Skip to content

31 Banken betroffen: Sicherheitsforscher demonstriert Angriff auf PushTAN-Verfahren

Geschrieben von Florian Schimanke am

In Zeiten, in denen ganze Banken inzwischen nur noch in der Cloud und in Apps existieren, scheinen sich nur noch wenige Menschen wirklich Gedanken um die Sicherheit zu machen. Insofern ist jedem, der hier ein wenig auf dem Laufenden bleiben möchte, ein Blick in die Süddeutsche Zeitung empfohlen. Hier wird nämlich gleich 31 Apps für das Onlinebanking eine Sicherheitslücke nachgewiesen, die im Wesentlichen vom sogenannten PushTAN-Verfahren herrührt. Einem Sicherheitsforscher ist es gelungen, bei der Übertragung der TAN auf das Endgerät eine sogenannte "Man in the Middle"-Attacke durchzuführen, bei der sich ein Angreifer zwischen die beiden eigentlichen Kommunikationspartner klemmt und sich als einer der beiden ausgibt.

Panik ist allerdings aktuell noch nicht angebracht. Zwar ist der Angriff nachweislich möglich, allerdings müssen hierfür gleich mehrere Voraussetzungen erfüllt sein. Unter anderem muss die App zum Empfang der TAN auf demselben Gerät installiert sein, auf der auch das Banking durchgeführt wird. In diesem Fall sind zwar gleich mehrere namhafte Banken wie die Commerzbank, sämtliche Sparkassen, die Comdirect oder die Fidor Bank mit ihren hauseigenen Apps betroffen, allerdings ist der Aufwand, der für den Angriff betrieben werden muss sehr hoch.

Weitere Details will der in dem Artikel zitierte Sicherheitsforscher auf der Jahreskonferenz des Chaos Computer Club im kommenden Monat präsentieren. Unter anderem ist bislang noch nicht geklärt, ob von dem potenziellen Angriff sämtliche mobile Endgeräte betroffen sind oder ob iOS aufgrund des Sandbox-Systems hiervon überhaupt betroffen ist.

Trackbacks

Keine Trackbacks

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Deniz am :

Ich nutze Optische und SMS Tan der Deutschen Bank. Die Tan die ich bekomme ist meines Wissens an die eine \334berweisung gebunden f\374r die sie erzeugt wurde. Also, was will man mit dieser abgefangenen Tan? Oder bin ich hier falsch informiert?? Wer kennt sich mit der Materie aus???

Wulf am :

Auch SMS TAN kann gekapert werden.
Ist aber auch aufwendig. Neben dem Zugang muss deinen Mobilfunknummer gekapert werden und dann die SMS auf ein anderes Handy umzuleiten.
Somit kann Angreifer eine \334berweisung anlegen und dann mit der SMS von der umgeleitetenden mobilfunknummer feeigegeben.

dogfight76 am :

Aber nochmal zur ersten Frage zur\374ck:
Was will jemand mit einer TAN die f\374r eine bestimmte \334berweisung gedacht ist \u2753\ud83e\udd14

udo am :

Keine Ahnung aber vielleicht Kontonummer des Empf\344ngers und den Betrag \344ndern?

Scuruba am :

Einloggen - eine \334berweisung t\344tigen, womit dann eine SMS an das Handy gesendet wird und diese SMS dann abfangen. Fertig

dogfight76 am :

Einloggen ? In meine Banking-App ?
Daf\374r m\374sste man aber noch viele weitere H\374rden \374berwinden.....oder wo ist mein Denkfehler?
Was n\374tzt es irgendjemanden eine Push-TAN abzufangen? Wenn ich pers\366nlich ein \334berweisung get\344tigt: egal

Wenn jemand fremdes eine \334berweisung von meinem Konto t\344tigen will m\374sste er sich ja erstmal in mein Banking hacken.....

Da wird es dann aber wieder sehr unrealistisch.

Deniz am :

Nochmal, ich bin kein Technischer Laie! Wie dieser Angriff ausgef\374hrt wird ist mir klar, auch das derjenige dann meiene Tan auf seinem Handy hat.
Ich bekomme die Tan mit den Daten der \334berweisung zugeschickt, Name, Betrag, Kontonummer! Also, was kann der Angreifer mit meiner Tan anfangen au\337er meine \334berweisung frei zu geben ??

dogfight76 am :

Bin da voll bei dir !! Verstehe das Problem mit dem Hack auch nicht.....

colouredwolf am :

Man-in-the-middle!
Du denkst, Du kommunizierst mit Deiner Bank - in Wahrheit mit dem Man-in-the-middle. Der wiederum mit Deiner Bank.

