Original-URL des Artikels: https://www.golem.de/0511/41570.html    Veröffentlicht: 11.11.2005 10:56    Kurz-URL: https://glm.io/41570

Phishing: Auch die iTAN bietet keinen Schutz

RUB-Arbeitsgruppe demonstriert Schwachstelle des iTAN-Verfahrens

Um die eigenen Kunden vor "Phishing" zu schützen, setzt unter anderem die Postbank mittlerweile auf das iTAN-Verfahren, bei dem vom Nutzer eine ganz bestimmte TAN abgefragt wird. Wissenschaftler der Ruhr-Universität Bochum zeigten jetzt, dass sich auch dieser Ansatz leicht überlisten lässt.

Mitglieder der Arbeitsgruppe Identitätsschutz im Internet (AI3) der Ruhr-Universität Bochum (RUB) konnten trotz iTAN mit Hilfe eines "Man-in-the-Middle-Angriffs" über eine gefälschte Webseite den symbolischen Betrag von 1,- Euro auf ein beliebiges anderes Konto übertragen.

Ausgehend von einer klassischen Phishing-Mail wird das Opfer auf eine Webseite des Angreifers gelockt, die der einer echten Webseite seiner Bank zum Verwechseln ähnlich sieht. Die gefälschte Webseite fordert das Opfer zunächst auf, Kontonummer und PIN einzugeben. Sobald diese Daten beim Server des Angreifers eingetroffen sind, baut dieser eine Verbindung zum echten Bankserver auf. Die bei einer Transaktion gestellte Frage nach einer bestimmten iTAN wird dann automatisch an das Opfer weitergeleitet. So erhält der Angreifer genau die von der Bank gewünschte iTAN und kann zum Beispiel eine Überweisung tätigen.

Dass sich diese theoretische Möglichkeit recht leicht in der Praxis umsetzen lässt, zeigten jetzt die Forscher der RUB-Arbeitsgruppe. Die Forscher drängen die Nutzer, nicht auf TAN oder iTAN allein zu vertrauen, vielmehr sollen sie die SSL-Daten überprüfen.

"Auf die Anfälligkeit des iTAN-Verfahrens gegen Man-in-the-Middle-Angriffe wurde nach Einführung dieses Verfahrens auch von AI3 wiederholt hingewiesen", so Prof. Dr. Georg Borges von der Juristische Fakultät der RUB. "Wir betonen ausdrücklich, dass sowohl TAN als auch iTAN-Verfahren bei korrekter Überprüfung der SSL-Verbindung sicher sind. Allerdings haben bisherige Phishing-Angriffe gezeigt, dass die Betroffenen den Schutzmechanismus SSL schlichtweg ignorieren oder ihn einfach nicht verstehen." Die Forscher fordern daher vor allem eine Aufklärung der Kunden hinsichtlich SSL.  (ji)


Verwandte Artikel:
Postbank: Indizierte TAN gegen Phishing   
(08.08.2005, https://glm.io/39702 )
WISO: T-Online unterläuft Sicherheitshinweise der Banken   
(21.03.2005, https://glm.io/37061 )
Cybercrime: Neun Jahre Jagd auf Bayrob   
(13.10.2017, https://glm.io/130502 )
Studie: Computerspielen kann Lernerfolge bringen   
(09.10.2017, https://glm.io/130512 )
Smartphone: Essential veröffentlicht Kundendaten durch E-Mail-Fehler   
(31.08.2017, https://glm.io/129783 )

Links zum Artikel:
RUB - Arbeitsgruppe Identitätsschutz im Internet (.org): https://www.a-i3.org

© 1997–2019 Golem.de, https://www.golem.de/