Digital

Deutschen Forschern ist es gelungen, den Sicherheitsschutz Phototan bei Banking-Apps auszuhebeln und so Überweisungen umzuleiten oder selbst zu erstellen.

Forscher zeigen, warum dein E-Banking nicht so sicher ist, wie du glaubst

Deutschen Wissenschaftlern ist es gelungen, das beim Mobile-Banking eingesetzte Phototan-Verfahren zu knacken. 

18.10.16, 13:31 19.10.16, 16:56

Zwei IT-Sicherheitsforschern ist es nach einem Bericht der Süddeutschen Zeitung gelungen, auf manipulierten Smartphones das beim Mobile-Banking eingesetzte Verfahren Phototan zu knacken.

Nachdem die beiden Forscher der Friedrich-Alexander-Universität Erlangen-Nürnberg eine Schadsoftware auf den Handys installiert hatten, konnten sie nach Belieben Online-Überweisungen umleiten oder diese selbst erstellen. Die Transaktionen können manipuliert werden, wenn Banking-App und Phototan-App auf einem Gerät installiert sind – was sehr oft der Fall sein dürfte.

Mit den Angriffen könnten nach Angaben der Forscher Vincent Haupert und Tilo Müller Banken wie die Deutsche Bank oder die Commerzbank ins Visier genommen werden. «Für uns ist es überhaupt kein Problem, die tatsächliche Überweisung anschliessend zu verstecken», sagte Haupert. Solange ein Kunde seine Bankgeschäfte mobil tätige, bleibe die Manipulation unerkannt. 

In der Schweiz nutzt etwa die Raiffeisen Bank das Photo-Tan-Verfahren, das bislang als sicher galt. Die Bank teilt auf Anfrage mit, dass bei ihrem E-Banking «mehrere Sicherheitsstufen implementiert» sind, die man «aus Sicherheitsgründen nicht im Detail erläutern möchte» und betont: «Raiffeisen bietet mit den eingesetzten Sicherheitsmassnahmen ein sicheres E-Banking an.» Zudem gehe man davon aus, dass sich reale Angriffe von Angriffen in Labor-Umgebungen unterscheiden.

Der Angriff der beiden Sicherheitsforscher setzt voraus, dass auf dem iPhone oder Android-Smartphone der Opfer bereits eine mit Viren infizierte App installiert ist. «Das macht den Angriff schwieriger, aber nicht unmöglich», sagt Haupert.

So funktioniert Phototan

Mit der Phototan wird ein einmalig zu nutzendes Passwort erzeugt. Bei der Einführung des Verfahrens wurde auf dem PC-Monitor ein ungefähr drei mal drei Zentimeter grosses Bild aus kleinen Punkten generiert, das die Transaktionsdaten enthält. Diese Grafik wird in dieser Variante mit dem Smartphone oder Lesegerät abgescannt.

Nach der Entschlüsselung der Phototan sind auf dem Bildschirm zur Kontrolle die Transaktionsdaten (Betrag und Name des Empfängers einer Überweisung) sowie eine siebenstellige Transaktionsnummer zu sehen, mit der die Überweisung freigegeben werden kann.

Attacke bei allen Smartphones möglich

Kritisch aus Sicht der Forscher ist, wenn sich die Banking-Anwendung sowie die Phototan-App auf einem Gerät befinden und die eigentlich vorgesehene Zwei-Wege-Authentifizierung ausgehebelt wird. Die Nutzung einer Phototan auf dem PC mit einem externen Lesegerät halten die Forscher weiterhin für sicher.

Das Angriffsszenario habe man unter dem Google-System Android demonstriert. Eine Attacke sei aber prinzipiell auch bei Apples iPhone-Betriebssystem iOS denkbar.

