Abo
  • Services:

Phishing: Auch die iTAN bietet keinen Schutz

RUB-Arbeitsgruppe demonstriert Schwachstelle des iTAN-Verfahrens

Um die eigenen Kunden vor "Phishing" zu schützen, setzt unter anderem die Postbank mittlerweile auf das iTAN-Verfahren, bei dem vom Nutzer eine ganz bestimmte TAN abgefragt wird. Wissenschaftler der Ruhr-Universität Bochum zeigten jetzt, dass sich auch dieser Ansatz leicht überlisten lässt.

Artikel veröffentlicht am ,

Mitglieder der Arbeitsgruppe Identitätsschutz im Internet (AI3) der Ruhr-Universität Bochum (RUB) konnten trotz iTAN mit Hilfe eines "Man-in-the-Middle-Angriffs" über eine gefälschte Webseite den symbolischen Betrag von 1,- Euro auf ein beliebiges anderes Konto übertragen.

Stellenmarkt
  1. Landratsamt Reutlingen, Reutlingen bei Stuttgart
  2. Tecmata GmbH, Mannheim

Ausgehend von einer klassischen Phishing-Mail wird das Opfer auf eine Webseite des Angreifers gelockt, die der einer echten Webseite seiner Bank zum Verwechseln ähnlich sieht. Die gefälschte Webseite fordert das Opfer zunächst auf, Kontonummer und PIN einzugeben. Sobald diese Daten beim Server des Angreifers eingetroffen sind, baut dieser eine Verbindung zum echten Bankserver auf. Die bei einer Transaktion gestellte Frage nach einer bestimmten iTAN wird dann automatisch an das Opfer weitergeleitet. So erhält der Angreifer genau die von der Bank gewünschte iTAN und kann zum Beispiel eine Überweisung tätigen.

Dass sich diese theoretische Möglichkeit recht leicht in der Praxis umsetzen lässt, zeigten jetzt die Forscher der RUB-Arbeitsgruppe. Die Forscher drängen die Nutzer, nicht auf TAN oder iTAN allein zu vertrauen, vielmehr sollen sie die SSL-Daten überprüfen.

"Auf die Anfälligkeit des iTAN-Verfahrens gegen Man-in-the-Middle-Angriffe wurde nach Einführung dieses Verfahrens auch von AI3 wiederholt hingewiesen", so Prof. Dr. Georg Borges von der Juristische Fakultät der RUB. "Wir betonen ausdrücklich, dass sowohl TAN als auch iTAN-Verfahren bei korrekter Überprüfung der SSL-Verbindung sicher sind. Allerdings haben bisherige Phishing-Angriffe gezeigt, dass die Betroffenen den Schutzmechanismus SSL schlichtweg ignorieren oder ihn einfach nicht verstehen." Die Forscher fordern daher vor allem eine Aufklärung der Kunden hinsichtlich SSL.



Anzeige
Hardware-Angebote
  1. ab 99,98€
  2. mit Gutschein: HARDWARE50 (nur für Neukunden, Warenwert 104 - 1.000 Euro)
  3. täglich neue Deals bei Alternate.de

Neo2k 27. Nov 2005

Also auch da muss ich dir wiedersprechen..mitm IE hat das Thema itan und TAN und...

Raven 26. Nov 2005

wenn man sich anschaut, wie viele trojaner-botnets inzwischen zum spamversand oder für...

Missingno. 14. Nov 2005

Seit wann ist Mobilfunk sicher?

royalsolo 11. Nov 2005

Naja, ich kann nur zitieren: "Ein idiotensicheres System wird auch nur von solchen...


Folgen Sie uns
       


Shadow of the Tomb Raider - Golem.de live Teil 1

In Teil 1 im Livestream zu Shadow of the Tomb Raider gibt es zahlreiche Grafik-Menüs, schöne Screenshots und Laras Start in die Apokalypse.

Shadow of the Tomb Raider - Golem.de live Teil 1 Video aufrufen
Pixel 3 XL im Test: Algorithmen können nicht alles
Pixel 3 XL im Test
Algorithmen können nicht alles

Google setzt beim Pixel 3 XL alles auf die Kamera, die dank neuer Algorithmen nicht nur automatisch blinzlerfreie Bilder ermitteln, sondern auch einen besonders scharfen Digitalzoom haben soll. Im Test haben wir allerdings festgestellt, dass auch die beste Software keine Dual- oder Dreifachkamera ersetzen kann.
Ein Test von Tobias Költzsch

  1. Dragonfly Google schweigt zu China-Plänen
  2. Nach Milliardenstrafe Google will Android-Verträge offenbar anpassen
  3. Google Android Studio 3.2 unterstützt Android 9 und App Bundles

Künstliche Intelligenz: Wie Computer lernen
Künstliche Intelligenz
Wie Computer lernen

Künstliche Intelligenz, Machine Learning und neuronale Netze zählen zu den wichtigen Buzzwords dieses Jahres. Oft wird der Eindruck vermittelt, dass Computer bald wie Menschen denken können. Allerdings wird bei dem Thema viel durcheinandergeworfen. Wir sortieren.
Von Miroslav Stimac

  1. Innotrans KI-System identifiziert Schwarzfahrer
  2. USA Pentagon fordert KI-Strategie fürs Militär
  3. KI Deepmind-System diagnostiziert Augenkrankheiten

Probefahrt mit Tesla Model 3: Wie auf Schienen übers Golden Gate
Probefahrt mit Tesla Model 3
Wie auf Schienen übers Golden Gate

Die Produktion des Tesla Model 3 für den europäischen Markt wird gerade vorbereitet. Golem.de hat einen Tag in und um San Francisco getestet, was Käufer von dem Elektroauto erwarten können.
Ein Erfahrungsbericht von Friedhelm Greis

  1. 1.000 Autos pro Tag Tesla baut das hunderttausendste Model 3
  2. Goodwood Festival of Speed Tesla bringt Model 3 erstmals offiziell nach Europa
  3. Elektroauto Produktionsziel des Tesla Model 3 erreicht

    •  /