Thema: Angriff auf TAN-Verfahren

[SiLæncer]

Die Postbank führt ein neues TAN-System gegen den Datenklau durch das so genannte Phishing ein. Von Montag an können die Kunden "indizierte Transaktionsnummern" (iTAN) nutzen. Bei einer Online-Überweisung gibt der Computer vor, welche TAN aus der Liste benutzt werden muss. Nur diese aktiviert dann die Transaktion. Betrüger hatten versucht, Kunden durch angebliche Bank-E-Mails eine TAN zu entlocken, um mit deren Hilfe dann das Konto zu plündern. Das Phishing über E-Mails, die aussehen, als kämen sie von der Bank des Kunden, hat sich in jüngster Zeit  massiv verstärkt .

Bisher bekamen Postbank-Kunden Listen mit 100 TANs, aus denen sie frei wählen konnten. In Zukunft werden sie bei einer Transaktion aufgefordert, eine bestimmt TAN aus der Liste zu nutzen. Die Gefahr, dass ein Phisher eine erbeutete TAN einsetzen kann, sinkt damit auf ein Prozent. Als zusätzliche Sicherheit können Postbankkunden nun eigene Höchstlimits für Überweisungen festlegen. Bislang hat nach Aussage der Postbank noch keiner ihrer Kunden Phishing-Schäden erlitten.

Quelle und Links : http://www.heise.de/newsticker/meldung/62558

[SiLæncer]

Kaum haben die ersten Banken das iTAN-Verfahren für einen besseren Schutz vor Phishing-Attacken eingeführt, gibt es einen ersten erfolgreichen Angriff einer Arbeitsgruppe der Ruhr-Universität Bochum – allerdings nur unter Laborbedingungen. Bei indizierten TANs fragt die Bank statt nach einer beliebigen TAN auf der Liste nach einer bestimmten TAN, beispielsweise der dreiundzwanzigsten. Allerdings ist für den Kunden nicht vorhersehbar, welche iTAN abgefragt wird. Zudem ist eine iTAN immer an eine bestimmte Transaktion gebunden. Auch wenn die Verbindung unterbrochen wird, kann der Auftrag nur mit dieser TAN zu Ende geführt werden.

Dass das iTAN-Verfahren doch unsicherer ist als von den Banken behauptet, beschrieb erstmals im August das RedTeam der RWTH Aachen in einem Artikel. Dazu muss der Angreifer in der Lage sein, die Kommunikation zwischen seinem Opfer und der Bank über sich umzuleiten und mitzulesen. Entweder hat er dazu das System des Opfers mit einem Trojaner infiziert oder er hat das Opfer per Phishing beziehungsweise Pharming auf eine Webseite gelockt, die eine echte Bankseite vorgaukelt. Genau diesen Fall stellte nun die Arbeitsgruppe Identitätsschutz im Internet e.V. der Uni Bochum in der Praxis nach und programmierte dazu ein Skript.

Meldet sich das Opfer mit seiner PIN auf der vermeintlich echten Seite an, so verwendet das Skript diese zum Login – allerdings bei der echten Bank. Das Skript stößt nun eine Überweisung über 1 Euro an und erhält von der Bank die Nachfrage nach der TAN xyz. Diese Anfrage schickt das Skript nun weiter an das Opfer. In der Annahme, die Nachfrage sei für eine Sicherheitsüberprüfung erforderlich, tippt das Opfer die gewünschte iTAN ein, mit der das Skript die Überweisung abschließen kann.

Der Aufwand für die benutzte Proof-of-Concept-Implementierung lag nach Angaben der Arbeitsgruppe bei etwa einem Personentag. Daher sei damit zu rechnen, dass die Angriffe kurz- bis mittelfristig in der Praxis zum Einsatz kommen werden. Allerdings weisen die Forscher explizit darauf, dass sowohl TAN als auch iTAN-Verfahren bei korrekter Überprüfung der SSL-Verbindung sicher sind. Allerdings hätten bisherige Phishing-Angriffe gezeigt, dass die Betroffenen den Schutzmechanismus SSL schlichtweg ignorieren oder einfach nicht verstehen.

Mit den verschiedenen TAN-Verfahren und der sicheren Alternative HBCI beschäftigt sich auch der Artikel "Nepper, Schlepper, Bauernfänger" in der c't-Ausgabe 22/05.

Siehe dazu auch:

    * iTAN-Verfahren unsicherer als von Banken behauptet Meldung auf heise Security
    * RUB-Arbeitsgruppe findet Sicherheitslücke im iTAN-Verfahren Pressemeldung der Ruhr-Universität Bochum


Quelle und Links : http://www.heise.de/security/news/meldung/66046

[SiLæncer]

HBCI-Standard bei der Postbank weiterhin ohne iTan-Unterstützung

Schon einmal ist eine Lücke im neuen iTan-Verfahren der Postbank entdeckt worden, doch Mitarbeiter der c't haben nun noch eine weitere Methode gefunden, das Sicherheits-Verfahren zu umgehen: Beim eigentlich sicheren HBCI-Überweisungsverfahren wird nämlich iTan bis dato gar nicht genutzt.

Anders als die erste bekannte Sicherheitslücke, die die Arbeitsgruppe "Identitätsschutz im Internet (AI3)" der Ruhr-Universität Bochum (RUB) herausfand, ist bei der neuerlichen Schwachstelle gar kein Man-in-the-Middle-Angriff notwendig. Der Betrüger müsste wie gehabt seinem Opfer PIN und TAN entwenden, in dem er mit den einschlägigen Phishing-Tricks arbeitet.

