(openPR) Aachen, 23. November 2009. Beim chipTAN comfort-Verfahren gefährden neu aufgedeckte Angriffsmöglichkeiten die Sicherheit des Online-Banking. RedTeam Pentesting gelang es, Überweisungen trotz des Einsatzes von chipTAN comfort unbemerkt auf dritte Konten umzuleiten. Aktuell wird das chipTAN comfort-Verfahren unter anderem von den Sparkassen als neues, sicheres Online-Banking-Verfahren eingeführt.
ChipTAN comfort ist ein neues Verfahren, welches die Sicherheit im Online-Banking verbessern soll. Statt klassischer TAN- oder iTAN-Listen wird ein zusätzliches Gerät mit eigenem Bildschirm verwendet. Dieses zeigt dem Benutzer die Transaktion zur Bestätigung an. So soll verhindert werden, dass Daten unbemerkt manipuliert werden.
Die vorgestellten Angriffe auf chipTAN comfort sind sogenannte Man-in-the-Middle-Angriffe. Dabei kontrolliert ein Angreifer den Datenverkehr zwischen dem Bankkunden und der Online-Banking-Webseite. Insbesondere sind auch Manipulationen des Datenverkehrs möglich. Solche Angriffe, zum Beispiel mittels Phishing und Trojanern, sind heute bereits gängige Praxis. Die gegen chipTAN comfort entwickelten Angriffe lassen sich trotz des zusätzlichen, vertrauenswürdigen Geräts nicht sicher erkennen. Die Anzeige des Geräts bestätigt die Anzeige der Online-Banking-Webseite.
RedTeam Pentesting hat innerhalb weniger Tage ein Beispielprogramm entwickelt, welches einen der vorgestellten Angriffe automatisiert durchführt. Im Rahmen einer Demonstration wurde von diesem Programm eine Überweisung auf ein anderes Konto umgeleitet.
Die von RedTeam Pentesting aufgedeckten Angriffsmöglichkeiten ähneln den bekannten Angriffen auf das iTAN-Verfahren und erfordern einen vergleichbaren Aufwand. Die entsprechenden Angriffsmöglichkeiten gegen iTAN wurden von RedTeam Pentesting bereits 2005 vorgestellt. Seit 2008 werden solche Angriffe auch in der Praxis beobachtet (vergleiche BKA: Kern-aussagen zur IuK-Kriminalität 2008).
* http://www.redteam-pentesting.de/advisories/rt-sa-2005-014
* http://www.bka.de/lageberichte/iuk/2008/kernaussagen_iuk_2008.pdf
Es ist zu vermuten, dass bei einer entsprechenden Verbreitung des chipTAN comfort-Verfahrens auch dieses vermehrt angegriffen wird. Genaue technische Details zu den Angriffen sind unter http://www.redteam-pentesting.de/publications/MitM-chipTAN-comfort veröffentlicht.
Presseinformation
Online-Banking: Erfolgreicher Angriff gegen chipTAN comfort-Verfahren
Diese Pressemeldung wurde auf openPR veröffentlicht.
Verantwortlich für diese Pressemeldung:RedTeam Pentesting GmbH
Dennewartstr. 25-27
52068 Aachen
Tel. : +49 241 963-1300
Fax : +49 241 963-1304
E-Mail:
http://www.redteam-pentesting.de/
Dennewartstr. 25-27
52068 Aachen
Tel. : +49 241 963-1300
Fax : +49 241 963-1304
E-Mail:
http://www.redteam-pentesting.de/
Über das Unternehmen
RedTeam Pentesting bietet individuelle Penetrationstests, durchgeführt von einem Team spezialisierter IT-Sicherheitsexperten. Ein Penetrationstest bezeichnet die Sicherheitsüberprüfung eines IT-Systems durch einen kontrollierten Angriff. RedTeam Pentesting hat bereits 2005 Schwachstellen im iTAN-Verfahren aufgedeckt. Diese erstmalige Veröffentlichung von Angriffsmöglichkeiten auf das gerade neu eingeführte Verfahren wurde in der Öffentlichkeit viel beachtet.
Pressebericht „Online-Banking: Erfolgreicher Angriff gegen chipTAN comfort-Verfahren“ bearbeiten oder mit dem "Super-PR-Sparpaket" stark hervorheben, zielgerichtet an Journalisten & Top50 Online-Portale verbreiten:
Disclaimer: Für den obigen Pressetext inkl. etwaiger Bilder/ Videos ist ausschließlich der im Text angegebene Kontakt verantwortlich. Der Webseitenanbieter distanziert sich ausdrücklich von den Inhalten Dritter und macht sich diese nicht zu eigen. Wenn Sie die obigen Informationen redaktionell nutzen möchten, so wenden Sie sich bitte an den obigen Pressekontakt. Bei einer Veröffentlichung bitten wir um ein Belegexemplar oder Quellenennung der URL.
