ZitatAlles anzeigenEinem Team der Ruhr Universität Bochum ist es gelungen, das beim Online-Banking verwendete Sicherheitsverfahren iTAN zu knacken. Das Expertenteam der Universität hat das Verfahren mit einem nicht spezialisierten Programmieren innerhalb eines Tages überwunden. Mit Hilfe eines Man-in-the-Middle-Angriffs über eine gefälschte Webseite konnte ein symbolischer Betrag von einem Euro auf ein anderes Konto überwiesen werden.
Als Reaktion auf die Häufung von Phishing-Attaken der vergangen Zeit führten einige Banken das iTAN-Verfahren ein. Kunden, die eine Transaktion online tätigen wollen, geben bei dieser Technik nicht wie bisher einen beliebigen TAN-Code zur Freigabe ein, sondern werden von der Bank zur Eingabe eines bestimmten Codes aus einer Liste aufgefordert. Damit sollte unterbunden werden, dass sich Betrüger mit einem beliebigen ergaunerten Code am Kundenkonto bedienen können.
"Mit einer geringen Modifizierung der verwendeten Technik können Kriminelle auch das iTAN-Verfahren austricksen", teilte Christoph Wegener von der RUB mit. Die Testbetrüger der RUB forderten das Opfer per Mail zur Eingabe von Kontonummer und Passwort auf einer gefälschten Bank-Seite auf. Sobald diese Daten am Server eingelangt waren, stellte dieser eine Verbindung mit den echten Bankserver des Opfers her. Die bei der Transaktion gestellten Frage nach dem Freigabecode, wurde dann automatisch an den ahnungslosen Kunden weitergeleitet. So erhielt der Angreifer den korrekten TAN und konnte die Überweisung durchführen.
Wegener betonte, dass sowohl TAN und iTAN bei korrekter Überprüfung der SSL-Verbindung sicher sind. Allerdings hätten Angriffe der letzten Zeit gezeigt, dass die Betroffenen den Schutzmechanismus SSL schlichtweg ignorieren oder nicht verstehen. "Hier ist bei den Kunden verstärkt Aufklärungsarbeit zu leisten", fordert Wegener.
"Die einzig wirklich sichere Lösung ist der Einsatz von Kartenlesern der Klasse drei. Bei diesen Geräten wird sichergestellt, dass die persönlichen Informationen des Kunden auf dem Kartenleser verbleiben und nur verschlüsselt gesendet werden", erläuterte Wegener. Doch diese Methode stößt bei den Bankkunden auf wenig Gegenliebe, da sie mit zusätzlichem Aufwand verbunden ist. "Zudem sind diese Geräte nicht gerade preiswert", meinte Wegener abschließend. Mit Kosten zwischen 80 und 100 Euro ist zu rechnen
Quelle: http://www.zdnet.de/news/secur…9023046,39138293,00.htm?h
iTAN Verfahren geknackt
-
-
ich bin auf jedenfall echt mal gespannt, ob sie irgendwann echt mal ein System entwickeln was wirklich sicher ist! Momentan zweifle ich noch ein wenig dran!
-
in unserer ach so sicheren online welt gibts nicht was 100% sicher ist
wenn was neues rauskommt siehe iTAN dauerts net lange und schon is das wieder geknacktalso bei online banking immer den verstand und das gehirn einschalten
ich habe zum glück kein online banking
am das heist aber nich das ich kein gehirn hab -
Zitat
Original von eller82
ich bin auf jedenfall echt mal gespannt, ob sie irgendwann echt mal ein System entwickeln was wirklich sicher ist!HBCI gilt nach wie vor als sicher. Zumindest bei dem besagten Verfahren mit Kartenleser und eigener Tastatur.
Und genau das nutze ich für mein Girokonten, für einige andere Konten nutze ich noch normal via PIN und bis jetzt waren die Fälschungen alle so schlecht dass ich noch nicht drauf reingefallen bin
-
das HBCI verfahren is leider etwas teuer ca. 80 bis 100€
aber sicherer als itan und tan[denk]werd mir mal überlegen ob ich das auch mal mache [/denk]
-
Also ich muss sagen dass ich so viel gar nicht bezahlt habe (ich hab 50 oder 60 EUR bezahlt) und da war ja sogar die Software mit dabei. Vermutlich subventionieren das einige Banken. Gut, ich habe allerdings nur ein Klasse 2 Gerät. Der einzige Unterschied von Klasse 2 zu Klasse 3 ist dass Klasse 3 noch ein Display hat und damit für die Zahlung via Geldkartenfunktion zugelassen ist.
-
ahha muss ich mal bei meiner bank fragen
Jetzt mitmachen!
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!