unterscheiden können.
Quelle : www.spiegel.de
-
Annähernd neun von zehn Österreicher mit Online-Konto vertrauen den Sicherheitsvorkehrungen ihrer Bank. Gleichzeitig ist das Problembewusstsein gering. Nur 71 Prozent der österreichischen Internetuser schützen ihren Computer mit einem Virenscanner, gerade 55 Prozent nutzen eine Firewall und erschreckend geringe 29 Prozent halten ihr Betriebssystem aktuell. Das sind die mehr oder weniger ehrlichen Antworten auf eine Umfrage der Marktforscher von Integral. Auftraggeber war die größte Bank des Landes, Bank Austria Creditanstalt (BA-CA). "Trotz Phishing, Pharming und Co. ist das Kundenvertrauen in das Internet-Banking sehr groß", sagt Robert Zadrazil, BA-CA Vorstand für IT. "Die Internet-Sicherheit ist aber nicht nur eine Frage der Technologie, sondern sie setzt auch das richtige Risikoverhalten der Anwender voraus."
Gut jeder vierte Österreicher (28 Prozent) ab 14 Jahre hat mindestens ein Konto mit Online-Banking. Mit 26 Prozent möchten fast ebenso viele keinen Online-Zugriff ihre Konten. Weitere fünf Prozent planen, ihre Bankgeschäfte ins Web zu verlegen und 38 Prozent sind gar nicht online. Die "Online-Banker" greifen im Durchschnitt neun Mal pro Monat online auf ihr Konto zu. 58 Prozent fragen mindestens ein Mal pro Woche ihren Saldo ab, 42 Prozent tätigen wöchentlich Überweisungen. Ebenso häufig erteilen drei von Hundert Order im Wertpapierbereich.
Die BA-CA konnte 2006 die Zahl ihrer Online-Kunden um 6,6 Prozent auf rund 500.000 erhöhen. Jeder vierte Auftrag im privaten Zahlungsverkehr wird online erteilt. Erstmals wurden auch Zahlen über die Phishing-Versuche veröffentlicht. Die Bank war 2006 von vier Wellen betroffen. Im Januar mussten 60 Konten gesperrt werden. Trauriger Höhepunkt waren 250 Sperren im August. Der Oktober (140) und der Dezember (16 Sperren) deuten zurückgehenden Erfolg der Phisher an.
Über Schadenssummen verrät die Bank nichts, gibt aber an, acht von zehn betrügerischen Überweisungen zurückgeholt haben zu können. Die Erfolgswahrscheinlichkeit sei umso höher, je früher Betroffene Alarm schlügen. 65 Personen wurden im Vorjahr angezeigt oder haben sich selbst angezeigt, nachdem sie als Finanzagenten gestohlenes Geld weitertransferiert hatten. Betrüger hatten sie dazu unter verschiedensten Vorwänden wie Jobangeboten oder Lotteriegewinnen angestiftet.
Schwach ausgeprägt dürfte auch das Wissen um die Risken sein. Denn nur 36 Prozent aller Österreicher ab 14 Jahren kennen den Begriff "Phishing", lediglich 16 Prozent das Wort "Pharming". Die Vokabeln "Trojaner" (54 Prozent), "Würmer" (61 Prozent) und "Viren" (77 Prozent) sind etwas weiter verbreitet. Auf die Frage, ob das Wort Phishing "in letzter Zeit besonders im Zusammenhang mit 'Internet Banking' im Gespräch" gewesen wäre, antworteten nur 22 Prozent mit Ja. In diesem Zusammenhang erinnerte sich nur jeder Achte an Trojaner, jeder Fünfzigste an Pharming.
