TANs der Citibank angeblich unsicher
TANs mit System machen es Betrügern unnötig leicht
Die Citibank macht es nach Ansicht des Sicherheitsexperten Felix Lindner unnötig einfach, TAN-Nummer zu erraten. Mit den Nummern werden einzelne Transaktionen, z.B. eine Überweisung, beim Online-Banking abgesichert. Die Nummern können nur einmal verwendet werden.
Wollen Betrüger per Online-Banking an ein Konto, benötigen Sie dazu die persönliche Identifikationsnummer (PIN) des Kunden, sowie eine gültige TAN um eine Transaktion vorzunehmen. Während die PIN immer gleich ist, sollen die nur einmalig gültigen TANs die Sicherheit erhöhen. Die Chance eine korrekte TAN zu erraten, liegt bei den sechstelligen Nummern bei 1:1.000.000.
Die Sicherheit beim Online-Banking hängt also unter anderem davon ab, dass die Wahrscheinlichkeit eine korrekte TAN zu erraten, recht gering ist. Doch genau hier soll das Problem bei der Citibank liegen, so Felix Lindner. Beim Betrachten einer TAN-Liste der Citibank aus dem Jahre 2005 sei ihm aufgefallen, "dass die Zahlen alle mit der selben Ziffer begannen und aufsteigend geordnet waren." Die Differenz zwischen einer TAN und der folgenden war dabei immer zwischen 167 und 1348, im Durchschnitt 263.
Betrüger hätten daher mit Hilfe bereits verwendeter und ungültiger TANs eine gute Chance, eine noch gültige TAN zu erraten, so Lindner. Es reiche aus, einem Opfer beispielsweise über eine Phishing-Seite mehrere verwendete TANs zu entlocken, was eigentlich nicht kritisch seien sollte.
Und was moechtest du uns damit sagen? Ich habe nie was fuer oder gegen Perl geschrieben...
Diese semantischen Regeln bei TAN-Listen verwenden andere Banken auch. Wenn bei 6 Stellen...
Dieser Umstand betrübt die Betrüber sicher nicht :-)