Aktuelle Pressemeldungen zum Thema
Trojanersichere Online Accounts
Trojaner
(eigentlich: Trojanische Pferde) sind Computer-Viren, die auf dem
Rechner des Benutzers sitzen und dort abhoeren und/oder faelschen
koennen. Einfaches Beispiel: es ist offenbar nicht schwer fuer einen
Trojaner, das Passwort zu einem email-Account abzuhoeren: wenn der
Benutzer es am Rechner eingibt, achtet der Virus ganz einfach darauf,
welche
Tasten gedrueckt werden, und schon kennt er das Passwort. Anderes
Beispiel: beim Online Banking mit dem iTAN Verfahren kann ein Trojaner
eine Ueberweisung faelschen: aus 50 Euro an X werden dann durch einen
sogenannten Man-in-the-Middle Angriff des Trojaners 5000 Euro an
Y, und das, ohne dass der Bankkunde oder die Bank etwas
davon merken (siehe weiter unten).
Ein Verfahren heisst trojanersicher, wenn ein Trojaner es
nicht schaffen kann, bestimmte Teile der Kommunikation abzuhoeren
und/oder zu
faelschen. Es werden trojanersichere Verfahren untersucht und
entwickelt, speziell solche fuer Online Accounts (Bank, email, etc.).
Alle hier vorgestellten trojanersicheren Verfahren sind gleichzeitig
auch ein sicherer Schutz gegen sogenanntes spoofing, d.h. sie
schliessen Angriffe aus, bei denen der Account-Benutzer auf eine
gefaelschte Webseite gelockt wird, die so aussieht wie die Webseite des
Account-Servers.
Online Banking Verfahren
Auf dieser Seite sind die
Online-Banking Verfahren steckbriefartig
beschrieben.
|
Trojaner-unsicher |
Trojaner-sicher |
low-
tech,
d.h.
Papier
oder
Folie
|
|
|
elektr.
Geraet
|
|
|
Hier eine ähnliche Liste der Verfahren beim BSI: Online
Banking Verfahren
Das iTAN Verfahren beim Online Banking ist nicht trojanersicher
So funktioniert der Man-in-the-Middle Angriff eines Trojaners auf das
iTAN-Verfahren (nach dem Motto "tarnen, abhoeren, faelschen,
taeuschen"):
Der
Bankkunde gibt eine Ueberweisung ein, sagen wir 50
Euro an X. Das Formular wird vom Bankkunden abgeschickt, doch noch
bevor es verschluesselt wird (SSL) und durch das Internet an die Bank
geschickt wird, faengt der Trojaner es ab und macht daraus eine
Ueberweisung von 5000 Euro an Y. Dieser manipulierte
Ueberweisungsauftrag wird
verschluesselt und an
die
Bank geschickt. Die Bank empfaengt den Auftrag und schickt die
Rueckfrage
"Bitte bestaetigen Sie die Ueberweisung von 5000 Euro an Y mit der iTAN
Nr. 37!" an den Bankkunden. Nachdem die Nachricht beim Kunden-Rechner
angekommen ist und entschluesselt worden ist, aber noch bevor sie auf
dem
Bildschirm des Bankkunden angezeigt
wird, faengt der Trojaner sie ab und zeigt dann dem Bankkunden am
Bildschirm anstattdessen an "Bitte
bestaetigen Sie die Ueberweisung von 50 Euro an X mit der iTAN Nr.
37!".
Ahnungslos gibt der Kunde seine iTAN Nr. 37 ein. Der Trojaner gibt die
iTAN an die Bank weiter. Die Bank ueberweist 5000 Euro an Y. Weder der
Kunde noch die Bank haben etwas von dem Betrug bemerkt. Wenn der
Trojaner gut geschrieben ist, prueft er vor dem Angriff, wieviel der
Bankkunde maximal ueberweisen kann, und zeigt nach dem Angriff dem
Bankkunden noch ein paar Tage
lang in der Konto-Uebersicht Daten an, die so aussehen, als wenn 50
Euro an
X ueberwiesen worden waeren.
Der Angriff ist auf diesen pdf-Folien
als eine Art Daumenkino nochmal dargestellt. Hier ist ein Video von
IBM, das den Angriff auf das iTAN Verfahren ebenfalls darstellt: http://video.golem.de/internet/1692/ibm-ztic.html
Gibt es solche hinterhaeltigen Computer-Viren ueberhaupt? koennen
Hacker sowas hinkriegen? Antwort: Ja. Bislang gab zwar es kaum solche
Faelle, aber hier ist ein kleiner Vorgeschmack darauf (von Anfang
2008): Silentbanker
und Sinowal.
Ebenso unsicher wie das iTAN Verfahren gegenueber einem
Trojaner-Angriff sind das
TAN-Verfahren und die Verfahren HBCI-1 und HBCI-2. Sicher sind dagegen
die Verfahren TAN-Generator und chipTAN, mobile TAN (mTAN, SMS-TAN),
HBCI-3 (d.h.
HBCI mit Display) und neue Verfahren wie z.B. Internetausweis oder
visuelle TAN.
