chipTAN-Verfahren stellt sich als unsicher heraus

SicherheitSicherheitsmanagement

So sicher ist die Nutzung eines Gerätes zum Einstecken der eigenen Bankkarte dann doch nicht: Gefälschte on-the-fly-generierte Überweisungen tricksen den Online-Banking-Kunden aus.

Der Schädling Tatanga ist unterwegs, um Nutzer von Chip-TAN-Stationen trotz vermeintlicher Sicherheit der Bankkarten-Nutzung zu überlisten. Der Security-Dienstleister Trusteer hat nun eine neue Tatanga-Attacke gegen chipTAN-Systeme entdeckt:

Beim chipTAN-Verfahren muss der Kunde seine Bankkarte in ein Gerät einführen, um eine spezifische TAN für die jeweilige Transaktion zu generieren. Der Trojaner umgeht das chipTAN-System, indem er zunächst das Konto des Benutzers einschließlich Anzahl der Konten, unterstützen Währungen, Kontostand und Kreditlimit überprüft, das Konto auswählt, von dem der größte Betrag entwendet werden kann und schließlich auf tückische Weise eine Überweisung durch den Anwender inittiert.

Daz verwendet er eine gefälschte Website, um dem Benutzer vorzugaukeln, dass die Bank einen chipTAN-Test durchführt. Der Benutzer wird aufgefordert, eine TAN zu generieren und einzugeben, um den Vorgang zu „testen“. Er bittet den Anwender die Chipkarte in den TAN-Generator zu stecken und “F” zu drücken und einige Aktionen mit dem Gerät durchzuführen – und so davon abzulenken, was wirklich passiert. Dann soll der Nutzer die Empfänger-Kontonummer und -Bankleitzahl prüfen und jeweils mit “OK” auf dem TAN-Generator bestätigen.

Tatanga führt dann eine  Transaktion auf ein andres Konto mithilfe der so generierten und vom Benutzer auf der Website der Bank eingegebenen TAN aus. „In der Zwischenzeit manipuliert der Trojaner die Überweisungsübersicht bzw. den Kontostand, um die Transaktion gegenüber dem Opfer zu verschleiern“, warnt Trusteer.

Trusteer-CTO Amit Klein. “Die Attacke veranschaulicht, dass die chipTAN-Sicherheit mithilfe von Man-in-the-Browser-Techniken und Social-Engineering-Methoden umgangen werden kann. Die Integrität von Zweifaktor-Sicherheitsmaßnahmen wie chipTAN kann ausschließlich durch die Implementierung von Schutzmechanismen gegen hoch entwickelte Malware wie Tatanga, Zeus und andere am Endpunkt gewährleistet werden.”

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen