Zurück

SternTV vom 20.11.13 – Sicherheitslücken bei mTAN-Verfahren

02.12.2013 23:04 von Samuel

Heute schreibe ich etwas über die Stern-TV Sendung die gestern ausgestrahlt wurde. Unter anderem ging es um Sicherheitslücken beim mTAN Verfahren in Deutschland.

Was ist mTan?

mTan ist ein TAN, also eine Transaktionsnummer. Allerdings steht das “m” für “mobile”. Es ist eine Transaktionsnummer die dem Benutzer auf das Handy geschickt wird. (Via SMS) Die TAN muss beim Bezahlen oder/und anmelden im Online-Formular des E-Bankings eingetragen werden. Natürlich ist es ein kinderspiel für die Angreifer, sich diese TAN abzufangen und den ahnungslosen Benutzer auf eine gefälschte Seite weiterzuleiten. Vorausgesetzt der Angreifer hat das Opfer bereits mit einem Trojaner infiziert.

TAN oder mTAN oder oder oder?

Theoretisch ist es relativ egal ob es nun ein mTAN-Verfahren oder irgend ein anderes TAN-Verfahren ist. Eine TAN ist immer ein “Einmalpasswort”. Es kann also nach dem generieren nur einmal benutzt werden.

Möglicher Angriff via Trojaner/Banking-Bot

Das Problem jedoch ist, dass dieses “Einmalpasswort” trotzdem noch im Browser für das E-Banking eingegeben werden muss. Und genau da schlägt der Trojaner/Banking-Bot oder sonstige Malware an. Sie fangen die Eingabe ab und leiten das Opfer auf eine gefälschte Seite. Im Hintergrund wird natürlich diese TAN an den Angreifer geschickt. Dieser muss jedoch schnell sein, da die TAN ablaufen kann und z.B. nur x Minuten gültig ist.

Möglicher Angriff via HTTP-Cookies

Bei einigen E-Banking-Seiten werden beim Einloggen sogenannte “HTTP-Cookies” erstellt. Die Sitzung startet beim Anmelden im E-Banking und endet erst beim Abmelden. Das heisst: Wenn der Angreifer Ihre Cookies klaut, kann er in Ihrem E-Baking Konto eindringen bis Sie sich abmelden. Denn dann ist die Sitzung beendet und man wird automatisch ausgeloggt. Der Vorteil für einen Angreifer bei dieser Methode ist, dass der Angreifer keine Fälschung der Seite anfertigen bzw. Weiterleitung einrichten muss. Das Opfer meint, er sei wie gewohnt in seinem E-Banking Account. Alleine. Täuscht sich aber vielleicht.

Banken

Die Banken probieren immer wieder neue Sicherheitsmassnahmen. Jedoch machen die meisten – obwohl sie es genau wissen – nur schleichwerbung für Ihre Sicherheit.

Handys

Bei der Frage, welches Betriebssystem man benutzen sollte für das Smartphone, gibt es eigentlich nur eine Antwort: Am Besten keines. Da es verschiedene Angriffsarten gibt, ist kein Handy vor TAN-Diebstahl geschützt. Falls es jedoch nur darum geht sich vor Malware zu schützen, ist man im Vergleich zu Android, mit dem iOS von Apple sicher auf der sichersten Seite. Die Applikationen die an Apple gesendet werden, werden von Apple auf Schadcode überprüft und kommen nur dann in den App-Store falls diese keinen schädlichen oder unsauberen Code enthalten.

SternTV Sicherheitsexperte Tobias Schrödel

Der TV-Sicherheitsexperte (Ironie nicht ausgeschlossen) oder “IT-Sicherheitsexperte” Tobias Schrödel, erklärt live, wie man einen gefälschten Link in einem Phishing-Mail erkennen kann.

Was ist Phishing?

Eine Phishing-Mail ist eine Nachricht die dem Benutzer vorgaukelt, es wäre eine Nachricht von Ihrer Bank. Der dazugehörige Link führt meinstens zu einer 1:1 gefälschten Website. Die Eingaben die der Benutzer dannach tätigt, werden den Angreifern übermittelt und das Opfer wird auf die richtige originale Website der Bank weitergeleitet.

Hier den Video-Ausschnitt dazu:

Tobias Schrödel erklärt, wie man einen solchen Link als schädlich erkennen kann. Leider finde ich den Tipp nicht wirklich gut durchdacht.

Warum?

Ganz einfach darum, weil man in HTML-Emails den Link so umändern kann, dass auf beim drüberfahren nicht der richtige Link angezeigt wird. Die meisten Phishing-Mails sind im HTML Format und somit ein Kinderspiel für die Angreifer. Ein möglicher Angriff mit solch einem Link habe ich bereits hier veröffentlicht: Zum Blog-Eintrag

Aber das war natürlich noch nicht alles. Tobias Schrödel erklärt auch wie die Angreifer ihre Links mit Schriften verändern, damit man nicht erkennt ob es z.B. ein “I” (i gross) oder ein “l” (l klein) ist. Hier ein Video dazu:

Es mag zwar spannend für die Zuschauer sein, da es relativ professionell ausschaut. Doch eigentlich ist diese Idee totaler Schwachsinn. Auch hier gillt: Wenn der Angreifer eine HTML E-Mail versendet, kann der den Link so auschauen lassen wie er will. Sogar mit “https://” am Anfang des Links. Das sieht dann z.B. so aus:

https://ebanking-ch1.ubs.com/workbench/Index.do?login

Wir sehen hier einen originalen Link und wenn Sie derüber “fahren”, wie es der SternTV Sicherheitsexperte “Tobias Schrödel” erklärt, sehen Sie immer noch den originalen Link! Dieser Tipp hilft hier genau nichts und ist daher meiner Meinung nach nicht wirklich hilfreich. Im Gegenteil: Es kann sein dass jetzt alle RTL-Zuschauer bei der nächsten E-Mail der Bank diesen Profi-Tipp aus der Trickkiste von Tobias Schrödel anwenden.

Tipps & Tricks

Man kann sich nicht 100%ig vor Angriffen schützen. Allerdings kann man sein E-Banking um einiges sicherer gestalten:

  • Einen Computer verwenden NUR für das E-Banking
  • Falls WLAN vorhanden, verschlüsseln! (Kein WEP!)
  • ABMELDEN nicht vergessen. Nicht zu lange angemeldet sein
  • Eine Personal-Firewall die NUR den Zugriff via HTTP-Protokoll auf die E-Banking-URL zulässt.

Fazit

Mein Fazit zu diesem Beitrag, ist, dass man den Hinweis “Hin und wieder erkläre ich auch bei SAT.1 oder RTL die schwierigen Dinge einfach.”, auf Tobias Schrödels Seite, sehr ironisch betrachten kann ;-)

Hier finden Sie noch den SternTV Artikel zu diesem Thema: http://www.stern.de/tv/sterntv/sicherheitsluecken-bei-mtan-verfahren-so-leicht-pluendern-hacker-fremde-bankkonten-2069062.html

Zurück

Einen Kommentar schreiben