Sicherheitslücken bei Bezahlvorgängen

Multiple Angriffsvektoren beim digitalen Bezahlen

| Autor / Redakteur: Robert Busch / Peter Schmitz

Risiken beim Onlinebanking

Hinter Onlinebanking stehen äußerst finanzkräftige Institute, die einen Ruf zu verlieren haben. Daher gibt es hier zwar keine einfachen Angriffsvektoren; es braucht also Hacker mit Expertise und Equipment. Absolute Sicherheit gibt es jedoch auch in diesem Segment nicht.

Trojaner

Trojaner, die Onlinebanking ausnutzen, gibt es eine Menge. In der simpelsten Variante greifen sie einfach eingegebene Daten ab. Das ist vor allem bei älteren, aber nach wie vor verwendeten TAN-Verfahren ein Problem.

Jedoch nimmt das Risiko in jüngerer Zeit wieder zu – weil viele Onlinebanking-Prozesse nicht mehr über Banken laufen, sondern alternative Zahlungsdienstleister genutzt werden. Damit wird das Abgreifen von E-Mail und Passwort, welches im Default-Modus die einzigen Hürden sind, um auf ein PayPal-Konto zuzugreifen, wieder lohnenswert. Erleichtert wird diese Methode noch dadurch, dass viele User die Zahlungsdaten auf dem Browser speichern.

Wissenswert: Viele Zahlungsdienstleister offerieren zusätzliche Authentifizierungsmethoden, etwa über Handynummern, sodass beim Einloggen eine SMS mit einem Einmal-Code versendet wird, der eingegeben werden muss.

Pharming

Das Pharming-Prinzip.
Das Pharming-Prinzip. (Bild: Robert Busch)

Reguläres Phishing ist vergleichsweise simpel. Die Webseite wirkt zwar täuschend echt, aber die URL ist es nicht.

Pharming indes ist die ausgeklügeltere Phishing-Variante. Sie nutzt die Tatsache, dass Browser eine sogenannte DNS-Abfrage durchführen. Man gibt eine Adresse ein, der Browser „fragt“ praktisch eine Adressliste auf DNS-Servern ab und bekommt in der Antwort eine IP-Adresse der gewünschten Seite.

Beim Pharming schalten sich Kriminelle in alle Anfragen, die zu einem bestimmten Dienstleister gehen. Alles, was vom Browser in diese Richtung läuft, wird automatisch über das System der Kriminellen geleitet. Das Perfide daran: Man selbst bekommt eine täuschend echt wirkende Webseite präsentiert, bei der auch die URL stimmt.

Wissenswert: Immer in der Browserzeile darauf achten, dass dort „https“ steht, nicht nur „http“. In dem Fall öffnet der Browser eine Seite erst, wenn er ein Sicherheitszertifikat bekommen hat.

TAN-Schwachstellen

Die Transaktionsnummer ist das beim herkömmlichen Onlinebanking übliche Verifikationsverfahren eines Kunden gegenüber seinem Kreditinstitut. Und Tatsache ist, dass es Banken sehr daran gelegen ist, diese Verfahren sicher zu halten; daher existiert auch eine ganze Reihe von Systemen, die als unterschiedlich sicher gelten und im Verbund mit einer PIN-Eingabe erfolgen müssen:

  • TAN-Listen, bei denen Einmal-TANs auf einer Liste aufgedruckt sind sehr unsicher und kaum noch verbreitet
  • iTAN, das ebenfalls über Listen funktioniert, bei denen aber jede TAN eine bestimmte Position hat. Die Bank fragt via Computer über eine elektronisch nicht lesbare Ziffer die Index-Position der entsprechenden TAN ab und nur diese TAN kann verwendet werden: (relativ sicher)
  • mTAN, bei dem eine nur eine Minute gültige TAN per SMS an ein zuvor registriertes Handy oder Festnetztelefon geschickt wird. Dieser Code muss dann an einem anderen Gerät eingegeben werden: (relativ sicher bei Handys, sehr sicher bei Festnetztelefonen)
  • eTAN, hierbei hat der Nutzer einen TAN-Generator bzw. ein Kartenlesegerät (eTAN Plus). Für die Transaktion erhält er eine Kontrollnummer, welche in den Generator eingegeben werden muss, der dann eine TAN erzeugt. Bei eTAN Plus kommt die EC-Karte zum Einsatz, welche diesen Schlüssel gespeichert hat, sodass er nicht übertragen werden muss: (sehr sicher)
  • chipTAN manuell, ein erweitertes eTAN-Plus-Prinzip. Die Transaktionsdaten (Betrag + IBAN) werden sowohl am PC wie im kartenlesenden TAN-Generator eingegeben. Dieser erzeugt basierend darauf eine einmalige TAN, welche dann in den PC eingegeben wird: (sehr sicher)
  • chipTAN optisch/Komfort, auf dem Bildschirm wird ein maschinenlesbarer Code angezeigt. Diesen muss das Kartenlesegerät über einen Sensor einlesen. Dann werden darauf die Überweisungsdaten angezeigt. Stimmen sie mit den Daten auf der Rechnung überein und bestätigt der Nutzer dies, wird eine TAN generiert: (sehr sicher)
  • QR-/PhotoTAN, es wird ein maschinenlesbarer Code versendet. Dieser kann per App und Smartphone eingelesen werden und erzeugt dann eine TAN. Vor der erstmaligen Nutzung muss ein Handy auf diesen Account registriert werden, dazu erhält der Kunde einen (analog ausgehändigten) Code.: (sehr sicher)

Das Problem an den TANs ist, dass längst nicht jedes Kreditinstitut einheitlich arbeitet. So gibt es Banken, die nach wie vor indexierte TAN-Listen ausgeben.

Auch die höheren Systeme sind nicht unüberwindlich. Das mTAN-Verfahren wurde bereits mehrfach großmaßstäblich überwunden (Kombination aus Pharming, MitM und einer Sicherheitslücke in Mobilfunknetzen). Gleiches gilt für das optische chipTAN, bei dem allerdings schon nachgebessert wurde. Allerdings sind die meisten Lücken abermals einer Tatsache anzulasten:

User-Fehlverhalten

Wie kann etwas so Sicheres wie chipTAN überwunden werden? Ganz einfach: Indem User nicht die Zahlungsdetails auf dem Kartenlesegerät mit der Rechnung abgleichen. Hier mangelt es oft an Sorgfalt. Immer wieder zeigt sich, dass die Verfahren zu sorglos genutzt werden. Etwa durch schlecht gesicherte WLAN-Verbindungen oder auch Onlinebanking über öffentlich zugängliche Rechner.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45981407 / DDoS, Fraud und Spam)