mTAN

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche

mTAN steht für mobiles TAN-Verfahren.

Hierbei wird der Umstand ausgenutzt, dass fast jeder PC-Benutzer zusätzlich auch ein Handy besitzt und dieses noch nicht stationär mit dem Computer verbunden ist. Es können also getrennte Übertragungskanäle genutzt werden.

Der (Bank)-Kunde muss zunächst seine gewünschte Transaktion an die Bank übermitteln. Diese extrahiert daraus die wichtigsten transaktionsrelevanten Daten (Zielkonto, Betrag) und sendet diese zusammen mit der pseudozufälligen mTAN in einer SMS an den (Bank)-Kunden. Danach muss der (Bank)-Kunde die mTAN wieder über den Computer an die Bank übermitteln. Durch die SMS-Verwendung wird das Verfahren auch SMS-TAN genannt.

Aus Sicherheitssicht reduziert diese Weiterentwicklung der TAN-Idee die Erfolgsaussichten eines Angriffs. Online-Attacken mittels MitM/MitB-Angriffen oder Phishing sind nicht mehr ohne Weiteres möglich. Allerdings haben sich Handys zwischenzeitlich zu Smartphones mit großer Software-Funktionalitäten entwickelt. Zudem werden Smartphones immer öfter direkt mit dem Computer synchronisiert, so dass auch auf diesem Wege Malware in beide Richtungen übertragen werden kann. Damit steigt auch die Gefahr von kombinierten Angriffen. Mit der mobilen Variante des ZEUS-Trojaners (ZitMo) ist bereits jetzt eine Smartphone-Infizierung bei den Betriebssystemen Symbian, Blackberry, Android und Windows Mobile (nicht zu verwechseln mit dem neuen Windows Phone 7) möglich. Diese Infizierung setzt aber derzeit immer noch eine aktive Mitwirkung des Nutzers durch eine entsprechende Installation voraus. Neuere Angriffe beziehen auch die Zahlungsumgebung (z.B. SMS-Rufnummernänderung) mit ein.

Besonders erfolgreich sind Angriffe, die den PC des Nutzers infizieren und zu einem an die Handynummer geschickten, angeblichen Update des Smartphones auffordern. Durch diesen Betrug entstanden im Jahr 2012 und erneut im Jahr 2015 Millionenschäden. Neu ist die Masche, dass der Angreifer sich eine zweite SIM-Karte zuschicken lässt (ggf. sogar unter Vorgabe, ein Mobilfunkhändler zu sein). Im Gegensatz zu den Banken nehmen es die Mobilfunkbetreiber offensichtlich nicht so genau. Deshalb sollte man beim Onlinebanking über das mTAN-Verfahren lieber ein Althandy (ohne Internetzugang und Apps) einsetzen oder alternativ angebotene sichere Verfahren nutzen.

Ein neuer erfolgreicher Angriff im Jahr 2017 funktionierte über eine Lücke im Mobilfunk-Protokoll SS7. Dieses Protokoll wird von den Netzanbietern unter anderem dafür verwendet, sich mit anderen Anbietern beispielsweise im Rahmen des Roamings auszutauschen. Über das Protokoll kann ein Mobilfunkbetreiber im Ausland signalisieren, dass sich ein bestimmter Teilnehmer gerade in seinem Netzwerk befindet. Damit besteht die Möglichkeit, fortan Anrufe, SMS, und Datenverkehr an das neue Netzwerk zu routen. Das System ist so lange sicher, wie nur integere Provider beteiligt waren. Inzwischen gibt es aber durch den weltweiten Netzausbau auch sogenannten unsicheren "grauen" Provider, zu denen dann die SMS mit der mTANs umgeleitet wurde. Hier erfolgte dann der Datenabgriff, vornehmlich nachts, um die Entdeckung zu erschweren. Mittlerweile sind deutsche Kunden vor solchen Angriffen geschützt.

Auf Grund dieser Sicherheitsvorfälle empfehlen einige Sicherheitsforscher, die TAN bei Beibehaltung der Trennung von Computer und Handy wieder per iTAN vom Nutzer in das Smartphone eingeben zu lassen.

Eine Weiterentwicklung ist das als chipTAN oder smartTAN bezeichnete Verfahren, bei dem mit einem handlichen Gerät (TAN-Generator) und einem bei den neusten Versionen angewendeten optischen Verfahren (Flickering) auch Empfängerkonto und Betrag rückbestätigt werden, so dass mit der erzeugten TAN keine Überweisung mit anderen Daten erfolgen kann. Die Methode "Man-In-the-Middle" ist damit zunächst nicht mehr möglich.

Eine andere Weiterentwicklung ist das pushTAN-Verfahren. Hier wird die TAN nicht mehr per SMS übertragen, sondern über einen gesicherten Push-Internetdienst. Dies ermöglicht die Erstellung komfortabler Apps für den Einsatz auf Smartphones, die aus einer Online-Banking-App und einer separaten TAN-App bestehen. Allerdings werden dann die Bankdaten und TAN wieder auf ein Gerät zusammengeführt. Ein Angreifer muss nicht zwei unabhängige Geräte unter Kontrolle bringen, so dass eine Nutzung nicht zu empfehlen ist, zumal erste erfolgreiche Angriffskonzepte auf das Verfahren vorgestellt wurden. Die Banken, die diese App-TANs anbieten, halte den Gebrauch trotzdem noch für sicher, da durch die eigenständige App das "Prinzip der Kanaltrennung" auch auf dem Smartphone erhalten bleibe und weil ein "gesicherter zusätzlicher Kommunikationskanal" und ein "zweites virtuelles Device" in die Lösung eingearbeitet wurden. Wie allerdings zu erwarten war, wurde das Verfahren im Herbst 2017 gebrochen. Gleich 31 Banking-Apps waren betroffen, die die TAN-App-Komponenten des gleichen Herstellers Promon verwendeten. In Deutschland waren die Commerzbank, die Fidor-Bank sowie die Stadtsparkassen betroffen. Updates sollen nun die Sicherheitslücken schließen.


Weblinks


Siehe auch



Diese Seite wurde zuletzt am 26. November 2017 um 17:43 Uhr von Oliver Wege geändert. Basierend auf der Arbeit von Peter Hohl und Admin.

Anzeigen