Quelle : www.heise.de
-
Mit einem zusätzlichen Kontrollbild will der IT-Dienstleister Fiducia IT das Online-Banking mit PIN und TAN noch sicherer machen. Beim iTANplus genannten Verfahren blendet der Bankserver nach Eingabe der Überweisungsdaten ein Kontrollbild ein, das die eingegebenen Transaktionsdaten enthält und mit einem "digitalen Wasserzeichen" hinterlegt ist, das zusätzlich auch das Geburtsdatum des Kunden aufweist. Dort muss dann die iTAN eingegeben werden.
(http://www.heise.de/bilder/98025/0/0)
Das Kontrollbild enthält das Geburtsdatum des Kunden, allerdings ähnlich schwer zu lesen wie bei Captchas.
Anhand des Kontrollbildes soll der Kunde eine zusätzliche Möglichkeit haben, etwa Manipulationen an seiner Überweisung durch einen Trojaner leichter erkennen zu können, um den Vorgang zu stoppen. Durch das im Bild hinterlegte Raster soll es zudem nicht möglich sein, das Geburtsdatum auszulesen und für spätere Angriffe mit manipulierten Kontrollbildern zu verwenden.
Fiducia stellt damit neben dem bereits angebotenen mobileTAN-Verfahren ein weiteres verbessertes TAN-Verfahren zur Verfügung, das die von ihr betreuten Volks- und Raiffeisenbanken ihren Kunden anbieten können. Allerdings liegt es im Ermessen der jeweiligen Bank, ob sie das Angebot nutzt.
Quelle : www.heise.de
-
Das iTAN-Verfahren stellt für Kriminelle kein Problem mehr dar, erklärte Mirko Manske, Kriminalhauptkommissar im Bundeskriminalamt (BKA) auf dem 11. IT-Sicherheitskongress des Bundesamts für Sicherheit in der Informationstechnik in Bonn. Die indizierten Transaktionsnummern waren eingeführt worden, nachdem sich das herkömmliche TAN-System gegenüber Phishing-Attacken als zu unsicher gezeigt hatte. Zwar seien Phishing-Angriffe mit iTAN schwieriger geworden, so Manske "aber nicht unmöglich".
Bei indizierten TANs fragt die Bank statt nach einer beliebigen TAN auf der Liste nach einer bestimmten TAN, beispielsweise der dreiundzwanzigsten. Allerdings ist für den Kunden nicht vorhersehbar, welche iTAN abgefragt wird. Zudem ist eine iTAN immer an eine bestimmte Transaktion gebunden. Auch wenn die Verbindung unterbrochen wird, kann der Auftrag nur mit dieser TAN zu Ende geführt werden.
Bereits Ende 2005 hatte eine Arbeitsgruppe der Ruhr-Universität Bochum einen Angriff auf das Online-Banking-Verfahren mit indizierten TANs erfolgreich demonstriert. Anfang 2007 tauchten dann erste Phishing-Kits auf, die in der Lage waren, per Man-in-the-Middle-Attacke abgephishte iTANs in Echtzeit für eigene Transaktionen zu benutzen. Auch heise Security erreichen immer öfter Meldungen von Lesern über Phishing-Angriffe, die trotz iTAN-Verfahren erfolgreich waren.
Das BKA habe im Jahr 2008 rund 1.800 erfolgreiche Phishing-Aktionen registriert, berichtete Manske. Typischerweise werden diese heute über Trojaner eingefädelt. Ein in einem vorgeblichen PDF-Anhang verstecktes Schadprogramm niste sich auf den Rechner ein, um bei der nächsten Online-Überweisung einen anderen Betrag an einen anderen Empfänger zu überweisen. Der Schaden sei erst über den Kontoauszug bemerkbar.
