Sicherheit von Smartphones: Phishers Phritze spähen mobil
Die Polizei warnt vor einem sogenannten Mobile-TAN-Trojaner für Android-Smartphones. Doch das gesamte System „mTAN“ ist fragwürdig.
BERLIN taz | Die Berliner Polizei warnt vor einer neuen Variante des sogenannten Phishings, des Abfischens von Kontozugängen, um an Bankzugangs- und Transaktionsdaten zu gelangen. Nutzer-PCs seien mit Trojanern infiziert worden, die beim Onlinebanking dann nicht nur die Zugangsdaten ausgespäht, sondern die Nutzer auch gleich zum „Softwareupdate“ ihres Mobiltelefons aufgefordert hätten.
Mittels der dann installierten Software konnten die Diebe daraufhin auch die per SMS an die Mobiltelefone geschickten Transaktionsnummern abfangen. Das Grundprinzip beim Onlinebanking ist in den meisten Fällen seit über einem Jahrzehnt dasselbe: PIN und TAN. Mittels Kontonummer und einer persönlichen Identifikationsnummer (PIN) loggt sich der Kunde bei der Website seiner Bank ein, will er eine einzelne Aktion wie eine Überweisungen auslösen, muss er zudem eine Transaktionsnummer eingeben.
Nachdem vor Jahren die Banken noch lange Transaktionsnummern-Briefe verschickten, die für Ärger sorgten, wenn diese entwendet wurden, sollte das mTAN-Verfahren die Sicherheit maßgeblich erhöhen. Hier wird eine TAN in dem Moment generiert, in dem eine Aktion durchgeführt werden soll – und per SMS an das Telefon des Bankkunden gesandt.
„Das Problem ist, dass die Telefone mittlerweile zu ‚smart‘ geworden sind“, sagt Frank-Christian Pauli, Referent für Finanzdienstdienstleistungen beim Verbraucherzentrale Bundesverband. Doch überrascht ist er nicht: „Es ist eine Methode, die naheliegend ist – ich habe früher schon befürchtet, dass die SMS-Tans auf Smartphones das nächste Angriffsziel sein werden. Es gibt einfach zu viele Applikationen, die zum Beispiel auf SMS Zugriff haben. Aber die Idee dieses Sicherheitskonzeptes ist, dass die beiden Geräte getrennt voneinander sind.“
„Sicherheitsupdates“ auf der Bankseite
Laut Berliner Polizei zielte der nun bekannt gewordene Angriff auf Nutzer des Google-Mobilbetriebssystems Android. „Bei Mobilgeräten hat der Nutzer eigentlich kaum eine Kontrolle über das, was auf dem Gerät passiert“, sagt Pauli. Die Hersteller, allen voran Apple und Google, versuchen die Nutzer bis heute in ihrer Gerätehoheit klein zu halten – nur mit Tricks können Nutzer die komplette Kontrolle über ihre Taschencomputer erhalten.
Stutzig sollten Verbraucher, die das Mobil-Tan-Verfahren verwenden, spätestens dann werden, wenn ihnen auf ihrer Bankwebsite „Sicherheitsupdates“ für ihr Mobiltelefon empfohlen werden. „Für das smsTAN-Verfahren benötigen Kunden weder eine Software noch ein Sicherheits-Zertifikat auf ihrem Handy“, erklärt Katja Holzer, Pressesprecherin der Berliner Sparkasse. „Wir werden niemals zu Installationen dieser Art auffordern.“
Frank-Christian Pauli vom Verbraucherzentrale Bundesverband sieht ein grundsätzliches Problem für die Sicherheitsarchitektur. Telefone und Computer wären heute entweder gleich integriert, wie im Fall von Smartphones, oder würden sich zumindest häufig die gleiche Infrastruktur teilen wie das heimische WLAN.
Verbraucherschützer Pauli zeigt sich daher skeptisch, dass das über zehn Jahre alte mTAN-Konzept noch eine große Zukunft hat: „Am Ende kann es sein, dass wir künftig nur noch auf Wege wie die Authentifizierung per Chipkarte setzen können.“ Aber das wäre für mobile Endgeräte ein herber Komfortverlust.
Leser*innenkommentare
Zafolo
Gast
Das Problem mit den alten TAN-Listen und dem iTAN Verfahren scheint nicht allen klar zu sein.
Dieses Verfahren läßt sich durch Malware auf dem PC völlig aushebeln. Dazu klingt sich die Malware in die Browser-Sitzung mit der Bank ein. Das, was der Kunde sieht, ist nicht das, was der Bank übermittelt wird. Tätigt der Kunde eine Überweisung, so wird bei der Bank eine Überweisung auf ein anderes Konto angefordert. Die Bank fragt dann eine TAN ab, die durch die kompromittierte Sitzung weiter gegeben wird, ohne dass der Kunde das wirkliche Ziel er Überweisung erfährt. Es handelt sich um eine Man-in-the-Middle-Attacke, die bei Banking-Trojanern wie dem Zeus-Trojaner längst Standard ist.
Letztlich ist es so, dass auf einem PC, der einen Virus hat oder sonstwie mit Malware kompromittiert ist, nichts mehr sicher ist - er ist letztlich komplett ausser Kontrolle des Besitzers.
