Online-Banking: Schwachstelle im mTAN-Verfahren ausgenutzt

Die Polizei Berlin weist in einer Pressemeldung auf Fälle von betrügerischen Geldabbuchungen hin. Betroffen sind Nutzer von Android-Geräten, die das mTAN-Verfahren nutzen. Ursache ist dabei die Angreifbarkeit des mTAN-Verfahrens in Kombination mit fehlerhaftem Nutzerverhalten – sprich: mangelnder Kenntnis des Prinzips dieses Authentisierungsverfahrens. Dies soll kein Vorwurf an die Bankkunden sein – Online-Banking sollte ja nicht allein den Sicherheits- und IT-Experten vorbehalten sein.

Hier sind die Banken mal wieder dazu aufgerufen, ihre Nutzer initial und regelmäßig über die Sicherheitsaspekte bei der Nutzung ihrer Online-Banking-Plattform aufzuklären.  Das mTAN-Verfahren ist ein Out-of-Band-Verfahren, d.h. zur Authentisierung und zum Abschluss einer Banktransaktion werden zwei voneinander unabhängige Kanäle (PC und Smartphone) herangezogen. Dieses Vorgehen kann einen recht guten Schutz gegen “Man-in-the-Middle”-Angriffe herstellen. Voraussetzung ist allerdings, dass die beiden Kanäle voneinander unabhängig bleiben und ein Angreifer nicht einen Kanal nutzen kann, um den anderen zu kompromittieren. Die Opfer, deren PC mit einem Trojaner infiziert war, haben dieses Prinzip unterlaufen dem Angreifer über den Kanal “PC” die Mobilfunknummer und das Endgerätemodell übermittelt. Über eine Phishing-SMS konnte damit auch das Smartphone kompromittiert und die mTAN abgefangen werden.




Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden .