Auf der Pirsch. Einem Team an der Ruhr Uni Bochum ist es gelungen, das neue beim Online-Banking verwendete Sicherheitsverfahren iTAN zu knacken. Phishing bleibt also gefährlich. Immer mehr Online-Banking-Kunden fallen auf gefälschte Mails herein, die ihre Daten ausspionieren (Phishing). Sicherheit versprechen sich die Banken vom iTAN-Verfahren – dabei benutzt der Kunde nicht eine beliebige TAN (Transaktions-Nummer) aus seiner Liste, sondern eine bestimmte TAN wird von der Bank anhand ihrer Indexnummer vorgegeben. Nun konnte nachgewiesen werden, dass auch dieses Verfahren durch Phishing überwunden werden kann: Mitgliedern der Arbeitsgruppe Identitätsschutz im Internet (AI3) der RUB ist es gelungen, mit Hilfe eines "Man-in-the-Middle"-Angriffs über eine gefälschte Webseite den symbolischen Betrag von 1,- Euro auf ein beliebiges anderes Konto transferieren. Schutz besteht nur bei einer überprüften SSL-Verbindung.
Empfohlen werden Kartenleser, bei denen die Informationen auf der Karte verbleiben. Allerdings ist dies mit mehr Aufwand verbunden und die Kartenleser kosten Geld. Zudem mangelt es an Treibern für das Mac OS X.
Weiterführende Informationen
www.rub.de
www.a-i3.org
Kommentare sind geschlossen.