Telebanking mit mTAN auch nicht mehr sicher
So schnell ändert sich die Technik…
Bis vor einiger Zeit konnte man die mTAN (= Zusendung der TAN von der Bank als SMS mit Angabe der Kontonummer usw.) noch als sicher ansehen, weil man den in der Security gern genommenen „unabhängigen zweiten Kanal” neben dem Internet hatte. Wenn man dazu noch ein ganz altmodisch-doofes Uralt-Handy (oder heute eins von den ganz billigen) nimmt, auf dem man keine Software laufen lassen kann, dann ist das auch eigentlich ganz sicher, sofern einem das Handy nicht geklaut wird. (Naja, sicher ist relativ, es gab da mal so eine Meldung, das eine ganz bestimmte Charge von alten Nokia-Handys einen Bug hatte, mittels dessen man sich angeblich als beliebiger Teilnehmer anmelden konnte, um fremder Leute SMS abzufangen, und für das Kriminelle angeblich viel Geld bezahlt hätten. Mir leuchtet allerdings nicht so ganz ein, wieso ein Bug in der Handy-Firmware es erlauben sollte, ohne die SIM-Karte auszukommen, und warum man überhaupt ein ganz bestimmtes Handy dazu braucht, wenn es denn auch ohne SIM ginge.) Aber prinzipiell ist die mTAN keine schlechte Idee. Vor knapp drei Jahren habe ich selbst noch die mTAN als relativ sicher eingestuft.
Inzwischen hat sich das durch den Fortschritt der Technik geändert. Zwei Grundprobleme schälen sich heraus:
- Das Handy als solches ist nicht mehr sicher. Moderne Smart Phones sind inzwischen quasi zu einem normalen PC geworden – und ebenso angreifbar. Das Versenden von SMS ist kein sicherer Weg mehr.
- Web-Browsen über Handys ist inzwischen normal geworden, und damit auch Telebanking über das Handy normal oder zumindest auf einem signifikanten Anteil der Handys möglich. Damit fallen die beiden ehemals getrennten Kanäle zusammen. Der Sicherheitsfaktor des getrennten Kanals ist weggefallen.
Und inzwischen tauchen auch die ersten (jedenfalls die ersten entdeckten) Handy-Würmer auf. Damit ist das Angriffsziel klar: Installieren von Malware, die mTAN-SMS abfängt bzw. verändert.
Ein interessanter Angriff wäre folgender: Wenn man es schafft, fremdkontrollierte Schadsoftware auf ein SmartPhone zu installieren, muß man dem Ding noch die PIN und die Kontonummer bzw. Anmeldung bei der Bank beibringen. Das könnte man entweder tun, weil man zufällig auch den PC infiziert hat und sie dort abfängt (was gar nicht so unwahrscheinlich ist, denn oft werden SmartPhones zur Synchronisation mit den PCs verbunden, womit prinzipiell ein Geräte das andere mitinfizieren und damit querkommunizieren kann, die Korrelation von kompromittiertem PC und SmartPhone dürfte in Zukunft höher als vermutet liegen.) Oder man wartet darauf, daß der Benutzer Telebanking über den Webbrowser des Smartphones betreibt, und das Smartphone damit die Anmeldedaten (Kontonummer, PIN) mitlesen kann.
Am besten macht man das ganz leise und unauffällig. Und läßt die Smartphones dezent signalisieren, daß sie einsatzbereit sind.
Auf ein zentral gesteuertes Signal hin, am besten in der Nacht zum Freitag wegen des Wochenendes oder so, läßt man dann alle Handys gleichzeitig die Konten ihrer Inhaber leerpumpen. Das Handy liegt dann nachts um vier im Wohnzimmer rum, loggt sich bei der Bank ein, startet Überweisungen, wartet auf die SMS, und bestätigt mit der empfangenen mTAN. Ruckzuck ist das Geld auf einem anderen Konto und abgeräumt, bevor die reagieren können.
Schöne neue Welt.
Illusorisch? Nee, die erste Stufe hat schon stattgefunden, ein iPhone-Wurm, der mTANS sammelt.
Bin mal gespannt, wie die ersten Gerichtsentscheidungen in solchen Fällen ausfallen werden.
2 Kommentare (RSS-Feed)
Wenn GSM A5/1 in den nächsten Monaten geknackt werden sollte, dann sind SMS nicht mehr geheim, und somit ist auch mTAN angreifbar.
mTAN würde ich weiterhin als sicher einstufen. Man muss bei jedem Verfahren bestimmte Vorgehensweisen einhalten, damit die Sicherheit aufrechterhalten werden kann. Wenn ich einen unabhängigen Kanal für die TAN nutze, dann darf die PIN eben niemals über diesen Kanal wandern. Das heißt, deren Eingabe auf dem Handy ist tabu, ebenso Verbindung mit dem Computer im Telefonmodus, wo die PC-Software Zugriff auf die SMSs hat.