Sogenannte Finanzagenten ("Money mules"), die bei herkömmlichen Phishing-Aktionen ihre Privatkonten für den Geldtransfer gegen eine Provision zur Verfügung gestellt haben, kämen hingegen kaum noch zum Einsatz. Dies führte Manske auf die Aufklärung seitens der Medien und des Bundeskriminalamts zurück, die die Folgen für die Finanzagenten geschildert hatten: So flogen die Finanzagenten binnen kürzester Zeit auf, ihre Bank kündigte ihr Konto, und eine neue Hausbank zu finden, stellte sich als schwierig heraus. Auf die veränderte Lage habe sich die organisierte Kriminalität binnen drei Monaten mit neuen Social-Engineering-Methoden eingestellt, sagte Manske: "Sie zielen darauf ab Finanzagenten zu finden, die nicht wissen, dass sie überhaupt Finanzagenten sind." Der Rekrutierungsprozess sei damit erheblich aufwendiger geworden und könne sich über mehrere Wochen hinziehen.
Manske schilderte den "typischen" Fall eines geschiedenen 50-jährigen Mannes, der über ein Online-Datingcafé eine E-Mail von einer "Jekaterina" erhalten hatte. Nach gegenseitigen Sympathiebekundungen, die sich über etwa zwei Wochen hinzogen, habe die Frau erklärt, sie wolle gerne nach Deutschland kommen, hätte aber kein Geld zur Verfügung. Gleichwohl habe sie aus einem früheren Aufenthalt in Deutschland Erspartes zurückgelegt. Dieses könne man ihr jedoch nicht direkt überweisen, ohne dass sie Probleme mit den russischen Steuerbehörden bekomme, da sie das Geld aus Schwarzarbeit bezogen habe. Der Mann könne ihr aber das Geld in einer deutschen Filiale der Western Union einzahlen. Dafür müsse er seine Kontodaten zur Verfügung stellen.
Der 50-Jährige nahm ihr die Geschichte ab und stellte seine Kontoverbindungsdaten zur Verfügung. Als "Belohnung" erhielt er daraufhin ein Bild von ihr. Auch auf der russischen Seite wurde ein "Geldesel" organisiert. Jekaterina erklärte, dass ihre "Mutter" das Geld entgegennehmen werde. Dies hätte jedoch einen anderen Nachnamen, da sie wieder geheiratet habe. Der Mann glaubte ihr und zahlte das Geld bei Western Union ein. Nach dem erfolgreichen Transfer nahm Jekaterina erneut Kontakt mit ihm auf, um erneut ein Bild von sich zu schicken, aber auch einen zweiten Transfer einzufädeln. Begründung: Der erste Transfer habe nicht funktioniert. Doch dazu sollte es nicht mehr kommen. Die Hausbank des Mannes hatte eine Anzeige der von einem Phishing-Angriff betroffenen Bank erhalten. Sie erstattete gegen ihn wegen Geldwäsche Anzeige und schloss sein Konto.
Manske schilderte außerdem die Szene der Online-Kriminalität als hochgradig arbeitsteilig organisiert: Kriminelle könnten die Hehlerei mit geklauter Ware über das Internet mit verschiedenen falschen Identitäten nahtlos über verschiedene Mittelsmänner, die sich über ICQ-Nummer kennen, abwickeln. So seien einige Kriminelle darauf spezialisiert, über bekannt gewordene Schwachstellen oder unzureichende Betrugssicherungsmechanismen in Webshop-Systemen Kundendaten mit Kreditkartendaten abzuziehen. Manske: "Reseller bestellen feste Kreditkarten-Kontingente gegen Vorkasse, die von den Hackern mit einer 3-Monats-Garantie für ihre Frischegüte ausgeliefert werden." Stelle sich heraus, dass eine Kreditkartennummer gesperrt ist, werde sie umgehend gegen eine neue Nummer ausgetauscht. Außerdem würden die Kreditkartennummern nach Postleitzahlenbereichen sortiert ausgegeben. Mit Hilfe dieser Kreditkartennummern werde dann über eBay auf Auftrag geklaute Ware bezahlt, die in dem Online-Auktionshaus über jeweils gehackte eBay-Identitäten angeboten und gekauft werde. Die Ware wiederum werde über "anonymisierte Zugänge" für Post-Pack-Stationen ausgeliefert.
