Online-Banking: Neuer Angriff auf chipTAN-Systeme

[Annika_Kremer]

Das IT-Sicherheitsunternehmen Trusteer hat einen Angriff gegen die von einigen deutschen Banken für Online-Transaktionen verwendeten chipTAN-Systeme dokumentiert. Bei chipTAN-Systemen muss eine Smart-Card in eine spezielles Lesegerät eingeschoben werden, um eine Transaktionsnummer (TAN) zu generieren. Der Angriff basiert auf der bereits bekannten "Tatanga"-Malware.

zur News

[Trollolol]

Soll das ein Witz sein? Erst vor ein paar Wochen gab es hier eine nahezu identische News und auch diesmal hat sich nichts daran geändert, dass es sich um einen eher allgemeinen Angriff handelt und das chipTAN-Verfahren weder geknackt wurde, noch es sich um einen neuen Angriff handelt.

[Classiks]

Stecken Sie Ihre Chipkarte in den TAN-Generator und drücken "F".

Halten Sie den TAN-Generator vor die animierte Grafik. Dabei müssen die Markierungen (Dreiecke) von der Grafik mit denen auf Ihrem TAN-Generator übereinstimmen.

Prüfen Sie die Anzeige auf dem Leserdisplay und drücken "OK".

Prüfen Sie die Hinweise (Empfänger-Kontonummer (ohne führende Nullen), Bankleitzahl des Empfängers und Betrag) auf dem Leserdisplay und bestätigen diese dann jeweils mit "OK" auf Ihrem TAN-Generator.

Hinweis: Überprüfen Sie die Anzeige des TAN-Generators immer anhand der Original-Transaktions-Daten - z.B. einer Rechnung.

Wie dumm muss man sein dort jedes mal "OK" zu drücken, wenn Betrag und Kontonummer angezeigt werden?

[Opis_Wahn]

Das ist ganz normale Vorgehensweise bei den 08/15 Chiptan Generatoren?


Edit: Sollte man natürlich nur auf den normalen - per https gesicherten - Bankseiten machen und nicht bei irgendwelchen plötzlich erscheinenen "Tests"...

[homergadams]

WER .... WER ist so dusselig und macht den "Test" mit?
Also wenn mein Browser mir einen erzählt von test-Tan, dann mach ich den zu und rufe meine Bank an.
Das ist doch wohl echt verdient, wer auf diese Weise abgezockt wird.

Geldgeschäfte übers Internet sollte man IMMER mit mindestens 2 wachen Augen und einem klaren Kopf machen. Eine Aufklärung, wie von der Autorin angesprochen gibt es - aber wenn jemand halt einfach unbelehrbar ist, dann ist ihm nicht zu helfen.

Doch nebenbei - der Nutzen für die Gesellschaft ist immens - je mehr Dumme ohne Geld sind, umso weniger gelangen sie in die Umwelt.

[scoz]

Der Trojaner muss ja das geblinke von seiner Transaktion auf seine Scamseite anzeigen, da er ja nicht wahllos Tans generieren kann.
Nicht schlecht aber setzt auch nur auf die Dummheit des Nutzers.

[ColNeri]

Auch entsprechende Verhaltensregeln und Aufklärungs-Kampagnen können helfen - ist ein Benutzer über entsprechende Angriffe aufgeklärt, ist das Risiko, auf den "Test" hereinzufallen, wesentlich geringer.

Das ist das Hauptproblem. Sie setzen nicht unbedingt auf die Dummheit, sondern auf die Unwissenheit der User. In diesem Fall wäre es die Aufgabe der Bank, den Kunden umfassend darüber zu informieren.
Wenn der "normale" User davon ausgeht, dass es sich hierbei um einen Test aus vertrauenswürdiger Quelle handelt... dann wird es wohl wenig Grund geben, dem zu misstrauen.

[Trollolol]

Ich frage mich, warum die sich soviel Mühe geben, unglaubwürdig zu sein.
Es wäre doch zum Beispiel sehr viel sinnvoller, wenn der Trojaner während dem Onlinebanking eine kleine Meldung anzeigt, von wegen das Passwort o.Ä. müsse geändert werden, weil irgendein einleuchtender Grund. Für solche wichtigen Änderungen muss man sowieso eine TAN generieren, es würde also gar keinen Verdacht erzeugen und im Hintergrund würde der übliche Betrug ablaufen. Da würden sogar Nicht-Amateure locker drauf reinfallen, erstmal.
Wobei ich aber auch nicht nachvollziehen kann, dass sowas überhaupt funktionieren kann, immerhin wird auf dem Gerät ja ein Zielkonto und Überweisungssumme angezeigt, die eine (einfachste und sicherste) Maßnahme wird einem Nutzer ja wohl noch zur Überprüfung zumutbar sein.