unsere besten emails
Registrierung
Teammitglieder
Zur Startseite
Mitgliederliste
Suche
Kalender
Häufig gestellte Fragen
Zum Portal

Dedies-Board » Sicherheit » Sicherheitsnews » Sicherheitsnews-Archiv » Erfolgreicher Angriff auf iTAN-Verfahren » Hallo Gast [Anmelden|Registrieren]
Letzter Beitrag | Erster ungelesener Beitrag Druckvorschau | An Freund senden | Thema zu Favoriten hinzufügen
Neues Thema erstellen Antwort erstellen
Zum Ende der Seite springen Erfolgreicher Angriff auf iTAN-Verfahren
Autor
Beitrag « Vorheriges Thema | Nächstes Thema »

dedie dedie ist männlich
Administrator


images/avatars/avatar-188.jpg

Dabei seit: 04.03.2005
Beiträge: 2.952

Level: 54 [?]
Erfahrungspunkte: 20.716.872
Nächster Level: 22.308.442
1.591.570 Erfahrungspunkt(e) für den nächsten Levelanstieg

Update Erfolgreicher Angriff auf iTAN-Verfahren Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden   Zum Anfang der Seite springen
Kaum haben die ersten Banken das iTAN-Verfahren für einen besseren Schutz vor Phishing-Attacken eingeführt, gibt es einen ersten erfolgreichen Angriff einer Arbeitsgruppe der Ruhr-Universität Bochum – allerdings nur unter Laborbedingungen. Bei indizierten TANs fragt die Bank statt nach einer beliebigen TAN auf der Liste nach einer bestimmten TAN, beispielsweise der dreiundzwanzigsten. Allerdings ist für den Kunden nicht vorhersehbar, welche iTAN abgefragt wird. Zudem ist eine iTAN immer an eine bestimmte Transaktion gebunden. Auch wenn die Verbindung unterbrochen wird, kann der Auftrag nur mit dieser TAN zu Ende geführt werden.

Dass das iTAN-Verfahren doch unsicherer ist als von den Banken behauptet, beschrieb erstmals im August das RedTeam der RWTH Aachen in einem Artikel. Dazu muss der Angreifer in der Lage sein, die Kommunikation zwischen seinem Opfer und der Bank über sich umzuleiten und mitzulesen. Entweder hat er dazu das System des Opfers mit einem Trojaner infiziert oder er hat das Opfer per Phishing beziehungsweise Pharming auf eine Webseite gelockt, die eine echte Bankseite vorgaukelt. Genau diesen Fall stellte nun die Arbeitsgruppe Identitätsschutz im Internet e.V. der Uni Bochum in der Praxis nach und programmierte dazu ein Skript.

Meldet sich das Opfer mit seiner PIN auf der vermeintlich echten Seite an, so verwendet das Skript diese zum Login – allerdings bei der echten Bank. Das Skript stößt nun eine Überweisung über 1 Euro an und erhält von der Bank die Nachfrage nach der TAN xyz. Diese Anfrage schickt das Skript nun weiter an das Opfer. In der Annahme, die Nachfrage sei für eine Sicherheitsüberprüfung erforderlich, tippt das Opfer die gewünschte iTAN ein, mit der das Skript die Überweisung abschließen kann.

Der Aufwand für die benutzte Proof-of-Concept-Implementierung lag nach Angaben der Arbeitsgruppe bei etwa einem Personentag. Daher sei damit zu rechnen, dass die Angriffe kurz- bis mittelfristig in der Praxis zum Einsatz kommen werden. Allerdings weisen die Forscher explizit darauf, dass sowohl TAN als auch iTAN-Verfahren bei korrekter Überprüfung der SSL-Verbindung sicher sind. Allerdings hätten bisherige Phishing-Angriffe gezeigt, dass die Betroffenen den Schutzmechanismus SSL schlichtweg ignorieren oder einfach nicht verstehen.

QUELLE


__________________
Die Windows Systemwiederherstellung ist und war noch NIE ein geeignetes Mittel um einen Virus / Trojaner wieder los zu kriegen Augen rollen
11.11.2005 13:51 dedie ist offline E-Mail an dedie senden Homepage von dedie Beiträge von dedie suchen Nehmen Sie dedie in Ihre Freundesliste auf Fügen Sie dedie in Ihre Kontaktliste ein Jabber Screennamen von dedie: dedie@jabber.ccc.de

dedie dedie ist männlich
Administrator


images/avatars/avatar-188.jpg

Dabei seit: 04.03.2005
Beiträge: 2.952

Level: 54 [?]
Erfahrungspunkte: 20.716.872
Nächster Level: 22.308.442
1.591.570 Erfahrungspunkt(e) für den nächsten Levelanstieg

Themenstarter Thema begonnen von dedie
Update Hintertür im iTAN-Procedere der Postbank Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden   Zum Anfang der Seite springen
c't berichtet in der Montag, den 28. November, erscheinenden Ausgabe 25/05, dass sich das von der Postbank als besonders sicher angepriesene iTAN-Verfahren noch leichter aushebeln lässt als bisher angenommen. Bei indizierten TANs fragt die Bank statt nach einer beliebigen TAN auf der Liste nach einer bestimmten TAN, die immer an eine bestimmte Transaktion gebunden ist. Bislang ließ sich das Verfahren nur durch Trojaner und Man-in-the-Middle-Attacken unter Laborbedingungen austricksen.

