Sicherheitshinweis | mobile TAN

Online-Banking: Trojaner für Smartphones nimmt mobileTAN ins Visier

Sehr geehrte Kunden,

 

unser Rechenzentrum, die Fiducia & GAD IT AG, entwickelt die Standards im Online-Banking kontinuierlich weiter, um die Sicherheit des Online-Bankings in unserem Interesse und im Interesse unserer Kunden zu gewährleisten.

Jetzt wurden erste Angriffe auf Smartphones und somit auch auf mobileTAN bekannt. Aktuell betroffen sind die Betriebssysteme Symbian, Blackberry und Windows Mobile.

 

Derzeit ist uns noch kein konkreter Schadensfall nach diesem mobileTAN-Angriffsszenario bekannt. Wir möchten Sie jedoch mit dieser Information präventiv auf die aktuelle Situation aufmerksam machen.

 

Worin liegt die Besonderheit des mobileTAN-Verfahrens?

 

Beim mobileTAN-Verfahren erhält der Kunde von seiner Bank eine TAN per SMS auf sein Mobiletelefon bzw. Smartphone. Die TAN ist nur für einen bestimmten Auftrag, z.B. eine Überweisung gültig. Diese TAN kann der Kunde dann zur Autorisierung der in der SMS genannten Online-Banking-Transaktion verwenden.

 

Der grundsätzliche Sicherheitsgewinn bei mobileTAN im Vergleich zum iTAN-Verfahren entsteht u. a. durch die Kanaltrennung von PC und Mobiletelefon bzw. Smartphone. Sollte es dem Angreifer gelingen, diese Trennung wie hier beschrieben aufzuheben, wird der Schutz nicht mehr erreicht.

 

  1. Der Trojaner infiziert den PC des Bankkunden und spioniert den VR-NetKey und die PIN für das Online-Banking aus. 
  2. Der Trojaner blendet auf der Online-Banking-Seite ein Formular ein, in dem Handynummer und Smartphone-Typ abgefragt werden, um ein vermeintliches "Zertifikat-Update" für das Smartphone durchzuführen. 
  3. Nach Eingabe der Daten erhält das Smartphone eine SMS mit dem Link auf das vermeintliche "Zertifikats-Update". Tatsächlich ist das jedoch eine für die Smartphone-Plattform angepasste Version eines Trojaners. 
  4. Wird der Trojaner auf dem Smartphone installiert, leitet dieser alle eingehenden SMS und damit auch alle mobileTANs per SMS an eine vordefinierte Handynummer des Angreifers weiter. 
  5. Der Angreifer besitzt nun alle Informationen, um Transaktionen in Echtzeit über das Online-Banking durchzuführen, und mit den weitergeleiteten mobileTANs zu bestätigen.


Bewertung durch das Bundesamt für Sicherheit in der Informationstechnik und den Zentralen Kreditausschuss

 

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in einer Presseerklärung am 4. März 2011 das Thema ebenfalls bewertet und rechnet künftig mit einer weiteren Zunahme von Angriffen dieser Art.

 

Der Zentrale Kreditausschuss (ZKA) und das BSI weisen darauf hin, dass auch für das mobileTAN-Verfahren gewisse Sorgfaltspflichten und Verhaltensregeln gelten:

 

  • Ein Bankkunde sollte genau darauf achten, welche Anwendungen er auf seinem Smartphone installiert und aus welcher Quelle diese stammt. 
         
  • Wie beim klassischen Phishing sollte niemals Links aus SMS oder E-Mails gefolgt werden, deren Quelle unbekannt ist. Zudem ist der PC mit entsprechender Sicherheits-Software (unter anderem Antiviren-Software, Firewall) vor Eingriffen zu schützen.

 

Quellen: 
Fiducia & GAD IT AG 
heise.de: http://www.heise.de/newsticker/meldung/Angriffe-auf-deutsche-mTAN-Banking-User-1221951.html