Online-Banking: Neuer Angriff auf chipTAN-Systeme!
Das IT-Sicherheitsunternehmen Trusteer hat einen Angriff gegen die von einigen deutschen Banken für Online-Transaktionen verwendeten chipTAN-Systeme dokumentiert. Bei chipTAN-Systemen muss eine Smart-Card in eine spezielles Lesegerät eingeschoben werden, um eine Transaktionsnummer (TAN) zu generieren. Der Angriff basiert auf der bereits bekannten "Tatanga"-Malware.
Der Trojaner überprüft die hinterlegten Konten. Dabei wird unter anderem ermittelt, wie viele Konten der Nutzer besitzt, welche Währungen dabei unterstützt werden, wo das Dispo-Limit ist. Der Trojaner wählt anschließend das Konto, von dem der höchste Betrag entwendet werden kann.
Ist dies erledigt, startet "Tatanga" eine Überweisung. Um diese zu legitimieren, injiziert die Malware Anweisungen in den Webbrowser des Nutzers, die den Nutzer glauben lassen, seine Bank führe einen Test des chipTAN-Systems durch. Der Nutzer soll dabei eine TAN für den "Test" generieren und diese durch Drücken der Enter-Taste bestätigen. Die Anweisungen erscheinen auf Deutsch und lauten wie folgt:
Stecken Sie Ihre Chipkarte in den TAN-Generator und drücken "F".
Halten Sie den TAN-Generator vor die animierte Grafik. Dabei müssen die Markierungen (Dreiecke) von der Grafik mit denen auf Ihrem TAN-Generator übereinstimmen.
Prüfen Sie die Anzeige auf dem Leserdisplay und drücken "OK".
Prüfen Sie die Hinweise (Empfänger-Kontonummer (ohne führende Nullen), Bankleitzahl des Empfängers und Betrag) auf dem Leserdisplay und bestätigen diese dann jeweils mit "OK" auf Ihrem TAN-Generator.
Hinweis: Überprüfen Sie die Anzeige des TAN-Generators immer anhand der Original-Transaktions-Daten - z.B. einer Rechnung.
Die generierte TAN wird anschließend vom Tatanga-Trojaner abgefangen und für die im Hintergrund laufende Transaktion verwendet. Die Malware manipuliert außerdem den Kontoauszug des Betroffenen, um die unerlaubte Überweisung zu verschleiern.
Normalerweise gilt das chipTAN-System als vergleichsweise sicher. Wie der nun dokumentierte Angriff jedoch zeigt, kann auch dieses System - hier durch eine Kombination von "Man-in-the-Browser-Angriff" und Social-Engineering-Techniken - ausgehebelt werden. Trusteer empfiehlt die Verwendung entsprechender Schutzsoftware, um eine Infektion mit Malware wie Tatanga oder auch dem ebenfalls auf das Auslesen von Banking-Informationen spezialisierten ZeuS-Trojaner zu verhindern. Auch entsprechende Verhaltensregeln und Aufklärungs-Kampagnen können helfen - ist ein Benutzer über entsprechende Angriffe aufgeklärt, ist das Risiko, auf den "Test" hereinzufallen, wesentlich geringer.
Autor:Joerg Hessbrueggen aus Wesel |
Kommentare
Sie möchten kommentieren?
Sie möchten zur Diskussion beitragen? Melden Sie sich an, um Kommentare zu verfassen.