Weitere Hintertür beim iTAN-Verfahren der Postbank entdeckt

HBCI-Standard bei der Postbank weiterhin ohne iTan-Unterstützung

Schon einmal ist eine Lücke im neuen iTan-Verfahren der Postbank entdeckt worden, doch Mitarbeiter der c't haben nun noch eine weitere Methode gefunden, das Sicherheitsverfahren zu umgehen: Beim eigentlich sicheren HBCI-Überweisungsverfahren wird nämlich iTan bis dato gar nicht genutzt.

Anzeige

Anders als die erste bekannte Sicherheitslücke, die die Arbeitsgruppe "Identitätsschutz im Internet (AI3)" der Ruhr-Universität Bochum (RUB) herausfand, ist bei der neuerlichen Schwachstelle gar kein Man-in-the-Middle-Angriff notwendig. Der Betrüger müsste wie gehabt seinem Opfer PIN und TAN entwenden, indem er mit den einschlägigen Phishing-Tricks arbeitet.

Die erbeuteten Nummernkombinationen müssen dann mit einer HBCI-fähigen Banking-Software und nicht wie sonst mit dem Onlinebanking-Webportal der Postbank zum Leerräumen des Kontos genutzt werden. Dies ist nur deshalb möglich, weil beim HBCI-Verfahren, das die Postbank einsetzt, nach Angaben der c't weder Kartenleser noch dazugehörige Chipkarte, sondern nur die Eingabe dieser beiden Zahlenkombinationen benötigt werden. Ausgerechnet das ansonsten sichere HBCI-Verfahren allerdings arbeitet nicht nach dem iTan-Verfahren, sondern wie gehabt mit einer beliebigen TAN.

C't rät deshalb Postbank-Kunden, ihr HBCI-Überweisungslimit auf 0,- Euro zu setzen. Erst im Frühjahr 2006 soll das bisherige HBCI-Verfahren auch iTAN unterstützen.

Beim iTan-Verfahren verlangt das Online-Banking-Webportal die Eingabe einer bestimmten TAN aus der TAN-Liste und akzeptiert nicht mehr eine aus beliebiger Position.

Kommentarübersicht
Re: Warnung vor dieser Bank
Boadicea 23. Mär 2006

Postbank - oben gibts nen Link zum Artikel Foren > Kommentare > Sonstiges > Weitere...

Re: Warnung vor dieser Bank
india 23. Mär 2006

Um welche Bank geht es hier eigentlich????????????????

Re: Warnung vor dieser Bank
Genervt 04. Dez 2005

Das Problem mit dem doppelt ausgeführten DA hatte ich auch. Die Support-Antwort kam nach...

Re: sicheres onlinebanking?
shotbot 28. Nov 2005

Hi, Bei klassischen Fake-Formularen würde ich dir ja zustimmen, aber bei Viren und...

Die CT hatte das auch mal ausführlicher vorgestellt
shotbot 28. Nov 2005

Hi, Die c't hatte die Phishingproblematik auch mal ausführlich vorgestellt im...

Kommentieren

Trackbacks

#/HagK/# / 26. Nov 2005

Haben die Banken haben ihre Software nicht mehr im Griff?

problematik.net / 25. Nov 2005

eigentlich sicher

Anzeige
Stellenmarkt
  1. System Manager (m/w)
    Braunschweig IT GmbH über Öffentliche Versicherung Braunschweig, Braunschweig
  2. Head of Business Intelligence (m/w)
    hotel.de AG, Nürnberg
  3. Professur für Ingenieurinformatik und Datenverarbeitung
    HAW Ingolstadt, Ingolstadt
  4. IT-Fachkraft für Systemintegration (m/w)
    TX Logistik AG, Bad Honnef

 

Detailsuche

Folgen Sie uns
       
Videos
Project Copernicus - Trailer (Flug durch Amalur) Project Copernicus - Trailer (Flug durch Amalur)
Meistgelesen
  1. Kino.to-Chef

    "Ich habe neben dem Rechner geschlafen"
  2. Diablo 3

    Spekulationen um gehackte Benutzerkonten und erster Patch
  3. Kulturelles Gedächtnis

    Wie speichern wir das Internet?
  4. Raumfahrt

    SpaceX-Raumfähre ist gestartet
  5. Absturz an der Börse

    Facebook überbewertet?
Meistkommentiert
  1. Browser: Chrome löst Internet Explorer als Nummer 1 ab