Wenn er Kommunikation abf\344ngt kann er beliebiges machen, dass Du erst mitbekommst, wenn Du das n\344chste Mal das Konto abgleichst.

Jedes Bankingverfahren mit TAN ist theoretisch angreifbar - und in der Praxis immer noch die meisten

Nur TANlose Verfahren sind sicher, am Besten HBCl mit Secoder mit eigenem Keyboard. Hier gibst\u2018s noch keine L\366sung zum Hacken.

Hartmut am :

Bei allen Bedenken, die Gefahr, vor einem Bankautomaten ausgeraubt zu werden, ist ungleich h\366her. Mit etwas eigener Umsicht sollten solche Methoden reine Theorie bleiben.

Nogger am :

Also habe ich doppeltes Risiko? Denn Geld abheben muss ich ja trotzdem am Automaten, auch wenn ich meine \334berweisungen online t\344tige ;-)

iDirk am :

HBCI \ud83d\udc4c\ud83c\udffb\u270c\ud83c\udffb

Stefan am :

Update f\374r die S-Apps ist in der Pipeline, die Angriffe sind nur mit einigem Aufwand durchf\374hrbar, Zumindest haben die Verantwortlichen der Ver\366ffentlichung den Banken vorher Bescheid gesagt, sodass die L\366sung Banken\374bergreifend schnell erfolgen wird, also alles halb so wild, da mach ich mir mehr Sorgen auf der Stra\337e \374berfallen zu werden

Wolfgang am :

Ich glaube f\374r entsprechende Hacker ist es lukrativer gleich das ganze System einer Bank zu hacken anstatt \374ber diese TAN-Geschichten Einzelpersonen abzuziehen.
Wobei mir auch nicht verst\344ndlich ist was sie mit einer TAN f\374r eine \334berweisung wollen.

hnk24211 am :

Wartet doch erst mal ab, was auf der CCC Jahreskonferenz pr\344sentiert wird. In der SZ steht zwar, dass selbst f\374r erfahrene Programmierer Monate brauchen, um den Angriff nachzustellen, aber wenn jemand den kompletten Mechanismus aushebeln kann, ist das was ganz anderes! Dann initiiert der selbst die \334berweisung, f\344ngt die eigens daf\374r erstellte TAN ab und f\374hrt die \334berweisung aus. Und zwar in lohnender H\366he! Hier fachsimpeln schon wieder alle \u201eExperten\u201c los von wegen alles gestellt und v\366llig \374bertrieben...

Hauke Haien am :

Es geht glaub ich gar nicht vorrangig darum, Geld von Einzelpersonen umzuleiten, sondern den Leuten die Unsicherheit des Verfahrens ins Ged\344chtnis zu rufen und potentielle Wachsamkeit bei solchen Aktionen walten zu lassen!

Deinleser am :

Wo in dem Zeitungsbeitrag steht der Link zu den App's die Fehlerhaft sind?

Freepeewee am :

Logge mich via PC beim Banking-Portal ein und erhalte dann f\374r einen Zahlungsauftrag eine TAN als SMS auf Handy \ud83d\udcf1... auch nicht das Sicherste, aber die physikalischen TAN-Generatoren (gerade bei SparKa \ud83d\ude2b) nerven und funktionieren auch nicht immer so prickelnd, bzw. man hat sie nicht immer dabei.
Wie t\344tigt ihr Onlinebanking ? Gibt es derzeit eine state-of-the-art-Empfehlung ?

Ogallallaaaaa am :

Also wenn man es sich so überlegt:

1. Nehmen wir an das klappt technisch und mit vertretbarem Aufwand.

2. Wie hoch ist die Wahrscheinlichkeit, dass es den Normalbürger erwischt, der ein paar Tausend auf dem Konto hat und ned eine halbe Millionen

3. Die Banken werden einen Teufel tun und den (nicht grobfahrlässig handelnden) Kunden zur Rechenschaft ziehen, da sie überhaupt kein Interesse daran haben dürften, dass die Online-Banking-Geschichten in Verruf geraten und damit die Leute Vertrauen verlieren.
Im übrigen ist das auch bei Kreditkartenbetrug sehr (der technisch viel einfacher zu machen ist soweit ich weiss), weil es ein gesamtes Geschäftsmodell aushebeln würde.

Also mal locker bleiben, abwarten, ggf. Schnaps trinken.

Kommentar schreiben

Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Formular-Optionen