100%
0%
Bochumer Wissenschaftler knacken iTan-Verfahren
Um das Onlinebanking für die Kunden sicherer zu machen, verstärken viele Kreditinstitute ihre Sicherheitsmaßnahmen und stellen ihre Verfahren auf das sogenannte iTAN-System um. Hierbei muss der Kunde nicht mehr eine beliebige Transaktionsnummer (TAN) von einer Liste zur Bestätigung seiner Überweisung im Internet eingeben. Der Computer der Bank fragt vielmehr eine ganz bestimmte TAN ab.
Dieses Verfahren galt als sicherer als das herkömmliche TAN-Verfahren. Nummern, die Betrüger bei Phishing-Attacken ergaunert hatten, waren so wertlos, da es sehr unwahrscheinlich ist, dass vom Bank-PC gerade die erschlichene TAN abgefragt wird. Wissenschaftlern der Universität Bochum ist es nun gelungen, das sicher geglaubte iTAN-Verfahren zu knacken. Dies berichtet das Handelsblatt.
Die Software-Experten benötigten nach eigenen Angaben gerade mal einen Tag für ihren Coup. Sie lotsen den Bankkunden auf eine gefälschte Internetseite und fragten im Rahmen eines vorgetäuschten Sicherheitschecks die Zugangsdaten ab. Nachdem sie sich eingeloggt hatten, fragten sie in einer weiteren Mail, die immer noch den Sicherheitscheck zum Vorwand hatte, die iTAN ab und tätigten damit die Überweisung. Der simple Trick liegt einfach darin, Zugangsdaten und TAN zeitversetzt abzufragen. Die Betrüger lassen sich, nachdem sie sich eingeloggt haben, vom Computer der Bank die erforderliche TAN ermitteln und fragen diese gezielt vom Kunden ab.
Nach Ansicht des Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet auch der Versand von TAN per SMS keine Sicherheitsgarantie. Die derzeit einzig sichere Lösung würden nach BSI-Angaben Banking-Verfahren bieten, in denen Kartenlesegeräte zum Einsatz kommen (z.B. HBCI). Diese werden von Bankkunden allerdings nicht bevorzugt, da mit diesen Geräten die Bankgeschäfte nur vom heimischen PC aus erledigt werden können.
Dieses Verfahren galt als sicherer als das herkömmliche TAN-Verfahren. Nummern, die Betrüger bei Phishing-Attacken ergaunert hatten, waren so wertlos, da es sehr unwahrscheinlich ist, dass vom Bank-PC gerade die erschlichene TAN abgefragt wird. Wissenschaftlern der Universität Bochum ist es nun gelungen, das sicher geglaubte iTAN-Verfahren zu knacken. Dies berichtet das Handelsblatt.
Die Software-Experten benötigten nach eigenen Angaben gerade mal einen Tag für ihren Coup. Sie lotsen den Bankkunden auf eine gefälschte Internetseite und fragten im Rahmen eines vorgetäuschten Sicherheitschecks die Zugangsdaten ab. Nachdem sie sich eingeloggt hatten, fragten sie in einer weiteren Mail, die immer noch den Sicherheitscheck zum Vorwand hatte, die iTAN ab und tätigten damit die Überweisung. Der simple Trick liegt einfach darin, Zugangsdaten und TAN zeitversetzt abzufragen. Die Betrüger lassen sich, nachdem sie sich eingeloggt haben, vom Computer der Bank die erforderliche TAN ermitteln und fragen diese gezielt vom Kunden ab.
Nach Ansicht des Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet auch der Versand von TAN per SMS keine Sicherheitsgarantie. Die derzeit einzig sichere Lösung würden nach BSI-Angaben Banking-Verfahren bieten, in denen Kartenlesegeräte zum Einsatz kommen (z.B. HBCI). Diese werden von Bankkunden allerdings nicht bevorzugt, da mit diesen Geräten die Bankgeschäfte nur vom heimischen PC aus erledigt werden können.