Die iOS-Schadsoftware Pegasus habe gezeigt, dass nicht nur Android-Smartphones angegriffen werden könnten. Allerdings sei das Sicherheits-Modell der Apple-Software restriktiver, so dass die Wahrscheinlichkeit dort im Vergleich zu Android geringer sei, eine Schadsoftware einzufangen.

(oli/sda/dpa)

Handys schiessen keine guten Fotos? Dann hast du diese 20 Traum-Aufnahmen noch nicht gesehen

Abonniere unseren NewsletterNewsletter-Abo
39
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 72 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
39Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • SwissGTO 19.10.2016 18:12
    Highlight Um die App zu öffnen brauchts mal meinen Fingerabdruck. Danach eine 6stellge Zahl und mein persönliches 10 stelliges Passwort. Erst dann kommt die Phototan zum einsatz. Für mich sicher genug.
    1 2 Melden
  • pamayer 19.10.2016 00:43
    Highlight Habe nie geglaubt, dass e banking sicher sei und dementsprechend noch nie e gebankt.
    3 10 Melden
    • Oliver Fässler 19.10.2016 22:35
      Highlight Und wie bankst du statt dessen? In dem du deine Zahlungsaufträge mit Einzahlungsscheinen in ein Couvert steckst und es deiner Bank schickst? Das wäre jedenfalls einfacher zu manipulieren wenn jemand den Auftrag abfängt, als dein Mobiltelefon zu manipulieren...
      6 0 Melden
    • pamayer 20.10.2016 06:47
      Highlight Gehe eigenbeinig auf die Post und erledige meine Zahlungen.
      2 4 Melden
    • Redback 07.12.2016 12:54
      Highlight Willkommen in der Steinzeit.
      Das es noch solche Leute gibt überrascht mich doch.
      1 0 Melden
  • Loeffel 18.10.2016 18:18
    Highlight *stirnrunzel* kann mich kurz jemand erleuchten bitte: wie um himmelswillen kann ich in der Mobile Banking App auf meinem Smartphone mit der Kamera des gleichen (!) Smartphones ein Phototan-bildchen abscannen, welches wiederum auf dem gleichen (!) Smartphonedisplay angezeigt wird? Da muss ich mir ja einen Spiegelgarten bauen!
    12 4 Melden
    • zwan33 19.10.2016 07:35
      Highlight Screenshot?
      1 5 Melden
    • Nguruh 19.10.2016 09:40
      Highlight Wie will ich mit einer App das die Kamera aktiviert, einen Screenshot auf demselben Gerät scannen?

      Der Artikel verwirrt die meisten Leute mehr als er hilft...

      1. Natürlich ist EBanking gefährdet wenn das Gerät infiziert ist. Da spielt es keine grosse Rolle ob Smartphone, PC und welche Loginmethode!
      2. Phototan ist eine zusätzliche Sicherheit beim einloggen, es braucht jedoch immer 2!!! Geräte um Phototan nutzen zu können...
      4 0 Melden
    • Madison Pierce 20.10.2016 10:51
      Highlight Wenn Du die E-Banking- und PhotoTAN-App auf dem gleichen Smartphone installiert hast, öffnet er beim Login automatisch die PhotoTAN-App und "scannt" das Bild ein.
      2 0 Melden
    • Redback 07.12.2016 12:57
      Highlight Man benötigt keine zwei Geräte um PhotoTan auf dem Smartphone zu benutzten. Die beiden Apps tauschen die Daten untereinander aus. Einfach mal ausprobieren.
      @Zwann33: Und wie scannst Du den Screenshot auf dem gleichen Gerät???
      0 0 Melden
  • Madison Pierce 18.10.2016 18:02
    Highlight Ist halt nicht so schlau, denn zweiten Faktor auf dem gleichen Gerät zu haben...

