Katz- und Mausspiel zwischen Banken und Hackern
Banken schicken die TAN-Nummern, die der Kunde für eine Online-Überweisung benötigt, seit einiger Zeit per SMS. Doch auch dieser Weg ist nicht hundertprozentig sicher. Kriminelle schicken so genannte Maleware-Infektionen auch auf Mobiltelefone. Darin fordern sie die Opfer auf, eine Software auszuprobieren.
Neumann: "Ich arbeite als Consulter und Forscher im IT- Security- Bereich. Wir untersuchen Sicherheitstechniken auf ihre (lachend) Sicherheit ... Es ist so, dass wir im Moment nicht sehen, dass wir in naher Zeit arbeitslos werden."
Linus Neumann arbeitet bei SR Security Research Labs in Berlin Mitte, und ist darauf spezialisiert, digitale Schwachstellen aufzuspüren, die es Kriminellen leicht machen, per Computer arglose Bankkunden auszurauben:
"Wir haben einen Opfer-Rechner, das ist in diesem Fall mein eigener. An diesem Rechner wird das Opfer gleich Online-Banking betreiben."
Linus Neumann will sich dazwischenschalten, zwischen Bankkunde und Bank. Er will die elektronische Überweisung abfangen, den Überweisungsbetrag verändern und das Geld auf sein eigenes Konto umleiten, ohne dass der Kunde oder die Bank etwas davon bemerken:
"Wir haben einen Angreifer-Rechner, mit dem wir dann simulieren, wie wir eine Banking- Transaktion, die Zugangsdaten und die Authentifizierungsdaten abgreifen, um uns zu bereichern."
Hierfür setzt der Angreifer einen Trojaner ein, der sich auf einer beliebigen Website verstecken kann, in diesem Fall auf einer von den Angreifern gefälschten Website der Bank. Seitdem es Onlinebanking gibt, ähneln sich Angriffe auf fremde Konten.
Schon beim Aufrufen der gefälschten Website lädt sich der Trojaner unbemerkt auf den angegriffenen Computer und verrät dem Angreifer ab diesem Zeitpunkt jeden Tastendruck seines Opfers. So erfährt der Angreifer Geldinstitut, Kontonummer und Passwort, - schon ist er mit dessen Bank verbunden und kennt auch den Kontostand.
Eine Überweisung des Opfers kommt so nicht bei der Bank an, sondern auf dem Rechner des Täters. Der kann nun sein gefälschtes Formular an die Bank absenden und erhält von dort prompt eine Antwort:
"Zur Betätigung Ihrer Transaktion geben Sie TAN 65 ein."
Diese Aufforderung leitet er sofort weiter an sein Opfer. Das Opfer, das immer noch glaubt, mit seiner Bank verbunden zu sein, sendet die TAN wieder an dem Angreifer die TAN. Der leitet sie weiter an die Bank des Opfers, die dessen Geld an das Konto des Täters überweist. Kurz danach wird der Täter sein Konto schließen und irgendwo anders ein neues eröffnen.
Seitdem dieser Trick bekannt wurde, erhöhten die meisten Banken die Sicherheit. Transaktionsnummern stehen nicht mehr als Ziffern auf einem Papier, sondern entstehen, - sozusagen als Ergebnis einer Rechenaufgabe, deren Komponenten aus Datum, Kontonummer, Überweisungsbetrag und den Namen der Beteiligten bestehen. Eine weitere Hürde für Angreifer ist, dass Banken im sogenannten M-TAN-Verfahren Transaktionsnummern per SMS an ihre Kunden senden. Doch die Verbrecher haben nachgerüstet.
Im Büro der Sicherheitsfirma zeigt Linus Neumann den simplen Trick, mit dem ein "Man in the Middle" die totale Kontrolle über ein Konto bekommt. Argwöhnisch müssten Bankkunden werden, wenn sie auf einer Website aufgefordert werden, ihre der Bank längst bekannte Mobilnummer erneut einzugeben. Einige aber tun Angreifern diesen Gefallen.
"Er schreibt dem Opfer eine SMS oder E-Mail auf sein Mobiltelefon, mit dem Vorschlag, eine Software auszuprobieren. Das Opfer-Mobiltelefon empfängt die Empfehlung und lädt diese App herunter, die von der 'Sicherheitsbehörde' oder von der 'Bank' empfohlen wurde, installiert diese und jetzt haben wir eine Maleware- Infektion auf diesem Mobiltelefon."
