iTAN-Verfahren schützt nicht völlig vor Phishing

Das von immer mehr Banken eingesetzte iTAN-Verfahren schützt das Online-Banking – entgegen anderslautenden Behauptungen – nicht vollständig vor Phishing-Angriffen. Darauf haben Forscher der Ruhr-Universität Bochum (RUB) hingewiesen. Beim iTAN-Verfahren nutzt ein Bankkunde nicht eine beliebige TAN (Transaktionsnummer), sondern eine bestimmte TAN, die von der  Bank vorgegeben wird.

Auch dieses Verfahren kann jedoch durch Phishing überwunden werden kann, teilte die ‘Arbeitsgruppe Identitätsschutz im Internet’ (AI3) der RUB mit. Den Forschern ist es nach eigenen Angaben gelungen, mit Hilfe eines ‘Man-in-the-Middle’-Angriffs über eine gefälschte Webseite Geld auf ein anderes Konto zu transferieren. Dies geschah binnen eines Tages und mit Hilfe eines nicht spezialisierten Programmierers, hieß es.

Bei einem Man-in-the-Middle-Angriff sendet ein Hacker eine herkömmliche Phishing-Mail an das Opfer. Letzteres wird mit einer plausibel klingenden Begründung dazu gebracht, auf einen in der E-Mail enthaltenen Link zu klicken und ist so mit der Site des Angreifers verbunden. Die aufgerufene Seite sieht dem Original zum Verwechseln ähnlich.

Über die gefälschte Site wird das Opfer jetzt dazu aufgefordert, die Kontonummer und die PIN einzugeben. Sobald die Daten beim Server des Angreifers eingetroffen sind, baut dieser eine Verbindung zum echten Bankserver auf. Die bei einer Transaktion gestellte Frage nach einer bestimmten iTAN wird dann automatisch an das Opfer weitergeleitet. So erhält der Angreifer genau die von der Bank gewünschte iTAN und kann zum Beispiel eine Überweisung tätigen.

AI3 habe auf die Anfälligkeit des iTAN-Verfahrens gegen Man-in-the-Middle-Angriffe wiederholt hingewiesen, hieß es von Georg Borges, Professor an der Juristischen Fakultät der RUB. “Wir betonen ausdrücklich, dass sowohl TAN- als auch iTAN-Verfahren bei korrekter Überprüfung der SSL-Verbindung sicher sind.” Allerdings hätten die bisherigen Phishing-Angriffe gezeigt, dass die Anwender SSL schlichtweg ignorierten.

Ob eine Online-Verbindung sicher sei, könnten die Nutzer jedoch durch einen Klick auf das Schlosssymbol in der unteren Hälfte des Browsers erkennen. Das iTAN-Verfahren könne kein Ersatz für SSL sein, sondern dieses Verfahren nur ergänzen. Borges: “Hier ist weitere Aufklärungsarbeit zu leisten.”

Silicon-Redaktion

Recent Posts

Sofortzahlungen im Wandel: Sicherheit und KI als treibende Kräfte

In Deutschland hat das Zahlungsverhalten 2024 eine deutliche Entwicklung hin zu Sofortüberweisungen und Instant Payment…

33 Minuten ago

Blockaden und Risiken bei APM-Projekten vermeiden

Application Portfolio Management (APM) verspricht Transparenz, mehr IT-Leistung und Effizienz – theoretisch.

2 Tagen ago

BSI-Bericht: Sicherheitslage im Cyberraum bleibt angespannt

Im Berichtszeitraum Mitte 2023 bis Mitte 2024 wurden täglich durchschnittlich 309.000 neue Schadprogramm-Varianten bekannt.

3 Tagen ago

KI-Hype in der Cybersicherheit – oder besser doch nicht?

KI kommt in der Cybersicherheit zum Einsatz, etwa um Abweichungen im Netzwerkverkehr zu identifizieren. Ist…

3 Tagen ago

Netzwerksegementierung schützt vor Angriffen über die OT

Ungepatchte und veraltetete Maschinen-Software ist ein beliebtes Einfallstor für Hacker, warnt Nils Ullmann von Zscaler…

4 Tagen ago

KI-Bluff bei AIOps erkennen

Die Auswahl einer Lösung sollte anhand von echten Leistungsindikatoren erfolgen, um echte KI von Behauptungen…

4 Tagen ago