Abo
  • Services:

Phishing: Auch die iTAN bietet keinen Schutz

RUB-Arbeitsgruppe demonstriert Schwachstelle des iTAN-Verfahrens

Um die eigenen Kunden vor "Phishing" zu schützen, setzt unter anderem die Postbank mittlerweile auf das iTAN-Verfahren, bei dem vom Nutzer eine ganz bestimmte TAN abgefragt wird. Wissenschaftler der Ruhr-Universität Bochum zeigten jetzt, dass sich auch dieser Ansatz leicht überlisten lässt.

Artikel veröffentlicht am ,

Mitglieder der Arbeitsgruppe Identitätsschutz im Internet (AI3) der Ruhr-Universität Bochum (RUB) konnten trotz iTAN mit Hilfe eines "Man-in-the-Middle-Angriffs" über eine gefälschte Webseite den symbolischen Betrag von 1,- Euro auf ein beliebiges anderes Konto übertragen.

Stellenmarkt
  1. BASF SE, Ludwigshafen
  2. Robert Bosch GmbH, Stuttgart

Ausgehend von einer klassischen Phishing-Mail wird das Opfer auf eine Webseite des Angreifers gelockt, die der einer echten Webseite seiner Bank zum Verwechseln ähnlich sieht. Die gefälschte Webseite fordert das Opfer zunächst auf, Kontonummer und PIN einzugeben. Sobald diese Daten beim Server des Angreifers eingetroffen sind, baut dieser eine Verbindung zum echten Bankserver auf. Die bei einer Transaktion gestellte Frage nach einer bestimmten iTAN wird dann automatisch an das Opfer weitergeleitet. So erhält der Angreifer genau die von der Bank gewünschte iTAN und kann zum Beispiel eine Überweisung tätigen.

Dass sich diese theoretische Möglichkeit recht leicht in der Praxis umsetzen lässt, zeigten jetzt die Forscher der RUB-Arbeitsgruppe. Die Forscher drängen die Nutzer, nicht auf TAN oder iTAN allein zu vertrauen, vielmehr sollen sie die SSL-Daten überprüfen.

"Auf die Anfälligkeit des iTAN-Verfahrens gegen Man-in-the-Middle-Angriffe wurde nach Einführung dieses Verfahrens auch von AI3 wiederholt hingewiesen", so Prof. Dr. Georg Borges von der Juristische Fakultät der RUB. "Wir betonen ausdrücklich, dass sowohl TAN als auch iTAN-Verfahren bei korrekter Überprüfung der SSL-Verbindung sicher sind. Allerdings haben bisherige Phishing-Angriffe gezeigt, dass die Betroffenen den Schutzmechanismus SSL schlichtweg ignorieren oder ihn einfach nicht verstehen." Die Forscher fordern daher vor allem eine Aufklärung der Kunden hinsichtlich SSL.



Anzeige
Blu-ray-Angebote
  1. 4,99€
  2. (u. a. Der Marsianer, Spaceballs, Titanic, Batman v Superman)
  3. (2 Monate Sky Ticket für nur 4,99€)

Neo2k 27. Nov 2005

Also auch da muss ich dir wiedersprechen..mitm IE hat das Thema itan und TAN und...

Raven 26. Nov 2005

wenn man sich anschaut, wie viele trojaner-botnets inzwischen zum spamversand oder für...

Missingno. 14. Nov 2005

Seit wann ist Mobilfunk sicher?

royalsolo 11. Nov 2005

Naja, ich kann nur zitieren: "Ein idiotensicheres System wird auch nur von solchen...


Folgen Sie uns
       


iPad 2018 - Test

Das neue iPad hat vertraute Funktionen, die es teilweise zu diesem Preis aber noch nicht gegeben hat. Wir haben uns Apples neues Tablet im Test angeschaut.

iPad 2018 - Test Video aufrufen
Xperia XZ2 Compact im Test: Sonys kompaktes Top-Smartphone bleibt konkurrenzlos
Xperia XZ2 Compact im Test
Sonys kompaktes Top-Smartphone bleibt konkurrenzlos

Sony konzentriert sich beim Xperia XZ2 Compact erneut auf die alte Stärke der Serie und steckt ein technisch hervorragendes Smartphone in ein kompaktes Gehäuse. Heraus kommt ein kleines Gerät, das kaum Wünsche offenlässt und in dieser Größenordnung im Grunde ohne Konkurrenz ist.
Ein Test von Tobias Költzsch

  1. Xperia XZ2 Premium Sony stellt Smartphone mit lichtempfindlicher Dualkamera vor
  2. Sony Grundrauschen an Gerüchten über die Playstation 5 nimmt zu
  3. Playstation Sony-Chef Kaz Hirai verabschiedet sich mit starken Zahlen

BeA: Rechtsanwaltsregister wegen Sicherheitslücke abgeschaltet
BeA
Rechtsanwaltsregister wegen Sicherheitslücke abgeschaltet

Das deutsche Rechtsanwaltsregister hat eine schwere Sicherheitslücke. Schuld daran ist eine veraltete Java-Komponente, die für einen Padding-Oracle-Angriff verwundbar ist. Das Rechtsanwaltsregister ist Teil des besonderen elektronischen Anwaltspostfachs, war aber anders als dieses weiterhin online.
Eine Exklusivmeldung von Hanno Böck

  1. BeA Secunet findet noch mehr Lücken im Anwaltspostfach
  2. EGVP Empfangsbestätigungen einer Klage sind verwertbar
  3. BeA Anwälte wollen Ende-zu-Ende-Verschlüsselung einklagen

God of War im Test: Der Super Nanny
God of War im Test
Der Super Nanny

Ein Kriegsgott als Erziehungsberechtigter: Das neue God of War macht nahezu alles anders als seine Vorgänger. Neben Action bietet das nur für die Playstation 4 erhältliche Spiel eine wunderbar erzählte Handlung um Kratos und seinen Sohn Atreus.
Von Peter Steinlechner

  1. God of War Papa Kratos kämpft ab April 2018

    •  /