Kriminelle kapern Online-Banking: Auch iTan schützt vor Phishing nicht
Eigentlich galt das iTAN-Verfahren, bei dem Online-Banking mit einer speziellen Nummer geschützt wird, als sicher. Die Polizei warnt nun, dass auch das nicht immer vor Diebstahl schützt.
Ganz sicher ist nur der Gang in die Filiale. Bild: ap
BERLIN taz | Phishing-Angriffe auf Internet-Banking-Zugänge, bei denen Online-Gangster massenweise versuchten, unbedarfte Nutzer zur Eingabe ihrer Kontodaten zu bringen, galten bislang zumindest in Deutschland als weitgehend entschärft. Hilfsmittel war dabei das so genannte "iTAN"-Verfahren, bei dem eine besondere, eben "indizierte" Transaktionsnummer für jede Überweisung notwendig war. Die Idee dabei: Selbst wenn ein Opfer Internet-Gaunern seine Kontonummer, sein Passwort und eine der für Kontobewegungen notwendigen Transaktionsnummern nannte, half das letztlich wenig, Die Bank forderte nämlich für jede Überweisung stets eine bestimmte iTAN an, gekennzeichnet ("indiziert") mit einer Nummer. Und dass ein Opfer tatsächlich alle seine Transaktionsnummern an einen Betrüger geben würde, galt selbst im Fall von Online-Neulingen als höchst unwahrscheinlich. Doch das bei nahezu allen deutschen Banken inzwischen eingeführte iTAN-Verfahren scheint eine Schwachstelle zu haben. Wie nun auf dem IT-Sicherheitskongress des Bundesamtes für die Sicherheit in der Informationstechnik bekannt wurde, haben Internet-Kriminelle sich an die neue Lage angepasst. Mirko Manske, Kriminalhauptkommissar im Bundeskriminalamt, sagte auf der Veranstaltung laut Heise Online, Phishing sei zwar dank der iTAN schwieriger geworden, "aber nicht unmöglich". Der Trick: Internet-Kriminelle setzten auf Transaktionen in Echtzeit. Dabei werden einem Phishing-Opfer die Daten schrittweise entlockt. Ein Hackprogramm probiert sie parallel aus. Ist es einmal im Online-Banking angemeldet, kann es selbsttätig eine Überweisung auslösen. Die dafür angeforderte iTAN wird dann sogleich beim Opfer abgefragt, um die Kontoerleichterung abzuschließen. Insgesamt berichtete der BKA-Beamte von knapp 1.800 Phishing-Aktionen, die 2008 in Deutschland erfolgreich gewesen sein sollen. Neben dem Echtzeit-Trick gebe es inzwischen auch trojanische Pferde, die im Hintergrund warteten, bis ein Nutzer sich das nächste Mal beim Online-Banking anmelde, um etwas zu überweisen. Dann würde im Hintergrund einfach der Empfänger ausgewechselt, ohne dass das zu bemerken sei. Erst mit dem Ausdruck des Kontoauszuges erfahre der Betroffene, dass er zum Opfer geworden sei, sagte Manske.
Leser*innenkommentare
Marodeur
Gast
Es ist fast so wie Marc Seeger es beschrieben hat.
Die Version ohne Trojaner ist ein klassischer "man in the middle"-Angriff.
Jemand hat es geschafft, dass alle Kommunikation erstmal über ihn läuft.
Ob er sich dazu auf dem Rechner als Proxy eingetragen hat (das würde dann wieder eine Sicherheitslücke im Betriebssystem/Firewall/Antivirensoftware vorraussetzen), oder ob er es sonstwie geschafft hat ist dabei erstmal egal.
Es ist nicht einfach, aber durchaus im Bereich des Möglichen.
Wenn man jetzt z.B. die Homepage seiner Bank ansurfen will merkt der man-in-the-middle das und fängt die Anfrage ab.
Dann stellt er selber eine Anfrage an die Bank und leitet das Ergebnis nur an das Opfer weiter.