Bei einem Test von heise Security gelang es jedoch, Überweisungen mit jeder beliebigen TAN einer Liste durchzuführen – obwohl das iTAN-Verfahren aktiviert war. Der Trick: Die Postbank bietet als Alternative zum Webzugang das Homebanking Computer Interface (HBCI) mit dem unsicheren PIN/TAN-Verfahren an – auch HBCI+ genannt –, das nach wie vor beliebige TANs akzeptiert. Möglich ist dies auch deshalb, weil die Postbank nach der Abschaltung des BTX-Zugangs sämtliche Konten für HBCI+ freigeschaltet hat. Den meisten Kunden dürfte allerdings nicht klar sein, dass ihr Konto auch über diese Hintertür angreifbar ist.

Durch die Schwachstelle bei der Postbank muss ein Phisher, der PIN und eine TAN ergattert hat, lediglich eine Finanzsoftware installieren und Kontakt mit dem HBCI-Server aufbauen, um damit das Konto leerzuräumen.

Die Postbank bestätigte das Problem gegenüber heise Security: "Für eine Übergangszeit werden indizierte TAN und mobile TAN noch nicht über die HBCI-Schnittstelle geprüft. Dies liegt im bankeneinheitlichen Standard HBCI 2.2 begründet, der diese Neuerungen noch nicht vorsehen konnte. Im Interesse der Kunden kam für die Postbank eine Abschaltung der HBCI-Schnittstelle nach Einführung der iTAN für die Übergangszeit nicht in Frage", erklärte der Pressesprecher der Postbank Jürgen Ebert.

Man sei bereits dabei, den HBCI-Nachfolgestandard FinTS 3.0 zu implementieren, der auch iTAN und mTAN unterstütze, im kommenden Frühjahr soll es soweit sein. Kunden, die den HBCI-Zugang nicht nutzen, sollten bis dahin über den Webzugang das HBCI-Überweisunglimit auf 0 Euro setzen. Im Dezember will die Bank dies automatisch für derartige Konten nachholen.

EDIT:

Update


Die Konten anderer Banken sind unter Umständen ebenfalls über HBCI mit PIN/TAN zugänglich, ohne dass der Kunde davon weiß. So schaltet etwa die Netbank automatisch den Zugang per HBCI frei, um Bankingsoftware zu unterstützen. Auch hier wird die iTAN nur für den Webzugang unterstützt, für Transaktionen mit der Finanzsoftware genügt eine beliebige TAN. Kunden sollten sich im Zweifel bei ihrer Bank erkundigen, ob ihr Konto schon für HBCI freigeschaltet wurde und gegebenenfalls ein Limit setzen. Solange Kunden ihre PIN und TAN nicht auf gefälschten Bank-Seiten eingeben besteht allerdings auch keine Möglichkeit, das Konto über HBCI+ leerzuräumen.



QUELLE


__________________
Die Windows Systemwiederherstellung ist und war noch NIE ein geeignetes Mittel um einen Virus / Trojaner wieder los zu kriegen Augen rollen
26.11.2005 15:06 dedie ist offline E-Mail an dedie senden Homepage von dedie Beiträge von dedie suchen Nehmen Sie dedie in Ihre Freundesliste auf Fügen Sie dedie in Ihre Kontaktliste ein Jabber Screennamen von dedie: dedie@jabber.ccc.de

Vimes Vimes ist männlich
Super Moderator


images/avatars/avatar-14.jpg

Dabei seit: 27.03.2005
Beiträge: 1.316

Level: 49 [?]
Erfahrungspunkte: 9.205.462
Nächster Level: 10.000.000
794.538 Erfahrungspunkt(e) für den nächsten Levelanstieg

RE: Hintertür im iTAN-Procedere der Postbank Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden   Zum Anfang der Seite springen
Zitat:
Original von dedie
Solange Kunden ihre PIN und TAN nicht auf gefälschten Bank-Seiten eingeben besteht allerdings auch keine Möglichkeit, das Konto über HBCI+ leerzuräumen.


Dann ist auch das klassische PIN/TAN-Verfahren nicht unsicher.

Auf einem verseuchten Rechner nützt auch HBCI mit Kartenleser nichts mehr, wenn der Verschmutzer genügend Energie aufgebracht hatte, seinen Job gut zu machen.

MfG
Vimes


__________________
1. Kor 3,11: "Einen anderen Grund kann niemand legen als den, der gelegt ist, welcher ist Jesus Christus."
gnupg-Key-ID: 7C6A8303; Fingerprint: 9D29 C76C 4C7E 4A5C 8915 8686 49DE 7906 7C6A 8303
26.11.2005 15:09 Vimes ist offline E-Mail an Vimes senden Beiträge von Vimes suchen Nehmen Sie Vimes in Ihre Freundesliste auf Fügen Sie Vimes in Ihre Kontaktliste ein YIM-Name von Vimes: jesusrettet
Baumstruktur | Brettstruktur
Gehe zu:
Neues Thema erstellen Antwort erstellen
Dedies-Board » Sicherheit » Sicherheitsnews » Sicherheitsnews-Archiv » Erfolgreicher Angriff auf iTAN-Verfahren

Impressum|Boardregeln


secure-graphic.de
Board Blocks: 368.799 | Spy-/Malware: 5.599 | Bad Bot: 1.542 | Flooder: 281.746 | httpbl: 6.555
CT Security System 10.1.7 © 2006-2024 Security & GraphicArt

Ja, auch Dedies-Board verwendet Cookies. Hier erfahrt ihr alles zum Datenschutz
Verstanden;

Nach oben