Abo
  • Services:

Weitere Hintertür beim iTAN-Verfahren der Postbank entdeckt

HBCI-Standard bei der Postbank weiterhin ohne iTan-Unterstützung

Schon einmal ist eine Lücke im neuen iTan-Verfahren der Postbank entdeckt worden, doch Mitarbeiter der c't haben nun noch eine weitere Methode gefunden, das Sicherheitsverfahren zu umgehen: Beim eigentlich sicheren HBCI-Überweisungsverfahren wird nämlich iTan bis dato gar nicht genutzt.

Artikel veröffentlicht am ,

Anders als die erste bekannte Sicherheitslücke, die die Arbeitsgruppe "Identitätsschutz im Internet (AI3)" der Ruhr-Universität Bochum (RUB) herausfand, ist bei der neuerlichen Schwachstelle gar kein Man-in-the-Middle-Angriff notwendig. Der Betrüger müsste wie gehabt seinem Opfer PIN und TAN entwenden, indem er mit den einschlägigen Phishing-Tricks arbeitet.

Stellenmarkt
  1. Klinikum Esslingen GmbH, Eßlingen
  2. 50Hertz Transmission GmbH, Berlin

Die erbeuteten Nummernkombinationen müssen dann mit einer HBCI-fähigen Banking-Software und nicht wie sonst mit dem Onlinebanking-Webportal der Postbank zum Leerräumen des Kontos genutzt werden. Dies ist nur deshalb möglich, weil beim HBCI-Verfahren, das die Postbank einsetzt, nach Angaben der c't weder Kartenleser noch dazugehörige Chipkarte, sondern nur die Eingabe dieser beiden Zahlenkombinationen benötigt werden. Ausgerechnet das ansonsten sichere HBCI-Verfahren allerdings arbeitet nicht nach dem iTan-Verfahren, sondern wie gehabt mit einer beliebigen TAN.

C't rät deshalb Postbank-Kunden, ihr HBCI-Überweisungslimit auf 0,- Euro zu setzen. Erst im Frühjahr 2006 soll das bisherige HBCI-Verfahren auch iTAN unterstützen.

Beim iTan-Verfahren verlangt das Online-Banking-Webportal die Eingabe einer bestimmten TAN aus der TAN-Liste und akzeptiert nicht mehr eine aus beliebiger Position.

Themenseiten:

Meistgelesen
  1. Schufa-Eintrag
    Kleinganoven, überforderte Hotlines und ein einfaches Konto
  2. Rechenzentrum
    Feueralarm zerstört Festplatten, Nasdaq betroffen
  3. TV-Kabelnetz
    Übernahme von Unitymedia durch Vodafone steht kurz bevor
  4. Audi E-Tron
    Ein Akku-Doppelbett für die Jagd auf Tesla
  5. Coradia iLint
    Alstoms Brennstoffzellenzug ist "erschreckend unspektakulär"
Anzeige
Blu-ray-Angebote
  1. (2 Monate Sky Ticket für nur 4,99€)
  3. 4,99€
  4. (u. a. Der Marsianer, Spaceballs, Titanic, Batman v Superman)
Kommentarübersicht
Re: Warnung vor dieser Bank
Boadicea 23. Mär 2006

Postbank - oben gibts nen Link zum Artikel Foren > Kommentare > Sonstiges > Weitere...

Re: sicheres onlinebanking?
shotbot 28. Nov 2005

Hi, Bei klassischen Fake-Formularen würde ich dir ja zustimmen, aber bei Viren und...

Die CT hatte das auch mal ausführlicher vorgestellt
shotbot 28. Nov 2005

Hi, Die c't hatte die Phishingproblematik auch mal ausführlich vorgestellt im...

betrifft alle Banken!
derinnovator 28. Nov 2005

Hallöchen, das ist doch nix neues. Haben die das bei der c´t wirklich erst jetzt...

Re: Sicherheitsgewinn durch iTAN
blablubb 27. Nov 2005

Wenn die Überweisungsdaten mitgeschickt werden, ist dies bisher die einzige verfügbare...

Folgen Sie uns
       
Hyundai Ioniq - Test

Wir sind den elektrisch angetriebenen Hyundai Ioniq ausgiebig Probe gefahren.

Hyundai Ioniq - Test Video aufrufen
Kühlung
Thermalright ARO-M14 ausprobiert: Der den Ryzen kühlt
Thermalright ARO-M14 ausprobiert
Der den Ryzen kühlt

Mit dem ARO-M14 bringt Thermalright eine Ryzen-Version des populären HR-02 Macho Rev B. Der in zwei Farben erhältliche CPU-Kühler leistet viel und ist leise, zudem hat Thermalright die Montage etwas verbessert.
Ein Hands on von Marc Sauter

    God of War
    God of War im Test: Der Super Nanny
    God of War im Test
    Der Super Nanny

    Ein Kriegsgott als Erziehungsberechtigter: Das neue God of War macht nahezu alles anders als seine Vorgänger. Neben Action bietet das nur für die Playstation 4 erhältliche Spiel eine wunderbar erzählte Handlung um Kratos und seinen Sohn Atreus.
    Von Peter Steinlechner

    1. God of War Papa Kratos kämpft ab April 2018
    Vive
    HTC Vive Pro im Test: Das beste VR-Headset ist nicht der beste Kauf
    HTC Vive Pro im Test
    Das beste VR-Headset ist nicht der beste Kauf

    Höhere Auflösung, integrierter Kopfhörer und ein sehr bequemer Kopfbügel: Das HTC Vive Pro macht alles besser und gilt für uns als das beste VR-Headset, das wir bisher ausprobiert haben. Allerdings ist der Preis dafür so hoch, dass kaufen meist keine clevere Entscheidung ist.
    Ein Test von Oliver Nickel

    1. VR-Headset HTCs Vive Pro kostet 880 Euro
    2. HTC Vive Pro ausprobiert VR-Headset hat mehr Pixel und Komfort
    3. Vive Focus HTC stellt autarkes VR-Headset vor
    1. Themen
    2. A
    3. B
    4. C
    5. D
    6. E
    7. F
    8. G
    9. H
    10. I
    11. J
    12. K
    13. L
    14. M
    15. N
    16. O
    17. P
    18. Q
    19. R
    20. S
    21. T
    22. U
    23. V
    24. W
    25. X
    26. Y
    27. Z
    28. #
     
     
      •  /