Quelle : www.heise.de
-
Der Sicherheitsdienstleister RedTeam Pentesting hat Wege aufgezeigt, wie sich das derzeit von den Sparkassen eingesetzte "chipTAN comfort"-Verfahren angreifen lässt, sodass Betrüger eigene Überweisungen durchführen könnten.
Bei chipTAN comfort erzeugt ein spezielles Gerät die TAN für eine Transaktion. Nach Eingabe seines Auftrags hält der Kunde seinen optischen TAN-Generator mit eingebauten Fototransistoren vor den Bildschirm, auf dem die Bank einen Schwarz-Weiß-Blinkcode (Flickercode) sendet. Der Code enthält die Überweisungsdaten sowie weitere zur Berechnung der TAN benötigten Daten. Das Gerät zeigt nach dem Einlesen des Codes den Überweisungbetrag und das Konto an – eine Manipulation der Transaktion durch einen Betrüger oder Trojaner sollte normalerweise sofort auffallen. Nach dem Drücken der Bestätigungstaste erhält man die TAN. Soweit so gut.
Zumindest bei der Sparkasse lässt sich das Verfahren in Zusammenhang mit Sammelüberweisungen per Man-in-the-Middle-Attacke aushebeln. In einer Sammelüberweisung kann der Kunde einzelne Überweisungen zusammenfassen und mit einer einzigen TAN legitimieren. Der Haken an der Sache: Anders als bei Einzelüberweisungen erscheinen im "chipTAN comfort"-Gerät bei einer Sammelüberweisung nur die Gesamtsumme und die Anzahl der Überweisungen. Einzelne Zielkonten zeigt das Gerät nicht an. Somit hat der Kunde keine Möglichkeit eine Manipulation der Transaktionsdaten festzustellen. Ein Trojaner könnte beispielsweise die vom Kunden abgeschickten Daten im Browser abfangen und durch eigene Austauschen, sodass zwar die Summe und die Zahl der Überweisungen gleich, die Zielkonten aber andere sind.
Aber auch Einzelüberweisungen ließen sich auf diesem Wege manipulieren, wenn der Kunde nicht aufpasst. Dazu fängt ein Trojaner die Einzelüberweisung einfach ab und wandelt sie in eine Sammelüberweisung mit nur einer Überweisung um und schickt sie an die Bank. Den dann von der Bank übertragenen sogenannten Flickercode leitet der Trojaner an das Opfer weiter. Auf dessen Gerät erscheint nun die Summe, als Anzahl der Überweisung eine 1 und die TAN. Fällt dem Opfer nicht auf, dass das Gerät die Kontonummer des Empfänger nicht anzeigt und gibt es anschließend die TAN ein, so hat der Angreifer sein Ziel erreicht.
Aber auch die seit rund zwei Jahren mögliche SEPA-Überweisung in Staaten der EU, Norwegen, Island, Liechtenstein und der Schweiz bietet Angriffsmöglichkeiten. Bei solchen Überweisungen zeigt der TAN-Generator den Betrag sowie das dritte und vierte sowie die letzten vier Zeichen der IBAN, also einer internationalen Kontonummer an. Laut RedTeam Pentesting könnte ein Trojaner die IBAN austauschen und anschließend die auf der Webseite angezeigten Anleitung zur Prüfung der einzelnen Zeichen der IBAN manipulieren. Der Kunden würde beispielsweise als Hinweis sehen, dass er das siebte und achte Zeichen der Original-IBAN mit der Anzeige im Gerät vergleichen sollte.
RedTeam Pentesting hat nach eigenen Angaben innerhalb weniger Tage ein Beispielprogramm entwickelt, welches einen der vorgestellten Angriffe automatisiert durchführt. Dabei wurde eine Überweisung auf ein anderes Konto umgeleitet. Während die Angriffe auf Einzelüberweisungen und SEPA-Überweisungen von aufmerksamen Kunden bemerkt werden können, ist dies bei Sammelüberweisungen nicht möglich. Abhilfe brächte nur, alle Zielkonten ebenfalls im Gerät anzuzeigen und vom Kunden abnicken zu lassen.