Auf dem eigenen Rechner sieht man nur die Originalwebsite der Bank, so wie immer.
Evtl. liegt die Verzögerung ein wenig höher, aber das ist von einem Menschen kaum zu bemerken.
Nun gibt man seinen Nutzernamen und sein Passwort ein.
Auch das fängt der Angreifer ab,loggt sich selbst mit diesen Daten ein und schickt die Antwort die der Angreifer von der Bank bekommen hat unverändert weiter an sein Opfer.
Alle weiteren Antworten werden ebenfalls unverändert weitergeschickt, so lange bis eine Transaktion vorgenommen werden soll.
Hier ersetzt der Angreifer einfach die Kontodaten und sendet selbst eine Anfrage mit den neuen Kontodaten an die Bank.
Die Abfrage nach der Tan wird wieder an den echten Kunden weitergeleitet (wenn es elegant gemacht werden soll sollte man die Tan-Anfrage mit den vorher vom Kunden eingegebenen Daten kombinieren, damit der Kunde keinen Verdacht schöpft).
Der Nutzer gibt die Tan ein, die natürlich auch wieder erst beim Angreifer ankommt, welcher diese dann nutzt um seine eigene Transaktion zu tätigen.
Das schöne an dieser Art Angriff ist, dass eine Verschlüsselung nichts bringt, da der Kunde ja erst eine (evtl. verschlüsselte) Verbindung mit dem Angreifer aufbaut und dieser dann eine (evtl. verschlüsselte) Verbindung mit der Bank.
Ein weiterer schöner Punkt des Angriffs ist, dass der Angreifer keine Tan-Listen sammeln muss um irgendwann die richtige Tan zu treffen.
Er setzt seinem Opfer einfach die Anfrage nach dieser einen bestimmten Tan vor, welche das Opfer dann nichtsahnend eingibt.
Bei ihm sieht ja alles aus wie immer und auch seine eingegeben Daten stimmen.
Er hat kaum eine Möglichkeit den man-in-the-middle zu bemerken.
Natürlich unter der Vorraussetzung, dass der Angriff wirklich gut gemacht ist und das Opfer keine spezielle Software nutzt die einen solchen Angriff erkennen könnte.
Wenn jemand es schafft ein man-in-the-middle zu werden hat er eine MENGE Möglichkeiten.
Zum Glück ist diese Art von Angriff nicht ganz so einfach zu bewerkstelligen.
Bassa
Gast
Wer einen zumindest teilweise unverständlichen Artikel nicht versteht, der darf kein Onlinebanking machen? Dann dürften das wohl die wenigsten.
Wie das "in Echtzeit" gehen soll, sorry, das entzieht sich mir auch. Im Artikel ist die Rede von einem Programm, das heißt, dass eben nicht eine Seite im Browser zwischengeschaltet wird, sondern ein Programm (etwas, das auf dem Rechner des potentiellen Opfers ausgeführt wird).
Ich gebe doch nicht irgend einem Programm eine TAN, nur weil es danach fragt. Wenn ich normalerweise mit dem Browser Online-Banking mache, dann läuft da kein zusätzliches Programm. Und wenn ich ein Programm dafür benutze, dann benutze ich eben genau das Programm und nicht irgendeines, das zufällig bei mir läuft und das ich wahrscheinlich noch nicht einmal gestartet habe.
Und wenn im Browser die falsche Seite aufgerufen ist, dann kann man das schon feststellen...
Sinnvoll erscheint mir allenfalls der Trick mit dem Trojaner, der bei einer Überweisung einfach die Daten austauscht. Dann klaut man mir ja nicht die TAN, sondern manipuliert eben, was ich eingegeben habe.
Und übrigens ist der Kommentar unter dem Bild ein Witz.
"Ganz sicher ist nur der Gang in die Filiale." Dass dem nicht so ist, sollte auch der TAZ bekannt sein. In der Filiale gibt es genug Möglichkeiten. Geldautomaten sind nicht schwieriger zu manipulieren als der PC der für die Online-Variante genutzt wird.
