Web

Bochumer Forscher: iTAN ist auch nicht sicher

11.11.2005
Forscher der Ruhr-Universität Bochum wollen ein Sicherheitsloch im iTAN-Verfahren gefunden haben, das inzwischen viele Banken als Schutz gegen so genanntes Phishing anbieten.

Die Idee des "Man-in-the-Middle"-Angriffs ist allerdings nicht neu: Wie gewohnt werden zunächst über eine gefälschte Bank-Webseite vom Kunden Kontonummer und PIN entwendet. Diese gibt der Angreifer dann an die echte Bankseite weiter und leitet die dann erfolgende Abfrage nach der indexierten TAN an den betrogenen Homebanker weiter. Sobald dieser die von der Bank gewünschte Nummer eingibt, kann der Angreifer mit den Daten eine Transaktion durchführen.

Sowohl das herkömmliche TAN-Verfahren als auch iTAN seien nur dann sicher, wenn sie gemeinsam mit einer überprüften SSL-Verbindung (zu erkennen an einem Schloss-Symbol in der Browser-Statusleiste, beim Firefox zusätzlich an einer eingefärbten Browser-Adresszeile) benutzt würden, warnen daher die Experten. (tc)