Ob das von den Volks- und Raiffeisenbanken verwendete "Sm@rtTAN optic"-Verfahren ebenfalls angreifbar ist, schreibt Redteam in seinem Bericht nicht. Auf Nachfrage wollte sich Jens Liebchen, Geschäftsführer von Redteam Pentesting nicht festlegen. Man habe dort noch keine Tests durchgeführt, allerdings seien die Verfahren sehr ähnlich, sodass es sich vermutlich auf den gleichen Wegen aushebeln ließe.
Mit der Einführung der chipTAN-Verfahren hatten die Banken auf die immer erfolgreichereren Angriffe auf das iTAN-Verfahren reagiert, bei dem der Kunden gar keine Kontrollmöglichkeit hat, welche Transaktionen er legitimiert. Trojaner können so unbemerkt die Transaktionsdaten austauschen. Bei den neueren Verfahren sind die Auftragseinreichung und die TAN-Übermittlung zwei voneinander getrennte Prozesse. Auch bei mTAN respektive SMS-TAN sind die Prozesse getrennt. Hier wird aber die TAN auf einem vom PC unabhängigen zweiten Kanal per Handy zum Kunden übertragen. Leider bieten sich auch dort Angriffsmöglichkeiten, wenn der Kunde die mitgeschickten Kontrolldaten nicht sorgfältig prüft.
Quelle : www.heise.de
-
Der AV-Hersteller F-Secure berichtet über eine neue Variante des Online-Banking-Trojaners SpyEye, der einen raffinierten Trick einsetzt, um an die ans Handy übermittelten mTANs abzufangen. Anders als der große Bruder Zeus hat SpyEye offenbar deutsche Online-Banking-Anwender im Visier.
Beim mTAN-Verfahren, das viele Banken als Nachfolger der unsicheren (i)TAN eingeführt haben, sendet die Bank die TAN einschließlich der Transaktionsdaten via SMS an eine vorher hinterlegte Handy-Nummer. Ein Online-Banking-Trojaner auf dem Windows-PC kann diese Informationen nicht manipulieren – jedenfalls nicht direkt.
(http://www.heise.de/imgs/18/6/5/1/5/3/2/7c86557250c6b81a.jpeg)
Deshalb greifen Zeus und SpyEye zu einem Trick: Auf dem infizierten PC blenden sie direkt in die Online-Banking-Seite der Bank eine Nachricht ein, dass ein neues Zertifikat der Bank auf das Handy übertragen werden müsse. Dazu soll der Kunde seine Handynummer und seine IMEI eingeben. Kurze Zeit später erhält er eine Nachricht mit dem angeblichen Installer für das Zertifikat. Startet er diesen, erscheint die deutschsprachige Nachricht: "Die Seriennummer des Zertifikats: 88689-1299F".
Heimlich im Hintergrund installiert das Trojanische Pferd jedoch Spionage-Software auf dem Handy. Deren Funktionsweise wird derzeit noch analysiert; aber anscheinend überträgt sie die ankommenden mTAN-Daten via Internet an einen Web-Server. Die Spionage-Software ist auf Symbian-Smartphones wie die von Nokia spezialisiert. Damit sich Software auf einem Symbian-Handy ohne auffällige Warnungen installieren lässt, muss diese digital signiert sein. Der SpyEye-Trojaner ist deshalb mit einem Entwickler-Zertifikat unterschrieben, wie man es kostenlos etwa vom chinesischen Dienstleister OPDA erhalten kann. In das Zertifikat der App muss dann allerdings die IMEI des Ziel-Handys eingetragen sein, weshalb der Banking-Trojaner diese ebenfalls abfragt und dann eine speziell angepasste Version erstellt.
