21.12.2012 19:19

iTAN vs. mTAN

Ich wurde in den letzten Wochen darauf angesprochen, ob man nicht ob der Eurograbber (ZeuS in the mobile) Angriffe auf electronic Banking wieder auf die iTANs zurück steigen sollte.

Dazu ein paar Klarstellungen:

Keine Sicherheitsmaßnahme ist zu 100% sicher, insbesondere weil immer davon ausgegangen werden muss, dass der Mensch dahinter Fehler macht und seinen Teil des Sicherheitsprotokolls nicht immer korrekt ausführt.

Beim Vergleich von Maßnahmen muss sich also überlegen, gegen welche Art von Angriffen diese helfen sollen und wo deren Grenzen liegen.

Die klassiche TAN (TransaktionsNummer) löst primär das Problem von Replay-Attacken, wo ein Mitlauscher die Zugangsdaten des Users für eine zweite Transaktion missbraucht. Der klassische Angriff dagegen ist die "Phishingseite" (eine nachgebaute Bankwebseite), die den User zur Eingabe von TANs überreden soll.

Um das abzufangen wurde die iTAN (indizierte TAN) eingeführt, damit eine einzelne entlockte TAN nicht mehr direkt benutzbar ist. Die iTAN-Systeme wurden auf mehrere Arten angegriffen: Die Phishingseiten haben schlicht angefangen, möglichst viele TANs abzufragen (und ja, es gibt Kunden, die dutzende TANs dort eingegeben haben). Viel böser sind aber die Angriffe mittels Schadsoftware am PC ("man-in-the-browser"). In diesem Fall verändert die Malware eine legitime Überweisung des Kundens so, dass die Bank eine andere Transaktion ausführt, als der Kunde bei sich im Browser sieht.

Die mTAN (mobile TAN, per SMS) kann hier weiterhelfen, da die SMS an den Kunden nicht nur die TAN, sondern auch die Transaktionsdaten enthält. Wenn der Kunde diese überprüft und richtig reagiert, dann lässt sich damit eine weitere Klasse von Angriffen abwehren.

Aber auch die mTAN ist aushebelbar, wie die Eurograbber Kampagne heuer gezeigt hat. Das hat im wesentlichen so funktioniert, dass dem Kunden Malware für das Handy untergeschoben wurde, die die mTANs transparent an die Phisher weitergibt. Dazu hat die Malware am PC im Kontext einer Onlinebanking-Session den Kunden zur Installation von "Sicherheitssoftware" am Smartphone angeleitet. Für den User ist es nicht zu erkennen, dass diese Anleitung nicht von der Bank, sondern von Malware auf seinem eigenen PC kommt.

Ist die mTAN also doch nicht besser als die iTAN? NEIN, das ist sie nicht. Sie ist nur nicht perfekt. Für eine Phishing-Bande, die mTAN aushebeln kann, ist eine iTAN auch kein Hindernis. Dazu braucht es leicht andere Tricks, die aber in Summe einfacher einzusetzen sind.

Wie geht das alles jetzt weiter?

Das fundamentale Problem, das Online-Banking aktuell hat, sind die Man-in-the-Browser Attacken mittels Malware am PC. Das ermöglicht nicht nur Manipulationen direkt an Transaktionen, sondern bietet weite Gelegenheiten für Social Engineering am Opfer.

In die reale Welt übersetzt haben wir das Problem, dass der Kunden glaubt, direkt mit dem echten Schalterbeamten zu sprechen, während sich transparent ein Betrüger in das Gespräch zwischengeschaltet hat. Der Kunden kann nicht den Satz des echte Bankangestellen vom eingestreuten Satz des Bösewichts unterscheiden.

Wie schon die Trolle im Hobbit gemerkt haben: Das ermöglicht ziemlich gefinkelte Manipulationen.

Social Engineering auf diesem Weg kann dazu führen, dass der Kunde selber Geld auf die Konten der Diebe überweisen will (Rücküberweisungen, Anlageangebote, Spendenkonten, ...). Dann ist es völlig egal, welche technischen Sicherungsmaßnahmen benutzt werden. Das Opfer will ja die Überweisung in genau der Form ausführen.

Was ist daher wirklich wichtig?

Ein sauberer Browser ist essentiell. Das lässt sich auf mehrere Arten gewährleisten: Ein eigener Rechner für Online-Banking mag für die Privatperson Overkill sein, für Firmen aber sinnvoll sein. Eine virtuelle Maschine -- am besten von einem read-only Medium gebootet -- ist für viele gangbar. Die Online-Banking Apps am Tablet sind derzeit auch eine gute Wahl, dort sind mir derzeit keine Man-in-the-App Angriffe bekannt.

Aber das wichtigste ist immer ein gesundes Misstrauen. Wenn die Bank von dir neue, eigenartige Dinge haben will -- egal ob per Mail oder auch in der Onlinebanking Session -- dann heißt es immer Hirn einschalten und besser einmal zu oft als einmal zu wenig bei der Hotline anrufen und bei einem Menschen nachfragen. Aber Achtung: wenn der Wurm schon im PC ist, dann ist auch schon mal die Hotline-Nummer auf der Webseite verdreht.

Ist Online-Banking generell in Frage zu stellen? NEIN. Auch das klassische Bankgeschäft mit den Erlagscheinen auf Papier ist angreifbar. Detto Kreditkarten. Detto so gut wie alles, was wir im täglichen Leben machen. Die Haftungsfrage ist für den Privatkunden der Banken die gleiche online wie offline: Die Bank kann nicht die Verantwortung auf den Kunden abschieben, dieser darf sich aber im Gegenzug nicht extrem ungeschickt verhalten.

(Bei der Gelegenheit: Das CERT macht bis zum 27. Weihnachtspause. Für Notfälle sind wir aber -- wie immer -- erreichbar.)

Autor: Otmar Lendl