Geld an der Kasse holen kann zu Überfällen führen, besonders gerne natürlich bei alten Leuten, die ihre gesamte Rente auf einmal holen.
Und wer durch was auch immer seine Kontonummer in der Bank hinterlässt, der hat auch schon verloren im Zweifelsfall. Heutzutage fragen Banken nicht mehr nach einer Abbuchungserlaubnis, da reicht doch die Kenntnis der Kontonummer.
Roman Schurte
Gast
Ich denke, wer einen solchen Artikel nicht versteht, auch nicht Onlinebanking machen sollte ;o)
Marc Seeger
Gast
Ich verstehe es so: Sobald Sie sich bei Ihrer Bank einloggen, hängt sich der Hacker mit einem wie auch immer gearteteten Stück Software dazwischen. Die Bank bekommt die Angabe der Summe und des Empfängerkontos vom Hacker, die dann abgefragte iTAN erfragt sich der Hacker von Ihnen. Und das so geschickt getarnt, daß Sie den "man in the middle" nicht mitbekommen und denken, Ihr Überweisungsvorgang wäre von der Bank angenommen worden.
Meiner Meinung nach müssen dabei aber mehrere Sicherungsmechanismen versagt haben: Betriebssystem, Firewall und Virenscanner nicht aktuell, die Software auf der Bankseite auch nicht up to date. Doch theoretisch ist es möglich.
Lene
Gast
Das geht so:
Du denkst, rufst deine Online-Banking-Seite auf. In Wirklichkeit, weil dein PC gehackt ist, landest du aber auf einer Kopie der Bankseite, die von den Hackern kontrolliert wird.
Jetzt machst du fröhlich deine Überweisung, weil die Adresse und die Seite ganz normal aussehen. Im Hintergrund macht die Hackerseite aber eine Überweisung in ganz anderer Höhe auf ein Konto in, sagen wir, Kasachstan.
Der Haupttrick dabei ist, deinem Rechner vorzugaukeln, du seist auf der Seite deiner Bank. Aber weil ein Großtein aller Windows-Rechner virenverseucht ist, würde ich mich an deiner Stelle nicht mehr auf die Sicherheit von iTANs verlassen.
Die Bankseite, mit der sich die gehackte Seite verbunden hat, fragt die gehackte Seite nach einer iTAN. Daraufhin gibt die gehackte Seite die Abfrage an dich weiter. Du denkst natürlich immer noch, bei deiner Bank zu sein und nichts Böses ahnend gibst du sie. Mit der Information kann die Hackerseite die Überweisung abschließen und du bist dein Geld los.
lobus
Gast
Das bezieht sich auf Idioten. Also das mit Echtzeit.
Trojaner kann wohl auch einem eher fähigerem Internetnutzer mal unterkommen.
Max Fuhlbrügge
Gast
Hallo,
so schwer ist der Artikel ja auch nicht zu verstehen ;-) Die Daten werden einfach per Phishing entlockt, d.h. arglose Empfänger fallen auf Emails oder Pop-ups herein, die in Design und Formulierung denen ihrer Bank ähneln und in denen sie gebeten werden, ihre Daten zu aktualisieren. Dabei wird loggt sich ein Hackprogramm zunächst mit den abgefragten Zugangsdaten ein, startet eine Überweisung und fragt dann die benötigte TAN ab. Die andere Möglichkeit ist, dass in den Opfer-PC ein Spionage-Programm (Trojaner) eingeschleust wird, dass die Benutzung von Online-Banking durch das Opfer überwacht und kurz bevor die Überweisung ausgeführt wird, vom Opfer unbemerkt einen anderen Empfänger einträgt.
mfg
Tyler Durden
Gast
??????????
Könnten sie den artikel noch mal schreiben, und zwar so, dass ihn auch jemand mit einem IQ unter 220 verstehen kann?
Wie genau kann das iTAN Verfahren umgangen werden?
Ich benutze iTAN seit Jahren und ssehe absolut keien Möglichkeit wie man mir in "Echtzeit" Daten entlocken könnte????