Weitere Hintertür beim iTAN-Verfahren der Postbank entdeckt

HBCI-Standard bei der Postbank weiterhin ohne iTan-Unterstützung

Schon einmal ist eine Lücke im neuen iTan-Verfahren der Postbank entdeckt worden, doch Mitarbeiter der c't haben nun noch eine weitere Methode gefunden, das Sicherheitsverfahren zu umgehen: Beim eigentlich sicheren HBCI-Überweisungsverfahren wird nämlich iTan bis dato gar nicht genutzt.

Artikel veröffentlicht am ,

Anders als die erste bekannte Sicherheitslücke, die die Arbeitsgruppe "Identitätsschutz im Internet (AI3)" der Ruhr-Universität Bochum (RUB) herausfand, ist bei der neuerlichen Schwachstelle gar kein Man-in-the-Middle-Angriff notwendig. Der Betrüger müsste wie gehabt seinem Opfer PIN und TAN entwenden, indem er mit den einschlägigen Phishing-Tricks arbeitet.

Die erbeuteten Nummernkombinationen müssen dann mit einer HBCI-fähigen Banking-Software und nicht wie sonst mit dem Onlinebanking-Webportal der Postbank zum Leerräumen des Kontos genutzt werden. Dies ist nur deshalb möglich, weil beim HBCI-Verfahren, das die Postbank einsetzt, nach Angaben der c't weder Kartenleser noch dazugehörige Chipkarte, sondern nur die Eingabe dieser beiden Zahlenkombinationen benötigt werden. Ausgerechnet das ansonsten sichere HBCI-Verfahren allerdings arbeitet nicht nach dem iTan-Verfahren, sondern wie gehabt mit einer beliebigen TAN.

C't rät deshalb Postbank-Kunden, ihr HBCI-Überweisungslimit auf 0,- Euro zu setzen. Erst im Frühjahr 2006 soll das bisherige HBCI-Verfahren auch iTAN unterstützen.

Beim iTan-Verfahren verlangt das Online-Banking-Webportal die Eingabe einer bestimmten TAN aus der TAN-Liste und akzeptiert nicht mehr eine aus beliebiger Position.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Boadicea 23. Mär 2006

Postbank - oben gibts nen Link zum Artikel Foren > Kommentare > Sonstiges > Weitere...

shotbot 28. Nov 2005

Hi, Bei klassischen Fake-Formularen würde ich dir ja zustimmen, aber bei Viren und...

shotbot 28. Nov 2005

Hi, Die c't hatte die Phishingproblematik auch mal ausführlich vorgestellt im...

derinnovator 28. Nov 2005

Hallöchen, das ist doch nix neues. Haben die das bei der c´t wirklich erst jetzt...



Aktuell auf der Startseite von Golem.de
JPEG XL
Die Browserhersteller sagen nein zum Bildformat

JPEG XL ist das überlegene Bildformat. Aber Chrome und Firefox brechen die Implementierung ab. Wir erklären das Format und schauen auf die Gründe für die Ablehnung.
Eine Analyse von Boris Mayer

JPEG XL: Die Browserhersteller sagen nein zum Bildformat
Artikel
  1. Walking Simulator: Gameplay von The Day Before erntet Spott
    Walking Simulator
    Gameplay von The Day Before erntet Spott

    Nach Betrugsvorwürfen haben die Entwickler von The Day Before nun Gameplay veröffentlicht - das nicht besonders gut ankommt.

  2. Lasertechnik: Hoffnung auf Femtosekundenlaser für die Hosentasche
    Lasertechnik
    Hoffnung auf Femtosekundenlaser für die Hosentasche

    An der Universität Yale wurde ein Titan-Saphir-Laser auf einem Chip erzeugt und fortgeschrittene Lasertechnik auf Millimetergröße geschrumpft.

  3. Knockout City: Drei Games-as-a-Service weniger in einer Woche
    Knockout City
    Drei Games-as-a-Service weniger in einer Woche

    Rumbleverse, Apex Legends Mobile und Knockout City: Innerhalb weniger Tage heißt es Game Over für drei bekannte Multiplayerspiele.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Mindfactory DAMN-Deals: Grakas, CPUs & Co. • HTC Vice 2 Pro Full Kit 899€ • RAM-Tiefstpreise • Amazon-Geräte bis -50% • Samsung TVs bis 1.000€ Cashback • Corsair HS80 7.1-Headset -42% • PCGH Cyber Week • Samsung Curved 27" WQHD 267,89€ • Samsung Galaxy S23 vorbestellbar [Werbung]
    •  /