Das infizierte Telefon leitet künftig jede, von der Bank an den Kunden übermittelte Transaktionsnummer direkt um, zum Angreifer:
"Ich habe alles, was ich brauche, ich habe eine Möglichkeit, die SMS abzufangen, ich habe den Zugang zu diesem Konto, ich kann nun verschiedene Transaktionen durchführen, bekomme jeweils die Transaktionsnummer dazu und kann dieses Konto leer machen."
Beim Chip-TAN-Verfahren sendet die Bank keine SMS mehr. Der "Man in the Middle" schaut in die Röhre. Bankkunden sehen auf dem Mini-Bildschirm eines kleinen Gerätes die Transaktionsnummer, wenn man, wie bei der Bezahlung im Supermarkt zunächst die EC-Karte hineinsteckt. Ist online das Überweisungsformular ausgefüllt, halten Benutzer die, mit Fotozellen ausgestattete Rückseite des TAN-Generators in Richtung Bildschirm. Von dort empfängt er blinkende Lichtsignale.
"Es ist letzten Endes so ähnlich, wie Morsezeichen. Der Leser setzt die Zahlen nachher wieder zusammen. Jetzt wird aus Kontonummer und Betrag, in Verbindung mit meinem individuellen Kartenschlüssel eine einmalige TAN- Nummer errechnet und die gebe ich, wie vorher beim Internetbanking ein und sage, Absenden!"
Andreas Staiger, Geschäftsführer eines Herstellers aus Furtwangen arbeitet bereits an Verfahren mit Barcodes und vielfarbigen Punktmustern, mit denen auch Smartphones eine TAN erzeugen können. Wichtig sei, dass der "Man in the Middle" nichts mehr umleiten kann, selbst wenn ihm ein Trojaner noch weiterhin jeden Tastendruck verrät.
Staiger: "Wenn jetzt ein Angreifer sagt, ich will nicht 50 sondern 5000 Euro überweisen, dann passt die TAN- Nummer nicht zu dem Auftrag. Und dadurch, dass ich an dem separaten Gerät eine sichere Anzeige habe, bin ich sicher, dass ein Angreifer mit meiner TAN-Nummer keine andere Überweisung, als die, die ich durchführen möchte tätigen kann."
Ausgetrickst ...?!
Staiger: ""Ausgetrickst!" (lacht)"
Linus Neumann arbeitet bei SR Security Research Labs in Berlin Mitte, und ist darauf spezialisiert, digitale Schwachstellen aufzuspüren, die es Kriminellen leicht machen, per Computer arglose Bankkunden auszurauben:
"Wir haben einen Opfer-Rechner, das ist in diesem Fall mein eigener. An diesem Rechner wird das Opfer gleich Online-Banking betreiben."
Linus Neumann will sich dazwischenschalten, zwischen Bankkunde und Bank. Er will die elektronische Überweisung abfangen, den Überweisungsbetrag verändern und das Geld auf sein eigenes Konto umleiten, ohne dass der Kunde oder die Bank etwas davon bemerken:
"Wir haben einen Angreifer-Rechner, mit dem wir dann simulieren, wie wir eine Banking- Transaktion, die Zugangsdaten und die Authentifizierungsdaten abgreifen, um uns zu bereichern."
Hierfür setzt der Angreifer einen Trojaner ein, der sich auf einer beliebigen Website verstecken kann, in diesem Fall auf einer von den Angreifern gefälschten Website der Bank. Seitdem es Onlinebanking gibt, ähneln sich Angriffe auf fremde Konten.
Schon beim Aufrufen der gefälschten Website lädt sich der Trojaner unbemerkt auf den angegriffenen Computer und verrät dem Angreifer ab diesem Zeitpunkt jeden Tastendruck seines Opfers. So erfährt der Angreifer Geldinstitut, Kontonummer und Passwort, - schon ist er mit dessen Bank verbunden und kennt auch den Kontostand.
Eine Überweisung des Opfers kommt so nicht bei der Bank an, sondern auf dem Rechner des Täters. Der kann nun sein gefälschtes Formular an die Bank absenden und erhält von dort prompt eine Antwort:
"Zur Betätigung Ihrer Transaktion geben Sie TAN 65 ein."
