Kriminelle kapern Online-Banking: Auch iTan schützt vor Phishing nicht

Es ist fast so wie Marc Seeger es beschrieben hat.

Die Version ohne Trojaner ist ein klassischer "man in the middle"-Angriff.

Jemand hat es geschafft, dass alle Kommunikation erstmal über ihn läuft.

Ob er sich dazu auf dem Rechner als Proxy eingetragen hat (das würde dann wieder eine Sicherheitslücke im Betriebssystem/Firewall/Antivirensoftware vorraussetzen), oder ob er es sonstwie geschafft hat ist dabei erstmal egal.

Es ist nicht einfach, aber durchaus im Bereich des Möglichen.

Wenn man jetzt z.B. die Homepage seiner Bank ansurfen will merkt der man-in-the-middle das und fängt die Anfrage ab.

Dann stellt er selber eine Anfrage an die Bank und leitet das Ergebnis nur an das Opfer weiter.

Auf dem eigenen Rechner sieht man nur die Originalwebsite der Bank, so wie immer.

Evtl. liegt die Verzögerung ein wenig höher, aber das ist von einem Menschen kaum zu bemerken.

Nun gibt man seinen Nutzernamen und sein Passwort ein.

Auch das fängt der Angreifer ab,loggt sich selbst mit diesen Daten ein und schickt die Antwort die der Angreifer von der Bank bekommen hat unverändert weiter an sein Opfer.

Alle weiteren Antworten werden ebenfalls unverändert weitergeschickt, so lange bis eine Transaktion vorgenommen werden soll.

Hier ersetzt der Angreifer einfach die Kontodaten und sendet selbst eine Anfrage mit den neuen Kontodaten an die Bank.

Die Abfrage nach der Tan wird wieder an den echten Kunden weitergeleitet (wenn es elegant gemacht werden soll sollte man die Tan-Anfrage mit den vorher vom Kunden eingegebenen Daten kombinieren, damit der Kunde keinen Verdacht schöpft).

Der Nutzer gibt die Tan ein, die natürlich auch wieder erst beim Angreifer ankommt, welcher diese dann nutzt um seine eigene Transaktion zu tätigen.

Das schöne an dieser Art Angriff ist, dass eine Verschlüsselung nichts bringt, da der Kunde ja erst eine (evtl. verschlüsselte) Verbindung mit dem Angreifer aufbaut und dieser dann eine (evtl. verschlüsselte) Verbindung mit der Bank.

Ein weiterer schöner Punkt des Angriffs ist, dass der Angreifer keine Tan-Listen sammeln muss um irgendwann die richtige Tan zu treffen.

Er setzt seinem Opfer einfach die Anfrage nach dieser einen bestimmten Tan vor, welche das Opfer dann nichtsahnend eingibt.

Bei ihm sieht ja alles aus wie immer und auch seine eingegeben Daten stimmen.

Er hat kaum eine Möglichkeit den man-in-the-middle zu bemerken.

Natürlich unter der Vorraussetzung, dass der Angriff wirklich gut gemacht ist und das Opfer keine spezielle Software nutzt die einen solchen Angriff erkennen könnte.

Wenn jemand es schafft ein man-in-the-middle zu werden hat er eine MENGE Möglichkeiten.

Zum Glück ist diese Art von Angriff nicht ganz so einfach zu bewerkstelligen.

Wer einen zumindest teilweise unverständlichen Artikel nicht versteht, der darf kein Onlinebanking machen? Dann dürften das wohl die wenigsten.

Wie das "in Echtzeit" gehen soll, sorry, das entzieht sich mir auch. Im Artikel ist die Rede von einem Programm, das heißt, dass eben nicht eine Seite im Browser zwischengeschaltet wird, sondern ein Programm (etwas, das auf dem Rechner des potentiellen Opfers ausgeführt wird).

Ich gebe doch nicht irgend einem Programm eine TAN, nur weil es danach fragt. Wenn ich normalerweise mit dem Browser Online-Banking mache, dann läuft da kein zusätzliches Programm. Und wenn ich ein Programm dafür benutze, dann benutze ich eben genau das Programm und nicht irgendeines, das zufällig bei mir läuft und das ich wahrscheinlich noch nicht einmal gestartet habe.

Und wenn im Browser die falsche Seite aufgerufen ist, dann kann man das schon feststellen...

