Abo
  • IT-Karriere:

Phishing: Auch die iTAN bietet keinen Schutz

RUB-Arbeitsgruppe demonstriert Schwachstelle des iTAN-Verfahrens

Um die eigenen Kunden vor "Phishing" zu schützen, setzt unter anderem die Postbank mittlerweile auf das iTAN-Verfahren, bei dem vom Nutzer eine ganz bestimmte TAN abgefragt wird. Wissenschaftler der Ruhr-Universität Bochum zeigten jetzt, dass sich auch dieser Ansatz leicht überlisten lässt.

Artikel veröffentlicht am ,

Mitglieder der Arbeitsgruppe Identitätsschutz im Internet (AI3) der Ruhr-Universität Bochum (RUB) konnten trotz iTAN mit Hilfe eines "Man-in-the-Middle-Angriffs" über eine gefälschte Webseite den symbolischen Betrag von 1,- Euro auf ein beliebiges anderes Konto übertragen.

Stellenmarkt
  1. BHS Corrugated Maschinen- und Anlagenbau GmbH, Weiherhammer
  2. BWI GmbH, Bonn, Köln

Ausgehend von einer klassischen Phishing-Mail wird das Opfer auf eine Webseite des Angreifers gelockt, die der einer echten Webseite seiner Bank zum Verwechseln ähnlich sieht. Die gefälschte Webseite fordert das Opfer zunächst auf, Kontonummer und PIN einzugeben. Sobald diese Daten beim Server des Angreifers eingetroffen sind, baut dieser eine Verbindung zum echten Bankserver auf. Die bei einer Transaktion gestellte Frage nach einer bestimmten iTAN wird dann automatisch an das Opfer weitergeleitet. So erhält der Angreifer genau die von der Bank gewünschte iTAN und kann zum Beispiel eine Überweisung tätigen.

Dass sich diese theoretische Möglichkeit recht leicht in der Praxis umsetzen lässt, zeigten jetzt die Forscher der RUB-Arbeitsgruppe. Die Forscher drängen die Nutzer, nicht auf TAN oder iTAN allein zu vertrauen, vielmehr sollen sie die SSL-Daten überprüfen.

"Auf die Anfälligkeit des iTAN-Verfahrens gegen Man-in-the-Middle-Angriffe wurde nach Einführung dieses Verfahrens auch von AI3 wiederholt hingewiesen", so Prof. Dr. Georg Borges von der Juristische Fakultät der RUB. "Wir betonen ausdrücklich, dass sowohl TAN als auch iTAN-Verfahren bei korrekter Überprüfung der SSL-Verbindung sicher sind. Allerdings haben bisherige Phishing-Angriffe gezeigt, dass die Betroffenen den Schutzmechanismus SSL schlichtweg ignorieren oder ihn einfach nicht verstehen." Die Forscher fordern daher vor allem eine Aufklärung der Kunden hinsichtlich SSL.



Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de

Neo2k 27. Nov 2005

Also auch da muss ich dir wiedersprechen..mitm IE hat das Thema itan und TAN und...

Raven 26. Nov 2005

wenn man sich anschaut, wie viele trojaner-botnets inzwischen zum spamversand oder für...

Missingno. 14. Nov 2005

Seit wann ist Mobilfunk sicher?

royalsolo 11. Nov 2005

Naja, ich kann nur zitieren: "Ein idiotensicheres System wird auch nur von solchen...


Folgen Sie uns
       


E-Trofit elektrifiziert Dieselbusse - Bericht

Die Ingolstädter Firma E-Trofit elektrifiziert Dieselbusse. Golem.de hat sich die Umrüstung vorführen lassen.

E-Trofit elektrifiziert Dieselbusse - Bericht Video aufrufen
Change-Management: Die Zeiten, sie, äh, ändern sich
Change-Management
Die Zeiten, sie, äh, ändern sich

Einen Change zu wollen, gehört heute zum guten Ton in der Unternehmensführung. Doch ein erzwungener Wandel in der Firmenkultur löst oft keine Probleme und schafft sogar neue.
Ein Erfahrungsbericht von Marvin Engel

  1. IT-Jobs Der Amtsschimmel wiehert jetzt agil
  2. MINT Werden Frauen überfördert?
  3. Recruiting Wenn das eigene Wachstum zur Herausforderung wird

Rohstoffe: Lithium aus dem heißen Untergrund
Rohstoffe
Lithium aus dem heißen Untergrund

Liefern Geothermiekraftwerke in Südwestdeutschland bald nicht nur Strom und Wärme, sondern auch einen wichtigen Rohstoff für die Akkus von Smartphones, Tablets und Elektroautos? Das Thermalwasser hat einen so hohen Gehalt an Lithium, dass sich ein Abbau lohnen könnte. Doch es gibt auch Gegner.
Ein Bericht von Werner Pluta

  1. Wasserkraft Strom aus dem Strom
  2. Energie Wie Mikroben Methan mit Windstrom produzieren
  3. Erneuerbare Energien Die Energiewende braucht Wasserstoff

Alexa: Das allgegenwärtige Ohr Amazons
Alexa
Das allgegenwärtige Ohr Amazons

Die kürzlich angekündigten Echo-Produkte bringen Amazons Sprachassistentin Alexa auf die Straße und damit Datenschutzprobleme in die U-Bahn oder in bisher Alexa-freie Wohnzimmer. Mehrere Landesdatenschutzbeauftragte haben Golem.de erklärt, ob und wie die Geräte eingesetzt werden dürfen.
Von Moritz Tremmel

  1. Digitaler Assistent Amazon bringt neue Funktionen für Alexa
  2. Echo Frames und Echo Loop Amazon zeigt eine Brille und einen Ring mit Alexa
  3. Alexa Answers Nutzer smarter Lautsprecher sollen Alexa Wissen beibringen

    •  /