iTAN-Verfahren schützt nicht völlig vor Phishing

Das von immer mehr Banken eingesetzte iTAN-Verfahren schützt das Online-Banking – entgegen anderslautenden Behauptungen – nicht vollständig vor Phishing-Angriffen.

Das von immer mehr Banken eingesetzte iTAN-Verfahren schützt das Online-Banking – entgegen anderslautenden Behauptungen – nicht vollständig vor Phishing-Angriffen. Darauf haben Forscher der Ruhr-Universität Bochum (RUB) hingewiesen. Beim iTAN-Verfahren nutzt ein Bankkunde nicht eine beliebige TAN (Transaktionsnummer), sondern eine bestimmte TAN, die von der  Bank vorgegeben wird.

Auch dieses Verfahren kann jedoch durch Phishing überwunden werden kann, teilte die ‘Arbeitsgruppe Identitätsschutz im Internet’ (AI3) der RUB mit. Den Forschern ist es nach eigenen Angaben gelungen, mit Hilfe eines ‘Man-in-the-Middle’-Angriffs über eine gefälschte Webseite Geld auf ein anderes Konto zu transferieren. Dies geschah binnen eines Tages und mit Hilfe eines nicht spezialisierten Programmierers, hieß es.

Bei einem Man-in-the-Middle-Angriff sendet ein Hacker eine herkömmliche Phishing-Mail an das Opfer. Letzteres wird mit einer plausibel klingenden Begründung dazu gebracht, auf einen in der E-Mail enthaltenen Link zu klicken und ist so mit der Site des Angreifers verbunden. Die aufgerufene Seite sieht dem Original zum Verwechseln ähnlich.

Über die gefälschte Site wird das Opfer jetzt dazu aufgefordert, die Kontonummer und die PIN einzugeben. Sobald die Daten beim Server des Angreifers eingetroffen sind, baut dieser eine Verbindung zum echten Bankserver auf. Die bei einer Transaktion gestellte Frage nach einer bestimmten iTAN wird dann automatisch an das Opfer weitergeleitet. So erhält der Angreifer genau die von der Bank gewünschte iTAN und kann zum Beispiel eine Überweisung tätigen.

AI3 habe auf die Anfälligkeit des iTAN-Verfahrens gegen Man-in-the-Middle-Angriffe wiederholt hingewiesen, hieß es von Georg Borges, Professor an der Juristischen Fakultät der RUB. “Wir betonen ausdrücklich, dass sowohl TAN- als auch iTAN-Verfahren bei korrekter Überprüfung der SSL-Verbindung sicher sind.” Allerdings hätten die bisherigen Phishing-Angriffe gezeigt, dass die Anwender SSL schlichtweg ignorierten.

Ob eine Online-Verbindung sicher sei, könnten die Nutzer jedoch durch einen Klick auf das Schlosssymbol in der unteren Hälfte des Browsers erkennen. Das iTAN-Verfahren könne kein Ersatz für SSL sein, sondern dieses Verfahren nur ergänzen. Borges: “Hier ist weitere Aufklärungsarbeit zu leisten.”