17.11.2005, 17:51 Uhr
ITAN schützt nicht vor Phishern
Das angeblich sichere Verfahren gegen Phishing, ITAN, das auch von einigen Schweizer Banken verwendet wird, kann geknackt werden.
Das ITAN-Verfahren wird ausgehebelt, indem der Angreifer die entsprechende Abfrage der Bank weiterreicht. Allerdings funktioniert das Ganze nur, wenn der Anwender nicht auf eine SSL-Verbindung besteht.
Phishing bleibt für Online-Banking-Kunden eine Gefahr. Denn auch das als sicher geltende ITAN-Verfahren, das auch von einigen Schweizer Banken verwendet wird, konnten Mitglieder der Arbeitsgruppe Identitätsschutz im Internet (AI3) der Ruhr-Universität Bochum aushebeln.
Beim ITAN-Verfahren kann nicht der Anwender eine beliebige Transaktionsnummer (TAN) auf einer Streichliste als zusätzliche Identifikation zu Kontonummer und PIN auswählen, sondern diese wird von der Bank anhand der Position auf der Streichliste vorgegeben. Diese indizierte TAN (ITAN) soll sicherstellen, dass der Kunde mit seinem Geldinstitut verbunden ist und nicht mit der Web-seite eines Phishers.
Die AI3-Leute haben nun aber ein spezielles Skript geschrieben, das die ITAN-Anfrage der Bank direkt an den Nutzer weiterreicht. Gibt dieser die Nummer an, verwendet der Phishing-Server die Zahl, um auf dem Banken-Server die Transaktion abzuschliessen.Nach Angaben von AI3 hat
ein Mitarbeiter ohne besondere Kenntnisse die Attacke in einem Tag schreiben können. Allerdings räumen die Sicherheitsexperten ein, dass das ITAN-Phi-shing nur dann funktioniert, wenn zwischen dem Server des Angreifers und dem Rechner des Opfers eine Verbindung aufgebaut wird, die nicht mit SSL (Secure Sockets Layer) verschlüsselt ist. Viele Anwender achteten jedoch nicht darauf, meinen die AI3-Leute. SSL wird durch das Erscheinen eines kleinen Vorhängeschlosses im Browser gekennzeichnet.
Beim ITAN-Verfahren kann nicht der Anwender eine beliebige Transaktionsnummer (TAN) auf einer Streichliste als zusätzliche Identifikation zu Kontonummer und PIN auswählen, sondern diese wird von der Bank anhand der Position auf der Streichliste vorgegeben. Diese indizierte TAN (ITAN) soll sicherstellen, dass der Kunde mit seinem Geldinstitut verbunden ist und nicht mit der Web-seite eines Phishers.
Die AI3-Leute haben nun aber ein spezielles Skript geschrieben, das die ITAN-Anfrage der Bank direkt an den Nutzer weiterreicht. Gibt dieser die Nummer an, verwendet der Phishing-Server die Zahl, um auf dem Banken-Server die Transaktion abzuschliessen.Nach Angaben von AI3 hat
ein Mitarbeiter ohne besondere Kenntnisse die Attacke in einem Tag schreiben können. Allerdings räumen die Sicherheitsexperten ein, dass das ITAN-Phi-shing nur dann funktioniert, wenn zwischen dem Server des Angreifers und dem Rechner des Opfers eine Verbindung aufgebaut wird, die nicht mit SSL (Secure Sockets Layer) verschlüsselt ist. Viele Anwender achteten jedoch nicht darauf, meinen die AI3-Leute. SSL wird durch das Erscheinen eines kleinen Vorhängeschlosses im Browser gekennzeichnet.