Dieser Angriff stellt die Sicherheit des mTAN-Verfahrens ernsthaft in Frage. Mit dem üblichen Tipp, Apps nur aus vertrauenswürdigen Quellen zu installieren, ist es nicht mehr getan. Da in diesem Fall die App ja scheinbar sogar von der Bank angekündigt wurde, dürften viele Anwender auf diesen Trick reinfallen, ohne dass man ihnen mangelnde Sorgfalt vorwerfen könnte. Damit ist es höchste Zeit, dass die Banken, die mTAN einsetzen, erklären, wie sich ihre Kunden zukünftig schützen sollen. Eine Alternative für sicheres Online-Banking ist die sogenannte SmartTAN, oft auch als optische TAN bezeichnet. Oder der Einsatz eines garantiert Trojaner-freien Systems wie es das c't-Bankix bietet, dessen nächste Version in c't 9/11 Ende der Woche erscheint.
Quelle : www.heise.de
-
Das Sicherheitsunternehmen Trusteer hat eine Variante des Onlinebanking-Trojaners SpyEye entdeckt, die das mTAN-Verfahren aushebelt. Die in Spanien gesichtete SpyEye-Variante ändert die bei der Bank gespeicherte Handynummer, damit der Angreifer fortan unbemerkt beliebige Transaktionen durchführen kann. Bislang versuchten Trojaner das mTAN-Verfahren durch eine Infektion der Smartphones der Opfer auszuhebeln.
Beim neuen Angriff stiehlt der Trojaner als Man-in-the-Browser zunächst die Zugangsdaten für das Onlinebanking. Nachdem sich das Opfer bei seiner Bank eingeloggt hat, präsentiert SpyEye dem Opfer eine gefälschte Warnmeldung, laut der sich das Opfer zwingend für eine neue Schutzfunktion registrieren muss.
(http://www.heise.de/imgs/18/7/2/1/3/8/6/418d2947d59f203a.png)
Das Opfer soll angeblich eine neue SIM-Karte von der Bank erhalten, dessen Rufnummer schon mal für das mTAN-Verfahren freigeschaltet werden müsse. Nachdem der Trojaner die Rufnummernänderung angestoßen hat, erhält das Opfer eine SMS von der Bank, in der sich ein Bestätigungscode befindet. Gibt das Opfer den Code ein, kann der Trojaner die Rufnummernänderung abschließen und hat fortan die volle Kontrolle über das Konto.
Zwar enthalten die SMS-Nachrichten, die Banken bei einer Rufnummernänderung an ihre Kunden verschicken, in aller Regel einen klaren Hinweis darauf, dass durch Eingabe des Bestätigungscode die dem Konto zugeordnete Handynummer geändert wird. Durch den Warnhinweis des Trojaners dürfte das Opfer jedoch keinen Verdacht schöpfen – schließlich ist die Änderung ja vermeintlich nötig, um am neuen Sicherheitssystem teilnehmen zu können.
Quelle : www.heise.de
-
(http://i.wfcdn.de/4/rub/303.png)
Sicherheitsexperten sprechen schon seit einiger Zeit davon, dass Kriminelle zunehmend auf Social Engineering-Methoden setzen, um zum gewünschten Ziel zu kommen. Ein aktueller Fall aus Australien zeigt, dass nicht einmal die vielgepriesene Zwei-Wege-Authentifizierung besonders sicher ist.
Ein mittelständischer Geschäftsmann setzte dort auf das von seiner Bank angebotene mTAN-Verfahren, bei dem die TAN-Nummern für das Online-Banking bei jeder Transaktion per SMS zum Mobiltelefon geschickt werden. Dies wird als bequeme, aber auch sichere Angelegenheit angepriesen, da es recht unwahrscheinlich ist, dass ein Angreifer gleichzeitig und unbemerkt Zugriff auf die Zugangsdaten zum Banking-Account und zum Handy bekommt.