Die erbeuteten Nummernkombinationen müssen dann mit einer HBCI-fähigen Banking-Software und nicht wie sonst mit dem Onlinebanking-Web-Portal der Postbank zum Leerräumen des Kontos genutzt werden. Dies ist nur deshalb möglich, weil beim HBCI-Verfahren, das die Postbank einsetzt, nach Angaben der c't weder Kartenleser noch dazugehörige Chipkarte, sondern nur die Eingabe dieser beiden Zahlenkombinationen benötigt werden. Ausgerechnet das ansonsten sichere HBCI-Verfahren allerdings arbeitet nicht nach dem iTan-Verfahren, sondern wie gehabt mit einer beliebigen TAN.

c't rät deshalb Postbank-Kunden, ihr HBCI-Überweisungslimit auf 0,- Euro zu setzen. Erst im Frühjahr 2006 soll das bisherige HBCI-Verfahren auch iTAN unterstützen.

Beim iTan-Verfahren verlangt das Online-Banking-Webportal die Eingabe einer bestimmten TAN aus der TAN-Liste und akzeptiert nicht mehr eine aus beliebiger Position.

Quelle : www.golem.de

[Jürgen]

Auch auf heise.de: Hintertür im iTAN-Procedere der Postbank

c't berichtet in der Montag, den 28. November, erscheinenden Ausgabe 25/05, dass sich das von der Postbank als besonders sicher angepriesene iTAN-Verfahren noch leichter aushebeln lässt als bisher angenommen. Bei indizierten TANs fragt die Bank statt nach einer beliebigen TAN auf der Liste nach einer bestimmten TAN, die immer an eine bestimmte Transaktion gebunden ist. Bislang ließ sich das Verfahren nur durch Trojaner und Man-in-the-Middle-Attacken unter Laborbedingungen austricksen.
Anzeige

Bei einem Test von heise Security gelang es jedoch, Überweisungen mit jeder beliebigen TAN einer Liste durchzuführen – obwohl das iTAN-Verfahren aktiviert war. Der Trick: Die Postbank bietet als Alternative zum Webzugang das Homebanking Computer Interface (HBCI) mit dem unsicheren PIN/TAN-Verfahren an – auch HBCI+ genannt –, das nach wie vor beliebige TANs akzeptiert. Möglich ist dies auch deshalb, weil die Postbank nach der Abschaltung des BTX-Zugangs sämtliche Konten für HBCI+ freigeschaltet hat. Den meisten Kunden dürfte allerdings nicht klar sein, dass ihr Konto auch über diese Hintertür angreifbar ist.

Durch die Schwachstelle bei der Postbank muss ein Phisher, der PIN und eine TAN ergattert hat, lediglich eine Finanzsoftware installieren und Kontakt mit dem HBCI-Server aufbauen, um damit das Konto leerzuräumen.

Die Postbank bestätigte das Problem gegenüber heise Security: "Für eine Übergangszeit werden indizierte TAN und mobile TAN noch nicht über die HBCI-Schnittstelle geprüft. Dies liegt im bankeneinheitlichen Standard HBCI 2.2 begründet, der diese Neuerungen noch nicht vorsehen konnte. Im Interesse der Kunden kam für die Postbank eine Abschaltung der HBCI-Schnittstelle nach Einführung der iTAN für die Übergangszeit nicht in Frage", erklärte der Pressesprecher der Postbank Jürgen Ebert.

Man sei bereits dabei, den HBCI-Nachfolgestandard FinTS 3.0 zu implementieren, der auch iTAN und mTAN unterstütze, im kommenden Frühjahr soll es soweit sein. Kunden, die den HBCI-Zugang nicht nutzen, sollten bis dahin über den Webzugang das HBCI-Überweisunglimit auf 0 Euro setzen. Im Dezember will die Bank dies automatisch für derartige Konten nachholen.

Siehe dazu auch:

    * Hintertür im iTAN-Verfahren der Postbank, c't 25/05, S. 64 (ab Montag, den 28. 11., im Handel)
    * Mit den verschiedenen TAN-Verfahren und der sicheren Alternative HBCI mit Chipkarte beschäftigt sich auch der Artikel Nepper, Schlepper, Bauernfänger in c't 22/05. S. 148

. (dab/c't) Quelle und Links:
http://www.heise.de/newsticker/meldung/66652

[SiLæncer]

Update

Die Konten anderer Banken sind unter Umständen ebenfalls über HBCI mit PIN/TAN zugänglich, ohne dass der Kunde davon weiß. So schaltet etwa die Netbank automatisch den Zugang per HBCI frei, um Bankingsoftware zu unterstützen. Auch hier wird die iTAN nur für den Webzugang unterstützt, für Transaktionen mit der Finanzsoftware genügt eine beliebige TAN. Kunden sollten sich im Zweifel bei ihrer Bank erkundigen, ob ihr Konto schon für HBCI freigeschaltet wurde und gegebenenfalls ein Limit setzen. Solange Kunden ihre PIN und TAN nicht auf gefälschten Bank-Seiten eingeben besteht allerdings auch keine Möglichkeit, das Konto über HBCI+ leerzuräumen.