Sinnvoll erscheint mir allenfalls der Trick mit dem Trojaner, der bei einer Überweisung einfach die Daten austauscht. Dann klaut man mir ja nicht die TAN, sondern manipuliert eben, was ich eingegeben habe.

Und übrigens ist der Kommentar unter dem Bild ein Witz.

"Ganz sicher ist nur der Gang in die Filiale." Dass dem nicht so ist, sollte auch der TAZ bekannt sein. In der Filiale gibt es genug Möglichkeiten. Geldautomaten sind nicht schwieriger zu manipulieren als der PC der für die Online-Variante genutzt wird.

Geld an der Kasse holen kann zu Überfällen führen, besonders gerne natürlich bei alten Leuten, die ihre gesamte Rente auf einmal holen.

Und wer durch was auch immer seine Kontonummer in der Bank hinterlässt, der hat auch schon verloren im Zweifelsfall. Heutzutage fragen Banken nicht mehr nach einer Abbuchungserlaubnis, da reicht doch die Kenntnis der Kontonummer.

Ich denke, wer einen solchen Artikel nicht versteht, auch nicht Onlinebanking machen sollte ;o)

Ich verstehe es so: Sobald Sie sich bei Ihrer Bank einloggen, hängt sich der Hacker mit einem wie auch immer gearteteten Stück Software dazwischen. Die Bank bekommt die Angabe der Summe und des Empfängerkontos vom Hacker, die dann abgefragte iTAN erfragt sich der Hacker von Ihnen. Und das so geschickt getarnt, daß Sie den "man in the middle" nicht mitbekommen und denken, Ihr Überweisungsvorgang wäre von der Bank angenommen worden.

Meiner Meinung nach müssen dabei aber mehrere Sicherungsmechanismen versagt haben: Betriebssystem, Firewall und Virenscanner nicht aktuell, die Software auf der Bankseite auch nicht up to date. Doch theoretisch ist es möglich.

Das geht so:

Du denkst, rufst deine Online-Banking-Seite auf. In Wirklichkeit, weil dein PC gehackt ist, landest du aber auf einer Kopie der Bankseite, die von den Hackern kontrolliert wird.

Jetzt machst du fröhlich deine Überweisung, weil die Adresse und die Seite ganz normal aussehen. Im Hintergrund macht die Hackerseite aber eine Überweisung in ganz anderer Höhe auf ein Konto in, sagen wir, Kasachstan.

Der Haupttrick dabei ist, deinem Rechner vorzugaukeln, du seist auf der Seite deiner Bank. Aber weil ein Großtein aller Windows-Rechner virenverseucht ist, würde ich mich an deiner Stelle nicht mehr auf die Sicherheit von iTANs verlassen.

Die Bankseite, mit der sich die gehackte Seite verbunden hat, fragt die gehackte Seite nach einer iTAN. Daraufhin gibt die gehackte Seite die Abfrage an dich weiter. Du denkst natürlich immer noch, bei deiner Bank zu sein und nichts Böses ahnend gibst du sie. Mit der Information kann die Hackerseite die Überweisung abschließen und du bist dein Geld los.

Das bezieht sich auf Idioten. Also das mit Echtzeit.

Trojaner kann wohl auch einem eher fähigerem Internetnutzer mal unterkommen.

Hallo,

so schwer ist der Artikel ja auch nicht zu verstehen ;-) Die Daten werden einfach per Phishing entlockt, d.h. arglose Empfänger fallen auf Emails oder Pop-ups herein, die in Design und Formulierung denen ihrer Bank ähneln und in denen sie gebeten werden, ihre Daten zu aktualisieren. Dabei wird loggt sich ein Hackprogramm zunächst mit den abgefragten Zugangsdaten ein, startet eine Überweisung und fragt dann die benötigte TAN ab. Die andere Möglichkeit ist, dass in den Opfer-PC ein Spionage-Programm (Trojaner) eingeschleust wird, dass die Benutzung von Online-Banking durch das Opfer überwacht und kurz bevor die Überweisung ausgeführt wird, vom Opfer unbemerkt einen anderen Empfänger einträgt.

mfg

??????????

Könnten sie den artikel noch mal schreiben, und zwar so, dass ihn auch jemand mit einem IQ unter 220 verstehen kann?

Wie genau kann das iTAN Verfahren umgangen werden?

Ich benutze iTAN seit Jahren und ssehe absolut keien Möglichkeit wie man mir in "Echtzeit" Daten entlocken könnte????