Bei dem fraglichen Opfer in Australien stellte sich heraus, dass gerade letzteres gar nicht unbedingt nötig ist, berichtete das australische 'SC Magazine'. Die Zugangsdaten zum Konto hatten die Angreifer bereits vorliegen - vermutlich ausgespäht von einem Trojaner auf dem Notebook des Unternehmers. Damit konnten sie zwar einsehen, wie hoch der Kontostand ist, aber noch keine Transaktion auslösen.
Sie riefen daher während seiner Arbeitszeit bei ihm zuhause an und gaben sich als Kunden aus, die ihren vermeintlichen Geschäftspartner dringend auf dem Handy erreichen müssten. Die Tochter gab daraufhin bereitwillig die Mobilfunknummer weiter. Weiterhin sammelten sie durch einen Anruf bei der Sekretärin noch einige andere Informationen, wobei sie sich als Mitarbeiter des Finanzamtes ausgaben.
Die Daten genügten ihnen nun, um beim Kundenservice der australischen Vodafone-Niederlassung eine Portierung der Rufnummer auf eine neue SIM-Karte anzustoßen. Sobald dieser Prozess nach Angabe einiger Prüf-Daten wie dem Geburtsdatum in nur 30 Minuten abgeschlossen war, räumten sie schnell umgerechnet rund 35.000 Euro von dem Konto des Geschäftsmannes. Dieser dürfte sich im ersten Moment höchstens darüber gewundert haben, dass ihn niemand mehr auf dem Handy anruft.
Die hohe Transaktion sorgte immerhin dafür, dass die Betrugsabteilung der Bank auf das Vorgehen aufmerksam wurde. Dieses rief kurzerhand das Handy des Kontoinhabers an, um zu überprüfen, ob alles seine Richtigkeit hatte. Als mehrere Kontaktversuche scheiterten, fror man das Konto kurzerhand ein und konnte so Schlimmeres verhindern.
Quelle: www.winfuture.de
-
Abhilfe genau dafür ist eigentlich gar nicht so schwer...
Schon seit einem Dutzend Jahre habe ich mehrere E-Mail-Konten, teils auch bei verschiedenen Providern, um einige Dinge streng voneinander getrennt halten zu können.
Und so gibt es auch welche dabei, die je nur einem einzigen Zweck dienen.
Warum nicht auch gegen sowas ähnlich vorgehen...
So könnte man nur für die Bankverbindung eine eigene Handynummer haben, die sonst niemand zu kennen braucht.
Dafür gibt es mehrere mögliche Wege, z.B. ein extra Handy, oder gleich ein Dual- / Multi-SIM Gerät, oder eine speziell eingerichtete SMS-Umleitungsfunktion, wie sie z.B. mittels einer intelligenten Telefonanlage realisiert werden könnte.
Wie immer gilt, was keiner weiß, kann auch keiner ausplaudern.
Dass Kontodaten nicht allgemein verbreitet gehören, es sei denn, man hat eine gute eigene Rechtsabteilung, dürfte inzwischen hinlänglich bekannt sein.
Dasselbe gilt aber eben auch für wichtige Telefonnummern, Handynummern und so weiter.
Zum Glück ist es heute nicht mehr schwer, zusätzliche Telefon- bzw. Handynummern zu bekommen.
Prepaid, oder vom DSL-Anbieter, wie auch immer.
Und die muss man dann ja nicht auch noch herumerzählen...
Jürgen
-
Und natürlich kann man jedes Verfahren mit entsprechendem Aufwand umgehen. Selbst das persönliche Abheben von Bargeld am Schalter mit Personalausweis-Kontrolle läßt sich laut Zeitungsberichten seit Jahren mit einer handelsüblichen Faustfeuerwaffe oder ähnlichem ganz problemlos "austricksen" ;) ;wusch
-
...aber genau darin liegt der eine oder andere feine Unterschied.
