Online-Banking: Erfolgreicher Angriff gegen chipTAN comfort-Verfahren
Beim chipTAN comfort-Verfahren gefährden neu aufgedeckte Angriffsmöglichkeiten die Sicherheit des Online-Banking. RedTeam Pentesting gelang es, Überweisungen trotz des Einsatzes von chipTAN comfort unbemerkt auf dritte Konten umzuleiten.
Aktuell wird das chipTAN comfort-Verfahren unter anderem von den Sparkassen als neues, sicheres Online-Banking-Verfahren eingeführt.
RedTeam Pentesting GmbH - Seeing your network from the attacker's perspective(firmenpresse) - ChipTAN comfort
---------------
ChipTAN comfort ist ein neues Verfahren, welches die Sicherheit im Online-Banking verbessern soll. Statt klassischer TAN- oder iTAN-Listen wird ein zusätzliches Gerät mit eigenem Bildschirm verwendet. Dieses zeigt dem Benutzer die Transaktion zur Bestätigung an. So soll verhindert werden, dass Daten unbemerkt manipuliert werden.
Man-in-the-Middle-Angriffe auf chipTAN comfort
----------------------------------------------
Die vorgestellten Angriffe auf chipTAN comfort sind sogenannte Man-in-the-Middle-Angriffe. Dabei kontrolliert ein Angreifer den Datenverkehr zwischen dem Bankkunden und der Online-Banking-Webseite. Insbesondere sind auch Manipulationen des Datenverkehrs möglich. Solche Angriffe, zum Beispiel mittels Phishing und Trojanern, sind heute bereits gängige Praxis. Die gegen chipTAN comfort entwickelten Angriffe lassen sich trotz des zusätzlichen, vertrauenswürdigen Geräts nicht sicher erkennen. Die Anzeige des Geräts bestätigt die Anzeige der Online-Banking-Webseite.
RedTeam Pentesting hat innerhalb weniger Tage ein Beispielprogramm entwickelt, welches einen der vorgestellten Angriffe automatisiert durchführt. Im Rahmen einer Demonstration wurde von diesem Programm eine Überweisung auf ein anderes Konto umgeleitet.
Die von RedTeam Pentesting aufgedeckten Angriffsmöglichkeiten ähneln den bekannten Angriffen auf das iTAN-Verfahren und erfordern einen vergleichbaren Aufwand. Die entsprechenden Angriffsmöglichkeiten gegen iTAN wurden von RedTeam Pentesting bereits 2005 vorgestellt. Seit 2008 werden solche Angriffe auch in der Praxis beobachtet (vergleiche BKA: Kern-aussagen zur IuK-Kriminalität 2008).
* http://www.redteam-pentesting.de/advisories/rt-sa-2005-014
* http://www.bka.de/lageberichte/iuk/2008/kernaussagen_iuk_2008.pdf
Es ist zu vermuten, dass bei einer entsprechenden Verbreitung des chipTAN comfort-Verfahrens auch dieses vermehrt angegriffen wird.
Genaue technische Details zu den Angriffen sind unter
http://www.redteam-pentesting.de/publications/MitM-chipTAN-comfort
veröffentlicht.Weitere Infos zu dieser Pressemeldung:
Themen in dieser Pressemitteilung:
Unternehmensinformation / Kurzprofil:
RedTeam Pentesting GmbH bietet individuelle Penetrationstests, durchgeführt von einem Team spezialisierter IT-Sicherheitsexperten. Ein Penetrationstest bezeichnet die Sicherheitsüberprüfung eines IT-Systems durch einen kontrollierten Angriff.
RedTeam Pentesting hat bereits 2005 Schwachstellen im iTAN-Verfahren aufgedeckt. Diese erstmalige Veröffentlichung von Angriffsmöglichkeiten auf das gerade neu eingeführte Verfahren wurde in der Öffentlichkeit viel beachtet.
RedTeam Pentesting GmbH
Dennewartstr. 25-27
52068 Aachen
Tel. : +49 241 963-1300
Fax : +49 241 963-1304
E-Mail: kontakt(at)redteam-pentesting.de
http://www.redteam-pentesting.de/
RedTeam Pentesting GmbH
Dennewartstr. 25-27
52068 Aachen
Tel. : +49 241 963-1300
Fax : +49 241 963-1304
E-Mail: kontakt(at)redteam-pentesting.de
http://www.redteam-pentesting.de/
" alt="Salazar Resources gibt Unternehmens Update bekannt
Datum: 23.11.2009 - 09:50 Uhr
Sprache: Deutsch
News-ID 138500
Anzahl Zeichen: 0
Kontakt-Informationen:
Ansprechpartner: Patrick hof
Stadt:
Aachen
Telefon: +49 241 963-1300
Kategorie:
Wirtschaft (allg.)
Meldungsart: Erfolgsprojekt
Versandart: Veröffentlichung
Freigabedatum: 23.11.2009
Diese Pressemitteilung wurde bisher 646 mal aufgerufen.
Die Pressemitteilung mit dem Titel:
"Online-Banking: Erfolgreicher Angriff gegen chipTAN comfort-Verfahren"
steht unter der journalistisch-redaktionellen Verantwortung von
RedTeam Pentesting GmbH (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).
Weitere Mitteilungen von RedTeam Pentesting GmbH
MPH Ventures schließt Bohrungen bei Raney ab und meldet Explorations-Update für Godfrey Gold (Timmins, Nordosten von Ontario) ...
MPH Ventures schließt Bohrungen bei Raney ab und meldet Explorations-Update für Godfrey Gold (Timmins, Nordosten von Ontario) Vancouver (British Columbia). MPH Ventures Corp. (TSX-V: MPS) (FWB: IJA1) (das „Unternehmen“) freut sich, ein Bohr-Update seiner Ex
Korrektur: Anooraq gibt Ergebnisse für die Periode zum 30. September 2009 bekannt ...
Korrektur: Anooraq gibt Ergebnisse für die Periode zum 30. September 2009 bekannt Positives 1. Quartal bei Bokoni Wachstumsprojekte zur Förderung von 270.000 Unzen Metalle der Platingruppe (PGM) - 4E bis zum Jahr 2014 sind bereits in Umsetzung 16. November 2009. Anooraq Re
Agennix AG berichtet über den Geschäftsverlauf im dritten Quartal und in den ersten neun Monaten 2009 ...
Corporate news- Mitteilung verarbeitet und übermittelt durch Hugin. Für den Inhalt der Mitteilung ist der Emittent verantwortlich. ---------------------------------------------------------------------- -------------- Martinsried/München und US-Standorte in Princeton, NJ und Houston, T
Salazar Resources gibt Unternehmens Update bekannt ...
Salazar Resources gibt Unternehmens Update bekannt VANCOUVER, BRITISH COLUMBIA –23. November 2009 - Salazar Resources Ltd. (TSX-V: SRL.V) ist erfreut bekannt geben zu können, dass die gesetzlichen Bergbauregulierungen am 16. November 2009 im Bundesanzeiger veröffe