Diese Aufforderung leitet er sofort weiter an sein Opfer. Das Opfer, das immer noch glaubt, mit seiner Bank verbunden zu sein, sendet die TAN wieder an dem Angreifer die TAN. Der leitet sie weiter an die Bank des Opfers, die dessen Geld an das Konto des Täters überweist. Kurz danach wird der Täter sein Konto schließen und irgendwo anders ein neues eröffnen.
Seitdem dieser Trick bekannt wurde, erhöhten die meisten Banken die Sicherheit. Transaktionsnummern stehen nicht mehr als Ziffern auf einem Papier, sondern entstehen, - sozusagen als Ergebnis einer Rechenaufgabe, deren Komponenten aus Datum, Kontonummer, Überweisungsbetrag und den Namen der Beteiligten bestehen. Eine weitere Hürde für Angreifer ist, dass Banken im sogenannten M-TAN-Verfahren Transaktionsnummern per SMS an ihre Kunden senden. Doch die Verbrecher haben nachgerüstet.
Im Büro der Sicherheitsfirma zeigt Linus Neumann den simplen Trick, mit dem ein "Man in the Middle" die totale Kontrolle über ein Konto bekommt. Argwöhnisch müssten Bankkunden werden, wenn sie auf einer Website aufgefordert werden, ihre der Bank längst bekannte Mobilnummer erneut einzugeben. Einige aber tun Angreifern diesen Gefallen.
"Er schreibt dem Opfer eine SMS oder E-Mail auf sein Mobiltelefon, mit dem Vorschlag, eine Software auszuprobieren. Das Opfer-Mobiltelefon empfängt die Empfehlung und lädt diese App herunter, die von der 'Sicherheitsbehörde' oder von der 'Bank' empfohlen wurde, installiert diese und jetzt haben wir eine Maleware- Infektion auf diesem Mobiltelefon."
Das infizierte Telefon leitet künftig jede, von der Bank an den Kunden übermittelte Transaktionsnummer direkt um, zum Angreifer:
"Ich habe alles, was ich brauche, ich habe eine Möglichkeit, die SMS abzufangen, ich habe den Zugang zu diesem Konto, ich kann nun verschiedene Transaktionen durchführen, bekomme jeweils die Transaktionsnummer dazu und kann dieses Konto leer machen."
Beim Chip-TAN-Verfahren sendet die Bank keine SMS mehr. Der "Man in the Middle" schaut in die Röhre. Bankkunden sehen auf dem Mini-Bildschirm eines kleinen Gerätes die Transaktionsnummer, wenn man, wie bei der Bezahlung im Supermarkt zunächst die EC-Karte hineinsteckt. Ist online das Überweisungsformular ausgefüllt, halten Benutzer die, mit Fotozellen ausgestattete Rückseite des TAN-Generators in Richtung Bildschirm. Von dort empfängt er blinkende Lichtsignale.
"Es ist letzten Endes so ähnlich, wie Morsezeichen. Der Leser setzt die Zahlen nachher wieder zusammen. Jetzt wird aus Kontonummer und Betrag, in Verbindung mit meinem individuellen Kartenschlüssel eine einmalige TAN- Nummer errechnet und die gebe ich, wie vorher beim Internetbanking ein und sage, Absenden!"
Andreas Staiger, Geschäftsführer eines Herstellers aus Furtwangen arbeitet bereits an Verfahren mit Barcodes und vielfarbigen Punktmustern, mit denen auch Smartphones eine TAN erzeugen können. Wichtig sei, dass der "Man in the Middle" nichts mehr umleiten kann, selbst wenn ihm ein Trojaner noch weiterhin jeden Tastendruck verrät.
Staiger: "Wenn jetzt ein Angreifer sagt, ich will nicht 50 sondern 5000 Euro überweisen, dann passt die TAN- Nummer nicht zu dem Auftrag. Und dadurch, dass ich an dem separaten Gerät eine sichere Anzeige habe, bin ich sicher, dass ein Angreifer mit meiner TAN-Nummer keine andere Überweisung, als die, die ich durchführen möchte tätigen kann."
Ausgetrickst ...?!
Staiger: ""Ausgetrickst!" (lacht)"