Quelle : www.heise.de

[SiLæncer]

Angesichts sich massiv häufender Beschwerden über Betrugsfälle beim Online-Banking hat die Verbraucherzentrale Nordrhein-Westfalen Alarm geschlagen. "Bei den Sicherheitsproblemen müssen wir uns fragen, ob man den Zahlungsverkehr via Internet überhaupt noch empfehlen kann." Das sagte Hartmut Strube, Finanzjurist bei der Verbraucherzentrale Nordrhein-Westfalen, auf Anfrage und bestätigte damit einen Bericht der "Neue Ruhr/Neue Rhein Zeitung" (Samstagsausgabe).

Es gebe eine massive Betrugswelle durch so genanntes Phishing, mit dem sich Hacker Zugriff auf Online-Konten verschaffen. Nach Erkenntnissen Strubes sind immer mehr osteuropäische Banden am Werk. "Wir beobachten hier eine enorme Dynamik, da hat sich eine echte Betrugsindustrie entwickelt", sagte der Finanzexperte.

Sven Kretzschmer von der Verbraucherzentrale Sachsen-Anhalt berichtete jedoch, dass sich auch geprellte Bankkunden melden, bei denen die Institute sich weigern, für die Schäden aufzukommen – oder nur eine minimale Beteiligung anbieten. Eine Praxis, die nach Auffassung Strubes in Zukunft spürbar zunehmen könnte.

Bislang scheine die Schadensregulierung auf Kulanzbasis für die Banken noch lohnend zu sein, weil sie das Online-Banking, das inzwischen rund ein Drittel der Deutschen betreiben, wegen der Kostenersparnis weiter ausbauen wollen. "Wird allerdings das Online-Banking eines Tages so verbreitet sein wie heute die EC-Karte, müssen wir damit rechnen, dass die Banken weit weniger kulant reagieren und es auf ein Beweislastverfahren ankommen lassen", warnte Strube. Juristisch sei die Sache nicht eindeutig. Verbraucher, die sich durch E-Mails von Betrügern auf gefälschte Internet-Seiten lotsen lassen und dort ihre Daten eingeben, könnte Fahrlässigkeit vorgeworfen werden.

Aufgeschreckt durch eine Welle von Phishing-Attacken in den vergangenen Wochen versuchten einige Institute inzwischen, ihre Sicherheitsvorkehrungen zu verbessern. Geldhäuser wie die Postbank oder die Sparkassen versorgen ihre Kunden mit so genannten ITANs. Die TAN-Zahlenkombinationen werden bei diesem Verfahren durchnummeriert und mit einer kurzen Gültigkeitsdauer versehen. Dabei sinkt zwar das Betrugsrisiko. Wissenschaftler der Uni Bochum hätten das neue System aber bereits geknackt.

Quelle und Links : http://www.heise.de/newsticker/meldung/68335

[SiLæncer]

Auch der Branchenriese Deutsche Bank stellt sein Online-Banking auf das indizierte -Transaktionsnummer-Verfahren (iTAN) um, das Phishing-Angriffe erschweren soll, meldet dpa. In den vergangenen Monaten hat die Bank die neuen iTAN-Listen an seine rund 2,6 Millionen Online-Kunden verschickt.

Im iTAN-Verfahren wird eine Transaktion nicht mehr durch eine beliebige, sondern eine zufällig aus der Liste vom Bank-Server angeforderte TAN – beispielsweise die sechsundvierzigste – bestätigt. Der gesamte Vorgang ist an die vorgegebene iTAN gebunden, selbst wenn er einmal unterbrochen wird. Dadurch sinke die Wahrscheinlichkeit, dass ein Phisher mit einer ergatterten TAN Unheil anrichten könne, auf 1:100 ab.

Jedoch ist auch das iTAN-Verfahren nicht per se sicher. So demonstrierte das RedTeam einen Man-In-The-Middle-Angriff, bei dem sie trotz der iTAN-Sicherung 3000 Euro von einem Postbank-Konto auf ein fremdes Konto überwiesen.

Quelle und Links : http://www.heise.de/newsticker/meldung/70003

[SiLæncer]

Mit einem Gütesiegel bestätigt die TÜV Rheinland Group der mTAN der Postbank eine "wirksame Absicherung der von außen zugänglichen technischen Systeme gegen unbefugte Nutzung". Die mobile Transaktionsnummer, kurz mTAN, bekommt der Bankkunde per SMS auf sein Handy geschickt und dient ihm einmalig zur Freigabe einer Online-Überweisung; und sie ist nur kurze Zeit gültig. Insofern schützt sie vor allem vor Phishing- und Farming-Angriffen.

Seit 2003 bietet die Postbank die mTAN im Privatkundenportal "Postbank direkt" an, seit August 2005 allgemein bundesweit. Zur Anmeldung muss man sich per Telefon-Banking, Fax oder Brief legimieren. Die SMS versendet die Postbank zum Selbstkostenpreis von 9 Cent.

Nachdem anfänglich nur die TAN in der SMS übermittelt wurde, ergänzte die Bank die SMS später durch die Angabe von Ziel-Kontonummer und Betrag. Wer diese Angaben sorgfältig überprüft kann ziemlich sicher sein, dass der Auftrag korrekt an die richtige Adresse geht.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Vier Fünftel aller Kreditinstitute erfüllen nicht die notwendigen Sicherheitsstandards beim Online-Banking. Bei einem Test erhielten gerade mal vier Institute die Note "gut".

