Online-Banking: Neuer Angriff auf chipTAN-Systeme

Dieses Thema im Forum "PC&Internet News" wurde erstellt von josef.13, 5. September 2012.

  1. josef.13
    Offline

    josef.13 Moderator Digital Eliteboard Team

    Registriert:
    1. Juli 2009
    Beiträge:
    16.709
    Zustimmungen:
    16.199
    Punkte für Erfolge:
    113
    Ort:
    Sachsen
    Das IT-Sicherheitsunternehmen Trusteer hat einen Angriff gegen die von einigen deutschen Banken für Online-Transaktionen verwendeten chipTAN-Systeme dokumentiert. Bei chipTAN-Systemen muss eine Smart-Card in eine spezielles Lesegerät eingeschoben werden, um eine Transaktionsnummer (TAN) zu generieren. Der Angriff basiert auf der bereits bekannten "Tatanga"-Malware.

    Der Trojaner überprüft die hinterlegten Konten. Dabei wird unter anderem ermittelt, wie viele Konten der Nutzer besitzt, welche Währungen dabei unterstützt werden, wo das Dispo-Limit ist. Der Trojaner wählt anschließend das Konto, von dem der höchste Betrag entwendet werden kann.
    Ist dies erledigt, startet "Tatanga" eine Überweisung. Um diese zu legitimieren, injiziert die Malware Anweisungen in den Webbrowser des Nutzers, die den Nutzer glauben lassen, seine Bank führe einen Test des chipTAN-Systems durch. Der Nutzer soll dabei eine TAN für den "Test" generieren und diese durch Drücken der Enter-Taste bestätigen. Die Anweisungen erscheinen auf Deutsch und lauten wie folgt:

    Stecken Sie Ihre Chipkarte in den TAN-Generator und drücken "F".

    Halten Sie den TAN-Generator vor die animierte Grafik. Dabei müssen die Markierungen (Dreiecke) von der Grafik mit denen auf Ihrem TAN-Generator übereinstimmen.
    Prüfen Sie die Anzeige auf dem Leserdisplay und drücken "OK".
    Prüfen Sie die Hinweise (Empfänger-Kontonummer (ohne führende Nullen), Bankleitzahl des Empfängers und Betrag) auf dem Leserdisplay und bestätigen diese dann jeweils mit "OK" auf Ihrem TAN-Generator.
    Hinweis: Überprüfen Sie die Anzeige des TAN-Generators immer anhand der Original-Transaktions-Daten - z.B. einer Rechnung.

    Die generierte TAN wird anschließend vom Tatanga-Trojaner abgefangen und für die im Hintergrund laufende Transaktion verwendet. Die Malware manipuliert außerdem den Kontoauszug des Betroffenen, um die unerlaubte Überweisung zu verschleiern.

    Normalerweise gilt das chipTAN-System als vergleichsweise sicher. Wie der nun dokumentierte Angriff jedoch zeigt, kann auch dieses System - hier durch eine Kombination von "Man-in-the-Browser-Angriff" und Social-Engineering-Techniken - ausgehebelt werden. Trusteer empfiehlt die Verwendung entsprechender Schutzsoftware, um eine Infektion mit Malware wie Tatanga oder auch dem ebenfalls auf das Auslesen von Banking-Informationen spezialisierten ZeuS-Trojaner zu verhindern. Auch entsprechende Verhaltensregeln und Aufklärungs-Kampagnen können helfen - ist einBenutzer über entsprechende Angriffe aufgeklärt, ist das Risiko, auf den "Test" hereinzufallen, wesentlich geringer.

    Quelle: gulli
     
    #1
  2. Pretender666
    Offline

    Pretender666 Elite Lord

    Registriert:
    28. Juli 2008
    Beiträge:
    3.288
    Zustimmungen:
    745
    Punkte für Erfolge:
    113
    Geschlecht:
    männlich
    AW: Online-Banking: Neuer Angriff auf chipTAN-Systeme

    Wo ist der Angriff auf die ChipTAN ?

    Hatte schon gedacht die Smartcards wären geknackt.

    TITEL ist irreführend und reißerich.

    Das ist eher ein Angriff auf den dummen Nutzer der die TAN selbst generiert. Ausserdem zeigt das TAN Gerät ja die Überweisungsdaten an.
     
    #2

Diese Seite empfehlen

OK Mehr information

Diese Seite verwendet Cookies. Mit Ihrem Klick auf OK stimmen Sie der Verwendung von Cookies zu. Andernfalls ist die Funktionalität dieser Website beschränkt.