Das könnte Sie auch interessieren:
Doppelter Schutz gegen Internet-Kriminalität
Münster. Das Online-Banking ist aus dem Alltag der meisten Bankkunden heute nicht mehr wegzudenken. Mit dem Erfolg der Online-Geschäftsprozesse wächst aber auch die Gefahr von Angriffen aus dem Internet. Dabei wird der Kunden-PC immer mehr zur Zielscheibe von Trickbetrügern und Computerkriminellen. Viele Trojaner greifen heute nämlich nicht mehr das …
NTT Security: Wie sicher sind Kryptowährungen wie Bitcoin & Co.?
… für Cyber-Kriminelle, und das gilt natürlich auch für Kryptowährungen", erklärt René Bader, Manager Critical Business Applications & Big Data bei NTT Security. "Auch beim herkömmlichen Online-Banking muss man auf die IT-Sicherheit achten, und wer sich auf dem Rechner, mit dem er Online-Banking betreibt, Malware eingefangen hat, der hat auch hier …
BitDefender stellt kostenloses Removal-Tool für Backdoor.Lavandos bereit
… (bitdefender.de) hat ein Removal-Tool für die gefährliche Malware Backdoor.Lavandos.A entwickelt. Der digitale Schädling hat es auf File-Transfer-Protokolle (FTP) und Online-Banking-Kennwörter abgesehen. Mit dem kostenlosen BitDefender-Programm können User, deren PC bereits infiziert ist, Backdoor.Lavandos.A zuverlässig entfernen. Das Removal-Tool steht …
Sichereres Online-Banking dank neuer Technologie aus Deutschland
(ddp direct)Der Bankraub 2.0 findet nicht in der Filiale vor Ort statt, sondern auf den PCs der Online-Banking-Nutzer. Der geschätzte Schaden lag in Deutschland allein im vergangenen Jahr bei ca. 100 Millionen Euro. Erste Wahl für die Täter sind intelligente Computerschädlinge sogenannte Banking-Trojaner die sie in immer neuen Varianten im Stundentakt …
Banken-Apps und Online-Banking nicht sicher!
2-stufige Verifizierungverfahren sowie Banking-Apps nicht sicher! Viele Banken-Apps für mobiles Online-Banking weisen Sicherheitslücken auf! Ralf Schmitz, Ethical-Hacker, der sich seit über 20 Jahre
------------------------------
Viele Banken-Apps für mobiles Online-Banking weisen Sicherheitslücken auf! Ralf Schmitz, Ethical-Hacker, der sich seit …
FAU-Forscher hacken Banking-Apps
Informatiker der Friedrich-Alexander-Universität Erlangen-Nürnberg (FAU) haben in einem Forschungsprojekt gezeigt, dass 31 Apps für mobiles Online-Banking nicht sicher sind, darunter die der Sparkasse, der Volks- und Raiffeisenbanken und der Commerzbank. Den Wissenschaftlern ist es gelungen, eine etablierte Sicherheitssoftware automatisiert unwirksam …
Sicherheitswarnung: Malware statt Reiseunterlagen
… Das Schadprogramm fällt immer wieder durch besonders ausgefeilte Angriffstaktiken auf, z.B. durch den sogenannten Retouren-Angriff. Hierbei wird durch eine Manipulation der angezeigten Online-Banking-Seite, dem Kunden ein fehlgeleiteter Zahlungseingang mit der Bitte um Rücküberweisung vorgegaukelt. Für den Kunden ist der Betrug nur schwer zu enttarnen, …
Software gegen Datenspionage kostenlos auf der CeBIT
… oder bei öffentlichen Hotspots gegenüber möglichen Manipulationen durch Lauschangriffe von außen weitgehend ohne Schutz. Dadurch bleibt es für sie unbemerkt, wenn sie etwa beim Online-Banking elektronisch ausspioniert werden und Fremde ihre Kontodaten oder das Passwort mitlesen. Der Security-Anbieter COMCO AG stellt hierfür nun auf der CeBIT 2008 (Halle …
Deutsche Bank Opfer von Sicherheitslücken bei iTAN
… ein, sobald der Online-Kunde eine Überweisung tätigen will. Der Virus tauscht im Hintergrund die Überweisungsdaten aus. Mit der angeforderten TAN bestätigt der Online-Banking-Kunde die betrügerische Überweisung des Hackers. Auf seinem eigenen PC-Bildschirm sieht er allerdings immer noch die von ihm veranlasste Original-Überweisung. Selbst die Umsatzanzeige …
BGH: Bankkunde haftet für fahrlässige Preisgabe von TAN-Nummern
… betrügerischen Dritten verursachten Schäden.
In dem unlängst ergangenen Urteil des Bundesgerichtshofs war zu entscheiden, unter welchen Voraussetzungen sich ein Bankkunde beim Online-Banking bei einem sogenannten Pharming-Angriff schadensersatzpflichtig macht. Der Bankkunde nahm die beklagte Bank auf Rückzahlung einer über das Online-Banking ausgeführten …
Sie lesen gerade: Online-Banking: Erfolgreicher Angriff gegen chipTAN comfort-Verfahren