Nur wenige Banken bieten ihren Kunden im Netz angemessene Sicherheitsstandards, wie eine Untersuchung des Fraunhofer Instituts im Auftrag des Magazins "Capital" ergab. Testsieger war die Deutsche Bank mit 25 von maximal 31 erreichbaren Punkten. Das Online-Angebot der Postbank erhielt 24 Punkte, das der Commerzbank 23 Punkte und der Berliner Volksbank 22 Punkte. Die drei Anbieter wurden ebenfalls mit "gut" bewertet. Ein "sehr gut" erreichte kein einziges Online-Banking-Angebot.

Bei 16 von 20 Banken stellte das Fraunhofer Institut für Sichere Informationstechnologie Mängel in punkto Technik und Informationsqualität fest. 40 Prozent der getesteten Banken erreichten nicht einmal die Hälfte der zu vergebenen Punktzahl. Die Onlineangebote von Cortal Consors, SEB und die Volkswagen Bank kamen sogar nur auf ein Drittel der möglichen Punkte und die Note "mangelhaft".

"Viele Institute lassen ihre Kunden mit den Gefahren allein", erklärte Testleiter Sven Türpe. "Die Kostenersparnis, die Geldhäuser dank Online-Banking erzielen, wird nicht vorrangig in neueste Technik investiert." Besonders kritisch sieht Türpe das klassische PIN/TAN-Verfahren, bei dem sich der Kunde mit einer Identifikationsnummer (PIN) und einer variablen Transaktionsnummer (TAN) auf der Internet-Seite der Bank identifiziert. Diese Methode bewertete er als "leicht angreifbar durch Phishing oder Trojaner".

Quelle : www.spiegel.de

[SiLæncer]

Angesichts immer ausgefeilterer Methoden von Internet-Betrügern hat der Bundesverband der Verbraucherzentralen (vzbv) die Banken aufgerufen, mehr für die Sicherheit von Online-Konten zu tun. "Die Banken sind gefordert, verständlichere und umsetzbare Systeme anzubieten", sagte vzbv-Bankenexperte Frank-Christian Pauli der Nachrichtenagentur AFP.
      
Phishing boomt

Besonders der Klau von Passwörtern - das so genannte Phishing - sei nach wie vor ein ernsthaftes Problem. Dabei senden Gauner fingierte Emails an Kunden von Banken oder Internet-Händlern und fordern sie auf, ihre Zugangsdaten über einen angehängten Link erneut zu bestätigen. Folgt der Kunde der Aufforderung, wird sein Konto geplündert.

Zum Schutz vor solchen Phishing-Attacken reiche die herkömmliche Identifizierung mit einer persönlichen PIN-Nummer und der Bestätigung einer Zahlung oder Überweisung mit einer so genannten Transaktionsnummer (TAN) längst nicht mehr aus, sagte Pauli. Diese Daten könnten Betrüger leicht ausspähen. "Es gibt Möglichkeiten, das sicherer zu machen." Dabei verwies Pauli auf Systeme wie HBCI: Dabei müssen Bankkunden ein Lesegerät zwischen Tastatur und PC anschließen und sich mittels Chipkarte beim Bankcomputer autorisieren. Viele Banken bieten diese Technik jedoch nicht an. Wenn doch, wird der Kunde für die Geräte zur Kasse gebeten.

Marktführer Deutsche Bank sieht sich beim Thema Sicherheit im Internet gut positioniert. "Wir bieten Kunden entsprechend ihrem Nutzungsverhalten Standards an, die als sicher gelten", sagt Deutsche-Bank-Sprecher Michael Lermer. Nach den Phishing-Attacken auf Kunden Ende letzten Jahres habe die Bank ihr System im Februar auf iTANs umgestellt. Anders als die herkömmlichen TANs sind iTANs durchnummeriert. Die Bank kann den Kunden so auffordern, eine Zahlung mit einer bestimmten TAN aus seiner Liste zu bestätigen und nicht einer willkürlichen. Dies mindert die Wahrscheinlichkeit von Missbrauch. "Seitdem hat es keinen erfolgreichen Phishing-Versuch mehr gegeben", sagt Lermer. Die Deutsche Bank bietet auch HBCI an.

Gut geschützt

Bei einem aktuellen Test des Wirtschaftsmagazins "Capital" (Heft 16/2006) zur Sicherheit von Online-Konten schnitt die Deutsche Bank von 20 Instituten am besten ab, dicht gefolgt von der Postbank und der Commerzbank. Allerdings kamen auch die drei Sieger über ein "gut" in der Gesamtwertung nicht hinaus. Das Fraunhofer Institut für Sichere Informationstechnologie begründete dies damit, dass die Banken ihren Kunden nicht genug Auswahl bei den verfügbaren Sicherheitssystemen gäben.

Was ist Phishing überhaupt?

Phishing setzt sich aus "password" und "fishing" zusammen, zu Deutsch "nach Passwörtern angeln". Phishing-Betrüger fälschen Emails und Internetseiten von Banken und Internethändlern und erschleichen sich Zugang zu geheimen Bankdaten. Damit räumen sie das Konto ihres Opfers leer.

Wie sieht ein Angriff aus?