Finanziell geschädigt wird so sicherlich die Bank oder ihre Versicherung, nicht aber ein bestimmter Bankkunde.
Nur in sehr seltenen Fällen vergreifen sich Bankräuber auch noch an der Brieftasche eines Kunden.
Und eine eventuell mit Waffengewalt erzwungene Barabhebung vom Kundenkonto wäre jedenfalls durch ihn (oder seine Erben ::) ) widerrufbar.
-
Seit Februar 2013 bietet nun auch die Commerzbank photoTAN als neues TAN-Verfahren an, welches die 1822direkt bereits Ende 2012 in Deutschland eingeführt hatte. PhotoTAN sollen besser als iTAN vor Trojanern und Man-in-the-Browser-Attacken schützen. Außerdem kann das Verfahren den Banken Kosten sparen, da nicht wie bei der mTAN SMS verschickt werden müssen.
(http://www.heise.de/imgs/18/9/8/0/4/9/5/940f441122c71449.png)
Für die Commerzbank entwickelte die Firma Cronto die photoTAN. Mittels einer Smartphone-App oder eines photoTAN-Geräts scannen Kunden vor der Überweisung ein kryptographisches Bild, welches auf dem PC-Bildschirm angezeigt wird. Daraufhin generiert die App oder das Gerät eine TAN und zeigt auch an, für welche Überweisung diese gilt. So kann man prüfen, ob der Auftrag auf dem Weg zur Bank manipuliert wurde. Das Verfahren erinnert damit an das Auslesen von QR-Codes. App und TAN-Gerät benötigen für das Auslesen keine Internetverbindung. Die App muss allerdings vor dem ersten Gebrauch aktiviert werden.
Es ist zu vermuten, dass mit der Aktivierung eine Signierung des Smartphones und des TAN-Geräts einhergeht; Cronto und die Commerzbank lassen sich hier aber nicht in die Karten blicken. Würde dies nicht geschehen, könnte auch mit der App auf einem anderen Smartphone der Code beim Online-Banking ausgelesen werden. Eine Demo-Version der App kann unter CrontoSign.com ausprobiert werden.
Gegenüber den Finanznachrichten erläuterte Martin Zielke, Vorstandsmitglied der Commerzbank, dass die photoTAN "die höchsten Sicherheitsansprüche im Online- und Mobile-Banking" erfülle. An dem neuen TAN-Verfahren soll seit 2008 gearbeitet worden sein.
Quelle : www.heise.de
-
Sähe ich eine Seite wie die abgebildete, würde ich sofort panisch alles abbrechen.
So etwas schlecht gemachtes kennt man eigentlich nur von ost- oder südosteuropäischen Betrugsversuchen.
Etwas unreif scheint mir das, mal ganz vorsichtig formuliert...
Jürgen
-
Die Zwei-Faktor-Authentifizierung durch das mTAN-Verfahren gilt als sicher. Jede Überweisung wird durch eine per SMS auf das registrierte Handy übermittelte TAN autorisiert. Die SMS enthält Betrag und Zielkonto der Überweisung, für die die TAN gilt. Wer diese Daten prüft und für Online-Banking und SMS-Empfang nicht dasselbe Gerät nutzt, ist sicher – so die Theorie.
heise online liegen jedoch zwei aktuelle Fälle vor, in denen es Angreifern gelungen ist, die Sicherheitsvorkehrungen zu überwinden. Wie die PINs der Online-Banking-Zugänge in die Hände der Kriminellen gelangte, untersucht derzeit die Polizei. Die Vermutung liegt nahe, dass ein Trojaner oder Phishing zum Einsatz kam. Außerdem müssen sich die Täter die Mobilfunknummern und die Kundennummern der Opfer besorgt haben, eventuell aus einer gespeicherten Online-Rechnung.
Der ganze Artikel (http://www.heise.de/security/meldung/Angriffe-auf-mit-mTAN-geschuetzte-Konten-1928312.html)
Quelle : www.heise.de