Eigentlich ist Windows für solche finanziell kritischen Nutzungen nicht geeignet, da sich ein Virenbefall nie wirklich aussschließen läßt.
Marcus
Gast
Das MTAN Verfahren ist prinzipell sehr unsicher. Vorallem da der Übertragungsweg SMS nie für gesicherte Kommunikation gedacht war. Eine SMS in der lokalen Funkzelle abzufangen ist keine Hexerei. Das vorgehen des Hackers währe dan zuerst eine PC-zu knacken um an die Logindaten zukommen. Dann müsste er herausfinden wo sich der PC Befindet, was wenn man Zugrif auf ihn hat nicht so schwer sein dürfte. Schlislich muss er nur noch in der selben Funkzelle wie der gehackte warten bis dieser eine TAN erhält. Alternativ fodert er selbst eine an, was aber entweder Auffällig ist da der Bankkunde eine Unbestellte TAN erhält oder viel Aufwendiger ist da das Kommplette abfangen einer SMS viel schwiriger ist als bloses mithören. Fodert der Kunde die TAn an muss der Hacker nur noch schneller bei der eingabe sein und Geld geklaut.
Aber, wieso solten Hacker durch die Ganze Republick fahren, bzw. solange Rechner hacken bis einer in ihrer näh dabei ist, wenn Sie mit phishing attacken die Nutzer dazu kriegen ihnen die Arbeit massenhaft abzunehemen.
Wie wussten IT-Sicherheitsexperten schon immer, das größte Sicherheitsrisiko sitzt vor dem Monitor.
Alchymist
Gast
Was ist mit TAN-Generatoren? Auch hier sind die Medien Getrennt, Computer und TAN-Generator. Die erzeugte TAN abzufangen bringt nichts da sie z.B. bei einer überweisung an die Kontonummer des Empfängers gebunden ist. Ein Man-in-the-Middle müsste also dem User eine falsche Kontonummer unterjubeln. Wenn man zu mTANs gezwungen wird bleibt nur der Weg ein billighandy zu kaufen das man nur für diesen Zweck nutzt.
Alter Hut
Gast
Bei meiner (V)Bank heist es schon seit langem:
Bitte beachten Sie, dass die Nutzung der mobilen TAN nicht möglich ist, wenn das Internetbanking über ein Smartphone abgewickelt wird. Nutzen Sie Ihr Smarphone für Ihre OnlineBanking benötigen Sie ein zweites Handy, um die TAN darauf zu empfangen
Aber das ist wohl noch nicht bei allen Banken angekommen.
P. Köhler
Gast
ITANs können von auf kompromittierten Computern vom Cracker abgefangen und missbraucht werden. http://www.heise.de/security/meldung/BKA-iTAN-Verfahren-keine-Huerde-mehr-fuer-Kriminelle-219497.html
Peter
Gast
Für mich ist ebenfalls nicht einsichtig, was an der ausgedruckten Liste mit den TAN-Nummern nun so unsicher gewesen sein soll. Wie vhaehnel schon sagte, mit so einer Liste allein kann niemand etwas anfangen. Und wenn die weg ist, dann muß man sich halt eine neue schicken lassen.
Der ganze Ärger mit den Smartphones ist halt der Preis, den unsere Gesellschaft für ihre immer größer werdende Bequemlichkeit zahlen muß. Wer halt unbedingt alles mit seinem Taschencomputer, der sich auch zum Telefonieren eignet, erledigen will, und dabei nicht ein Mindestmaß an gesundem Menschverstand walten läßt, der MUSS SICH NICHT WUNDERN.
vhaehnel
Gast
Mir erschließt sich nicht, warum das bisherige PIN/TAN-Verfahren mit TAN-Liste unsicherer sein soll als mTAN. Bei PIN/TAN habe ich eine Medientrennung (Papier/Computer) und mit der TAN-Liste allein kann keiner was anfangen.Zum Zugriff auf das Konto wird meist eine zusätzliche Kundenummer und eine PIN benötigt. Die Banken sparen sich bei mTAN die Erstellung und den Versand des TAN-Briefs, sowie die Protokollierung der verbrauchten TANs für den rechtzeitigen Versand einer neuen Liste.
Nachdem ich bei einem Live-Hack von Smartphones (Demo) dabei war, werde ich sicherheitsrelevante Daten niemals auf diesen Geräten speichern.
thomas
Gast
warum ist das gesamte system gleich fragwürdig? der user muss sich nicht nur 1x komplett ahnungslos und unvorsichtig verhalten sondern gleich 2x um dieses phishing zu ermöglichen.
sehr gut natürlich der hinweis auf die nebulösen sms-zugriffsrechte.
Bachsau
Gast
Bei der comdirekt hab ich noch iTAN-Listen, und solche Probleme nicht. Und ich würde mir wünschen, dieses sichere System auch bei der Sparkasse wieder nutzen zu können.
Trojaner-Opfer sollten nicht entschädigt werden. Wer zu blöd ist, einen PC zu benutzen, bekommt so seinen Denkzettel.