In der Regel erhält das Opfer eine Email, in der es aufgefordert wird, seine Bankdaten neu einzugeben. Mit einem beigefügten Link wird der Verbraucher auf eine gefälschte Seite gelockt und muss dort neben der Kontonummer sein Passwort und TAN-Nummer eingeben. Als Grund wird etwa eine Software-Aktualisierung oder ein Sicherheits-Check vorgetäuscht. Die Mails sehen täuschend echt aus: Die Betrüger fälschen Firmenlogos und Internetadressen perfekt.

Wer ist von Phishing betroffen?

Ziel solcher Angriffe wurden in Deutschland unter anderem Kunden der Deutschen Bank, der Sparkassen und der Volksbanken Raiffeisenbanken. Im Visier der Betrüger sind aber auch Nutzer von Internet-Auktionshäusern wie eBay und von Internet-Zahlsystemen wie PayPal.

Wie kann ich mich schützen?

Verbraucher sollten grundsätzlich nie persönliche Zugangs- oder Kontodaten herausgeben, wenn sie per Email dazu aufgefordert werden. Keine Bank versendet solche Mails. Das Bundeskriminalamt rät, keinesfalls auf den enthaltenen Link zu klicken. Bankkunden sollten Internet-Adressen immer selbst in den Browser tippen. Niemals sollten Verbraucher für Online-Banking oder Auktionen öffentliche PCs nutzen, etwa im Internet-Café. Die neueste Anti-Viren-Software auf dem heimischen Computer sollte ohnehin selbstverständlich sein.

Wer ersetzt den Schaden?

Rechtlich ist Phishing eine Grauzone. Banken berufen sich nach Angaben von Verbraucherschützern häufig darauf, dass Kunden mit ihren PIN- und TAN-Nummern nicht fahrlässig umgehen dürfen und weigern sich zunächst, den Schaden zu ersetzen. Viele Institute lenken dann aber doch ein, wenn die Täuschung raffiniert war und der Kunde beharrlich bleibt.

Gibt es hundertprozentigen Schutz?

Leider nicht. Kriminelle nutzen immer ausgefeiltere Methoden, um an Bankdaten zu kommen. Neuerdings schalten Kriminelle Bankseiten auch für den Kunden nicht erkennbare Masken vor, in die er seine Zugangsdaten eingegeben soll. "Der Schutz ist schwierig geworden", sagt Bank-Experte Frank-Christian Pauli vom Bundesverband der Verbraucherzentralen. Am meisten helfe noch gesundes Misstrauen.

Quelle : www.onlinekosten.de

[SiLæncer]

Die Sicherheit des PIN/TAN-Verfahrens hängt davon ab, dass sich TANs nicht erraten lassen. Die Citibank macht es Betrügern dabei möglicherweise einfacher als nötig. So ergab eine Analyse einiger TAN-Listen durch den Sicherheitsspezialisten Felix Lindner von Sabre Labs, dass die TANs der Citibank eine Systematik aufweisen, die es Angreifer unter Umständen erleichtert, anhand benutzter, ungültiger TANs weitere TANs vorauszusagen. Die Transaktionsnummern sind in aufsteigender Folge sortiert, wobei die Differenzen aufeinander folgender TANs nicht besonders groß sind und sich zudem häufen. Gelangt etwa ein Phisher an eine Serie benutzter TANs, so könnte er mit einer sehr viel höheren Wahrscheinlichkeit als durch reines Raten eine gültige TAN für eine Überweisung berechnen. Die genauere Analyse der TAN-Listen beschreibt der Artikel "Citibank würfelt nicht" auf heise Security.

Die Citibank hält ihr Verfahren indes für sicher. Es sei ausgeschlossen, dass sich eine TAN aus einer anderen TAN errechnen lässt, erklärte Rüdiger Stahlschmidt, Pressesprecher der Citibank gegenüber heise Security. Die aufsteigende Folge würde sich daduch erklären, dass als Zufallskomponenten die Zeit in den Prozess der Generierung von TANs eingehe. Schließlich nehme die Zeit als Zufallsgröße während des Prozesses der Generierung zu. Dabei würde jede TAN unabhängig von den vorigen ermittelt. "Da hierbei fortlaufend sich ändernde Zeitpunkte einfließen, ist die Generierung der TANs letzten Endes zufällig.", erklärte Stahlschmidt. Gleichwohl schreibt er:"Die statistischen Häufungen von gleichen Differenzen zwischen einzelnen TANs sind zufällig und somit je nach TAN-Liste verschieden. Etwaige gewonnene Erkenntnisse über Abstände zwischen einzelnen TANs aus einer TAN-Liste lassen sich somit nicht auf eine andere TAN-Liste übertragen. Insofern ist das von Citibank angewandte Zufallskomponenten-Verfahren sicher."

Das sieht selbst das Bundesamt für Sicherheit in der Informationstechnik (BSI) anders. "Eine TAN-Liste, die eine Systematik bei aufeinanderfolgenden TANs aufweist, und die den theoretischen Wertebereich nicht vollständig ausnutzt, schwächt die Sicherheit des PIN/TAN-Verfahrens.", erkärt Matthias Gärtner, Pressesprecher des BSI, auf Nachfrage von heise Security. Die Sicherheit eines PIN/TAN-Verfahrens basiere insbesondere darauf, dass die Wahrscheinlichkeit für eine erfolgreiche Vorhersage gültiger TANs möglichst klein ist.