    Kommentare: 244 | letzter Beitrag 13:54 Uhr

  2. Kino.to-Chef: "Ich habe neben dem Rechner geschlafen"

    Kommentare: 151 | letzter Beitrag 15:54 Uhr

  3. Absturz an der Börse: Facebook überbewertet?

    Kommentare: 115 | letzter Beitrag 14:05 Uhr

  4. Urheberechtsdebatte: Piratenpartei legt Zehnpunktekatalog vor

    Kommentare: 89 | letzter Beitrag 11:30 Uhr

  5. Pebble: Riesiger Erfolg für die kleine Smartwatch

    Kommentare: 79 | letzter Beitrag 15:35 Uhr

Mehr

Ticker
  1. Origin

    EA unterzeichnet Unterlassungserklärung

  2. Android

    Motorola gehört jetzt Google

  3. Fachkräftemangel

    45 Prozent der IT-Beschäftigten sind überlastet

  4. Activision

    Vertragsdetails über Bungies Halo-Nachfolger

  5. Sonos Sub

    Mehr Wumms zum Nachrüsten

  6. Bing Streetside

    Fotos deutscher Straßen sind verschwunden

  7. 3D-Drucker

    Bukobot, der Open-Source-3D-Drucker

  8. Hackerethik

    Wann ist ein Hacker ein guter Hacker?

  9. Blau.de

    Handy- und Datenflatrate für 20 Euro

  10. TP-Link TL-MR3040

    Portabler WLAN-Router mit 4 Stunden Laufzeit

Newsletter-Abo
Haben wir etwas übersehen?

E-Mail an news@golem.de

Google Chrome
Browser: Chrome löst Internet Explorer als Nummer 1 ab
Browser
Chrome löst Internet Explorer als Nummer 1 ab

Googles Browser Chrome liegt in den weltweiten Browserstatistiken von Statcounter erstmals auf Platz 1 vor dem Internet Explorer. Bei den Lesern von Golem.de kommt der IE nur noch auf Platz 4.

  1. Chrome 19 Geräteübergreifende Tab-Synchronisation und Web Intents
  2. Chrome 19 Google-Javascript-Engine V8 wird 25 Prozent schneller
  3. Mobiler Browser Google verbessert Chrome für Android
Diablo 3
Test Diablo 3: Der dunkle Fürst der Zeitvernichtung
Test Diablo 3
Der dunkle Fürst der Zeitvernichtung

Serverprobleme, vorerst kein PvP-Modus, und auch das Echtgeld-Auktionshaus lässt viel länger auf sich warten als angekündigt: Diablo 3 hat nicht den besten Start hingelegt. Trotzdem entfaltet auch Blizzards jüngstes Werk das altbekannte Suchtpotenzial.

  1. Diablo 3 Blizzards Server seit Stunden kaum erreichbar
  2. Diablo 3 Höllischer Bug und harmlose Hardwareanforderungen
  3. Diablo 3 Shoppingcenter statt Sanktuario
Saugroboter
Kobold VR100: Erstes Softwareupdate für Vorwerks Saugroboter
Kobold VR100
Erstes Softwareupdate für Vorwerks Saugroboter

Vorwerk hat das erste Softwareupdate für seinen Staubsaugerroboter Kobold VR100 veröffentlicht. Er soll damit einige Problemfälle besser meistern.

Forumsbeiträge »
  1. Pentax Wetterfeste DSLR K-30 mit 6 Bildern pro Sekunde

    Re: Phantastische Kamer

    Der Spatz | 16:13

  2. Diablo 3 Spekulationen um gehackte Benutzerkonten und erster Patch

    Re: Es gibt auch noch andere probleme...

    SoniX | 16:12

  3. Android-Tablets Samsung hat Listenpreise der Galaxy Tab 2 erhöht

    Re: Kein Samsung mehr

    forenuser | 16:12

  4. Dateimanager Total Commander für Android erschienen

    Re: Der totalcommander war eines meiner Liebsten

    Wechselgänger | 16:12

  5. Kulturelles Gedächtnis Wie speichern wir das Internet?

    Re: Strg+p

    Himmerlarschund... | 16:11

Ticker »
  1. Origin EA unterzeichnet Unterlassungserklärung

    16:23

  2. Android Motorola gehört jetzt Google

    16:11

  3. Fachkräftemangel 45 Prozent der IT-Beschäftigten sind überlastet

    16:07

  4. Activision Vertragsdetails über Bungies Halo-Nachfolger

    15:13

  5. Sonos Sub Mehr Wumms zum Nachrüsten

    15:02

  6. Bing Streetside Fotos deutscher Straßen sind verschwunden

    14:16

  7. 3D-Drucker Bukobot, der Open-Source-3D-Drucker

    14:07

  8. Hackerethik Wann ist ein Hacker ein guter Hacker?

    13:10

Zum Artikel