Tatanga-Attacke zeigt Schwächen von chipTAN-Verfahren auf

London, (PresseBox) - Trusteer hat eine neue Tatanga-Attacke gegen chipTAN-Systeme entdeckt, die von Banken in Deutschland zur Generierung einmaliger Transaktionsnummern (TANs) verwendet werden. Beim chipTAN-Verfahren muss der Kunde seine Bankkarte in ein Gerät einführen, um eine spezifische TAN für die jeweilige Transaktion zu generieren.

Der Trojaner umgeht das chipTAN-System folgendermaßen:

Tatanga überprüft das Konto des Benutzers einschließlich Anzahl der Konten, unterstützen Währungen, Kontostand und Kreditlimit. Daraufhin wählt der Trojaner das Konto aus, von dem der größte Betrag entwendet werden kann.

Anschließend initiiert er die Überweisung.

Hier verwendet Tatanga eine gefälschte Website, um dem Benutzer vorzugaukeln, dass die Bank einen chipTAN-Test durchführt. Der Benutzer wird aufgefordert, eine TAN zu generieren und einzugeben, um den Vorgang zu "testen".

Dabei erhält er die folgenden Anweisungen:

1. Stecken Sie Ihre Chipkarte in den TAN-Generator und drücken "F".
2. Halten Sie den TAN-Generator vor die animierte Grafik. Dabei müssen die Markierungen (Dreiecke) von der Grafik mit denen auf Ihrem TAN-Generator übereinstimmen.
3. Prüfen Sie die Anzeige auf dem Leserdisplay und drücken "OK".
4. Prüfen Sie die Hinweise (Empfänger-Kontonummer (ohne führende Nullen), Bankleitzahl des Empfängers und Betrag) auf dem Leserdisplay und bestätigen diese dann jeweils mit "OK" auf Ihrem TAN-Generator.

Hinweis: Überprüfen Sie die Anzeige des TAN-Generators immer anhand der Original-Transaktions-Daten - z.B. einer Rechnung.

Tatanga führt die betrügerische Transaktion mithilfe der so generierten und vom Benutzer auf der Website der Bank eingegebenen TAN aus. In der Zwischenzeit manipuliert der Trojaner die Überweisungsübersicht bzw. den Kontostand, um die Transaktion gegenüber dem Opfer zu verschleiern.

"chipTAN-Systeme gelten als relativ sicher, da die generierte TAN sowohl auf die Überweisungsdetails als auch auf den von der Bank ausgestellten Chip und die Bankkarte ausgelegt ist", so Trusteer CTO Amit Klein. "Die Attacke veranschaulicht jedoch, dass die chipTAN-Sicherheit mithilfe von Man-in-the-Browser-Techniken und Social-Engineering-Methoden umgangen werden kann. Die Integrität von Zweifaktor-Sicherheitsmaßnahmen wie chipTAN kann ausschließlich durch die Implementierung von Schutzmechanismen gegen hoch entwickelte Malware wie Tatanga, Zeus und andere am Endpunkt gewährleistet werden."

Diese Pressemitteilungen könnten Sie auch interessieren

News abonnieren

Mit dem Aboservice der PresseBox, erhalten Sie tagesaktuell und zu einer gewünschten Zeit, relevante Presseinformationen aus Themengebieten, die für Sie interessant sind. Für die Zusendung der gewünschten Pressemeldungen, geben Sie bitte Ihre E-Mail-Adresse ein.

Es ist ein Fehler aufgetreten!

Vielen Dank! Sie erhalten in Kürze eine Bestätigungsemail.


Ich möchte die kostenlose Pressemail abonnieren und habe die Bedingungen hierzu gelesen und akzeptiert.