Quelle : www.heise.de

[SiLæncer]

Die Citibank hat angekündigt, für die Generierung der TANs ab sofort einen Zufallsgenerator zu verwenden. Die in den vergebenen TAN-Listen aufgeführten Nummer sollen damit zufällig sein, erklärte Rüdiger Stahlschmidt, Pressesprecher der Citibank in einer Mitteilung an heise Security. Anfang Oktober hatte ein auf heise Security veröffentlichter Artikel von Felix "FX" Lindner bemängelt, dass die TANs der Citibank eine Systematik aufweisen, die es Angreifern unter Umständen erleichtert, anhand benutzter, ungültiger TANs weitere TANs vorauszusagen. Unter anderem waren die TANs in aufsteigender Reihenfolge mit einer relativ geringen Differenz zur vorhergehenden TANs aufgelistet.

Mit einer Serie benutzter TANs hätte ein Angreifer mit einer sehr viel höheren Wahrscheinlichkeit als durch reines Raten eine gültige TAN für eine Überweisung berechnen können. In einer Stellungnahme erklärte Stahlschmidt damals, die aufsteigende Folge würde sich daduch erklären, dass als Zufallskomponenten die Zeit in den Prozess der Generierung von TANs eingehe. Da sich dabei die Zeitpunkte ständig ändern würde, sei die Generierung der TANs letzten Endes zufällig und das Verfahren sicher.

Offenbar war die Citibank sich aber doch nicht ganz so sicher und führte daraufhin den Zufallsgenerator ein. Nach Aussage von Stahlschmidt, sei dies aber ohnehin geplant gewesen. Ansonsten bleiben die TAN-Listen wie bisher: 200 sechsstellige Nummern.

Siehe dazu auch:

    * Citibank würfelt nicht, Hintergrundartikel auf heise Security

Quelle und Links : http://www.heise.de/security/news/meldung/80079

[SiLæncer]

Kunden der Volksbanken und Raiffeisenbanken sollen zukünftig ihre Bankgeschäfte online noch sicherer durchführen können: Durch die Einführung der mobilen TAN per SMS aufs Handy (mTAN) sollen Phisher so gut wie keine Chance mehr haben, an eine gültige Transaktionsnummer für ihre betrügerischen Zwecke zu gelangen. Die mTAN gilt nur für eine gerade angestoßene Transaktion kann somit nicht zweckentfremdet werden. Zusätzlich werden in der SMS die Empfängerkontonummer und der Betrag genannt. Prüft der Kunde die Angaben sorgfältig, sollte ein Betrug nicht mehr möglich sein.

Mitte des Jahres befand auch die TÜV Rheinland Group das schon von der Postbank seit längerem eingesetzte mTAN-Verfahren als eine "wirksame Absicherung der von außen zugänglichen technischen Systeme gegen unbefugte Nutzung" und vergab ein Gütesiegel. Ob ein Kunde der Volksbanken und Raiffeisenbanken wirklich in den Genuss der mTAN kommen kann, hängt von der jeweiligen Filiale ab. Die IT-Dienstleister der Banken Fiducia und GAD haben den Pilotbetrieb des neuen Verfahrens abgeschlossen und wollen die Technik nun in der Breite zur Verfügung stellen. Allerdings hängt es letztlich von der Filiale ab, ob sie ihren Kunden das sicherere Verfahren auch anbietet.

Siehe dazu auch:

    * Die neue mobileTAN kommt per SMS aufs Handy, Mitteilung von Fiducia

Quelle und Links : http://www.heise.de/security/news/meldung/81301

[SiLæncer]

Wenn Sicherheitsexperten tagen, dann drohen düstere Szenarien. Wer sich vorwiegend mit Bedrohungen durch Schadsoftware, Phishing-Attacken und Kreditkartenbetrug auseinandersetzt, ist entsprechend sensibilisiert. Der Benutzer mag keine Passwörter, der Sicherheitsexperte mag keine Benutzer.

Thorsten Holz, wissenschaftlicher Mitarbeiter an der Uni Mannheim, sammelt im Rahmen des Honeynet Project Schadsoftware, so genannte Malware. Mit beachtlichem Erfolg, denn binnen vier Monaten lockte ein einziger Rechner mit Nepenthes immerhin 50 Millionen Exemplare an. Ohne die Duplikate waren es immer noch 14.414 verschiedene Schadprogramme, die rund 1000 verschiedenen Botnets zuzuordnen sind. Die große Zahl der eingesammelten Schädlinge ruft nach einer automatischen Untersuchung, die von CWSandbox geleistet werden soll. Diese mit einem CAST Förderpreis 2006 ausgezeichnete Software testet Die Probanden in einer virtuellen Umgebung und erstellt eine Analyse im XML-Format. In der aktuellen Betaversion kann man verdächtige Binaries auf den Server laden und erhält die Auswertung dann per E-Mail.

Erschreckend ist, dass selbst tagesaktuelle Antiviren-Software nur zwischen 78 und 90 Prozent der von Nepenthes eingesammelten Schadprogramme erkennt. Bei der Ernte des aktuellen Tages, immerhin 460 Exemplare, sieht es noch schlechter aus. Hier liegt die Erkennung bei nur 73 bis 84 Prozent. Entsprechend düster waren auch die Szenarien, die Michael Mehrhoff vom Bundesamt für Sicherheit in der Informationstechnik in seinem Vortrag über die gezielte Spionage mit Trojanischen Pferden präsentierte. Während das Internet vor sechs Jahren noch einem Goldfischteich geglichen habe, müsse man heute von einem Haifischbecken sprechen: Erkannte Schwachstellen nähmen zu, die Anzahl der Schadprogramme steige bei beschleunigtem Entwicklungstempo. Das kritische Zeitfenster zwischen der Entdeckung einer Schachstelle und der Bereitstellung einer Gegenmaßnahme werde verstärkt ausgenutzt, die Opfer würden dabei gezielt angegriffen für Spionage, Sabotage und Erpressung.

Während früher nur aktive Inhalte, ausführbare Dateien und Makros verdächtig waren, sind heute alle Daten außer einfachem Text geeignet, Rechner zu infizieren. Insbesondere Dateien der Microsoft-Programme Word und Powerpoint würden laut Mehrhoff für die Verbreitung trojanische Pferde eingesetzt. Antivirenprogramme und Firewalls seien als Schutz nicht mehr ausreichend. Ein gezielter Angriff eines Nachrichtendienstes sei praktisch nicht erkennbar, insbesondere weil das begleitende Social Engineering perfekt sei. Man müsse damit rechnen, die Spionagesoftware verdeckt aus einer vertrauten Quelle zu erhalten. Die Bedrohungslage ist laut Mehrhoff so ernst, dass man den technischen Fortschritt nicht mehr so nutzen könne, wie das bisher getan getan wurde. Zur Sensibilisierung von Entscheidungsträgern und der Vorstellung von wirksamen Sicherheitsmaßnahmen hat das BSI einen "Trojaner-Leitfaden" erstellt, der nach Prüfung im Innenministerium auf der Webseite des BSI veröffentlicht werden soll.

Sven Türpe vom Fraunhofer Institut für sichere Informationstechnologie beschäftigte sich mit der Frage, wie eine sichere Kommunikation zwischen Nutzer und Bank trotz unsicherem Endgerät und Benutzerfehlern zustande kommen kann. Theoretisch sind die Problem durch SSL und HBCI/FinTS gelöst. Dieser Ansatz setzt aber voraus, dass der Anwender SSL-Zertifikate und Daten auf dem Display eines Kartenlesers jedesmal prüft. Indexierte TANs (iTAN) oder TAN-Generatoren sind laut Türpe bei Echtzeit-Angriffen mit Man-in-the-middle-Attacken unwirksam. Eine Übermittlung der TAN über einen getrennten Kanal, etwas als SMS auf eine vorher registriertes Handy dagegen macht Massenangriffe schwierig. Der Server berechnet eine nur kurzzeitig gültige TAN und überträgt sie zusammen mit den Transaktionsdaten an das Mobiltelefon des Benutzers, der dann die TAN auf dem PC wieder eingibt. Diese mTAN genannte Lösung setzt jedoch ein betriebsbereites Handy voraus und kann durch lange SMS-Laufzeiten gestört werden.

Auch der Kreditkartenbetrug macht den Anbietern zunehmend Sorgen. Bernd-Ludwig Müller, Risk & Security Manager bei ConCardis zieht das Fazit: "Solange es die Zahlungsmittel gibt, wird ein Mensch den anderen betrügen." Neben Einzeltätern sieht sich die Branche vor allem mit organisierter Kriminalität konfrontiert. Müller spricht von technisch hochgerüsteten und flexiblen Banden, die international tätig sind. Die Daten von Kreditkarten werden bei leichfertigen Anwendern, durch Skimming von Magnetstreifen, Kontoauszüge in Papiertonnen ("Dumpster Diving) und durch Berechnung mit Hilfe von Crack-Programmen wie Credit-Master oder Creditwizard sowie simplem Datenklau gewonnen. Kompromittierte Karteninformationen werden nicht nur am Bahnhof, sondern auch über ständig wechselnde Webseiten en gros verkauft. Der Missbrauch der Kreditkarten ist laut Müller relativ leicht von Händlern erkennbar. Typische Merkmale seien große atypische Bestellmengen, viele Bestellungen in sehr kurzer Zeit, zu atypischen Uhrzeiten, von Waren, die im Empfängerland eigentlich billiger sind. Wenn Waren- und Versandkosten keine Rolle spielen, oder wenn etwa eine Kreditkarte aus USA für eine Lieferung nach Singapur mit einer Absenderadresse eines Freemailers zusammen aufträten, dann müsse man von einem Missbrauch ausgehen. Die Geschädigten solcher Transaktionen seien vor allem die Händler, die sich von einem schnellen Geschäft locken lassen würden. Durch Rückbelastungen würden sie am Ende auf dem Schaden sitzen bleiben, während die ergaunerte Ware über Versteigerungsplattformen verkauft werde.

Alle Vortragende waren sich darüber einig, dass gutgläubige Menschen das schwächste Glied in der Sicherheitskette darstellen. Dies betrifft sowohl Händler, Phishing-Opfer als auch Finanzagenten, die Geld von ihrem Konto abheben und per Western Union versenden. Social Engineering bleibt die effektivste Angriffsstrategie.

Quelle und Links : http://www.heise.de/newsticker/meldung/82576

[SiLæncer]

Onlinebanking ist heute bei den meisten Banken selbstverständlich. Ebenso selbstverständlich sollte es sein, dass die Banken ihren Kunden dafür sichere Verfahren zur Verfügung stellen.

Leider sieht das in der Realität noch anders aus: Im aktuellen Test von FINANZtest bieten nur 14 von insgesamt 20 überprüften Banken ausreichend sichere Verfahren für das Onlinebanking an. Bei den anderen sind die Bankgeschäfte per Internet nur eingeschränkt beziehungsweise nach dem heutigen Stand der Technik gar nicht sicher. Grund dafür: Sie bieten meist nur einfache Pin-Tan-Verfahren an, die nicht mehr dem derzeitigen Sicherheitsstandard entsprechen. FINANZtest sagt, welche Verfahren heute als besonders sicher gelten, welche Banken ihren Kunden sicheres Onlinebanking ermöglichen und was Kunden dabei generell beachten sollten.

Einfache Pin-Tan-Verfahren reichen nicht

Die schlechte Nachricht zuerst: Noch immer gibt es Banken, die nur das einfache Pin-Tan-Verfahren anbieten. Dafür müssen sich Kunden mit einer persönlichen Identifikationsnummer (Pin) legitimieren und jeden einzelnen Auftrag mit einer Transaktionsnummer (Tan) bestätigen. Die Tan entnehmen Kunden einer Liste, die sie von ihrer Bank bekommen. Jede Tan kann nur einmal benutzt werden. Sie ist aber nicht an einen bestimmten Auftrag gebunden. Betrüger können daher mit einer gestohlenen Transaktionsnummer Geld auf ein fremdes Konto überweisen. Für Onlinekunden von Citibank und readybank ist dies besonders fatal: Beide Banken bieten nur dieses unsichere Verfahren für Onlinebanking an. Transaktionen per Internet sind bei beiden Banken also alles andere als sicher. Ein wenig besser, aber aus heutiger Sicht nur eingeschränkt sicher ist das iTan-Verfahren. Hier gibt die bank vor, mit welcher Tan von der Liste eine Überweisung freigegeben wird. Betrüger müssten mehrere Tan erbeuten, damit die Richtige dabei ist.

Höchst möglicher Sicherheitsstandard

Derzeit ist das Home Banking Computer Interface (HBCI) das sicherste Verfahren für Onlinebanking. Es stellt sicher, dass die Daten unverändert dort ankommen, wo sie hinsollen und dass kein Fremder die Daten anzapfen kann. Im Test bieten zehn von 20 Banken dieses Verfahren an. Obwohl es derzeit das sicherste Verfahren ist, greift ein Großteil der Kunden lieber auf andere Methoden zurück. Grund: Es ist recht umständlich. Um HBCI nutzen zu können, benötigen Kunden eine Diskette oder Chipkarte sowie ein Lesegerät. Sie können Bankgeschäfte mittels HBCI dann nur von dem Rechner aus durchführen, an den das entsprechende Lesegerät angeschlossen ist.

Verbesserter Schutz

Mittlerweile gibt es aber auch verbesserte Pin-Tan-Verfahren, mit denen Onlinebanking sicher ist. Dazu gehören eTan, eTan Plus und mTan. Bei letzterer sendet die Bank die Transaktionsnummern auf das Handy des Kunden. Beim eTan-Verfahren erhält der Kunde dagegen von der Bank eine Pin und ein elektronisches Gerät. Dieser Tan-Generator ist nicht viel größer als ein kleiner Taschenrechner. Er generiert für jeden Auftrag eine Tan. Da diese speziell für einen bestimmten Auftrag erzeugt wird, können Betrüger sie nicht einfach stehlen. Bankkunden sind also auch mit den erweiterten Pin-Tan-Verfahren vor Datenklau sicher. Zumindest eine Weile. Denn auch Internetbetrüger entwickeln immer ausgeklügeltere Trickmethoden. Wer online seine Bankgeschäfte abwickeln möchte, sollte sich daher immer über neue sichere Verfahren informieren.

Sorgfältig handeln

Trotz aller Vorsichtsmaßnahmen kann es Bankkunden passieren, dass es Betrügern gelingt, ihr Onlinekonto leerzuräumen. Nicht immer haftet dann die Bank. Sie verlangt, dass ihre Kunden die Sorgfaltspflichten einhalten, um Schäden möglichst zu vermeiden. Was Banken darunter verstehen, steht in ihren Allgemeinen Geschäfts- und Sonderbedingungen. Solange sich Kunden daran halten, müssen sie bei einem Schaden nicht haften. Viele Banken verlangen zum Beispiel, dass Kunden Pin und Tan nicht elektronisch speichern oder in anderer Form notieren. Ebenso sollen Kunde ihre Tan-Liste sicher verwahren und bei der Eingabe sicherstellen, dass Dritte sie nicht ausspähen können. Diese Forderungen von Banken sind akzeptabel. Im Test gab es aber auch Sorgfaltspflichten, die für Kunden kaum zumutbar sind - etwa wenn sie Aufgaben übernehmen sollen, die für technische Laien kaum verständlich oder ausführbar sind. Negatives Beispiel ist hier wieder die Citibank: Kunden müssen beim Erscheinen des Begrüßungsbildschirms prüfen, ob die Onlineadresse auch stimmt. Doch Betrüger können in der kurzen Zeit die Webadresse schon so gestalten, dass Laien Original und Fälschung nicht unterscheiden können.

Quelle : www.spiegel.de