    PhotoTAN funktioniert übrigens offline. Wer es ganz sicher haben will: altes Handy zurücksetzen, PhotoTAN-App herunterladen und ab da Flugmodus einschalten. So hat man einen unabhängigen zweiten Faktor, der von aussen nicht angreifbar ist.
    6 2 Melden
  • x4253 18.10.2016 17:02
    Highlight Für alle die einigermassen socher gehen wollen: Benutzt ein Linux live system dass sich von einer CD/DVD starten lässt (USB geht auch, sollte aber schreibgeschützt werden).

    z.B.
    - Bankix
    - Ubuntu Live
    - Knoppix
    - LPS

    Ist zwar umständlich, aber nicht blöd.
    @Watson: ev. könnt ihr ja eine Anleitung posten wie mam sowas erstellt? :)
    Artikel (z.B. von c't) gibt es zwar, aber hier wäre das ja auch nützlich.

    9 4 Melden
    • Gelöschter Benutzer 18.10.2016 17:47
      Highlight Und dann hast du ein Month bei Migrosbank und brauchst dafür eine App die nicht unter Linux läuft... Aber sicherer ists weil es 2 verschiedene Geräte braucht für die transaktion
      1 1 Melden
    • Wuschelhäschen 18.10.2016 17:56
      Highlight Wenn man bedenkt, dass Banken die Haftung übernehmen, solange man selbst die Sorgfaltspflicht nicht verletzt hat, ist dieser Aufwand unnötig. Aber wers tun will, nur zu.
      9 0 Melden
  • ⚡ ⚡ ⚡☢❗andre ☢ ⚡⚡ 18.10.2016 16:59
    Highlight Wenn jemand mein iPhone schnappt, kann er Paypal benutzen, meine Bitcoins ausgeben und Banktransaktionen machen. Wenn er mein Portemonnaie stiehlt, gibts noch viele Münzen, ranzige Quittungen, 25 fach Cumulus Punkte auf Cippolatas und meine Kreditkarte hinzu.
    11 1 Melden
    • Gelöschter Benutzer 18.10.2016 17:46
      Highlight Wo bist du unterwegs? Evtl noch ein aktuelles Foti von dir?
      3 2 Melden
  • Gelöschter Benutzer 18.10.2016 16:01
    Highlight Keine Überraschung. Wenn man die Zwei-Wege-Authentifizierung aushebelt, indem man nur 1 Gerät verwendet, geht man immer ein Risiko ein.
    44 0 Melden
  • dF 18.10.2016 15:05
    Highlight Egal ob auf dem Smartphone, dem Tablet, oder auf dem Computer.
    Sobald das entsprechende Gerät kompromittiert ist, ist das eBanking mit jenem Gerät nicht mehr sicher.
    Auch wenn die Technologie dahinter ansonsten sehr sicher ist.
    Sollten mittlerweile alle wissen.
    30 1 Melden
  • Wuschelhäschen 18.10.2016 14:46
    Highlight Macht doch den Leuten nicht unnötig Angst! E-Banking ist für den Nutzer sicher, wenn die Bank trotzdem gehackt wird, dann kriegt der Kunde das Geld zurück.
    27 7 Melden
  • Wilhelm Dingo 18.10.2016 14:06
    Highlight eBanking auf dem Smartphone ist keine Aushebelung der 2-Faktor Authentisierung. Gerätebesitz (Faktor 1) und Passwort (Faktor 2) bestehen auch beim eBanking. Dass Faktor 1 gleichzeitig der Client ist bleibt irrelevant.
    26 10 Melden
    • walsi 18.10.2016 16:49
      Highlight Falsch, die 2-Faktor Authentisierung setzt zwei verschiedene Geräte voraus. Weil man dann zwei Geräte hacken muss was es wesentlich schwieriger, aber nicht unmöglich, macht. Der Trick dabei ist, dass es keine 100% Sicherheit gibt, man kann es dem Angreifer aber so schwer machen, dass der möglich Ertrag den zu leistenden Aufwand nicht rechtfertigt. Je höher der potentielle Ertrag ist um so mehr muss man in die Sicherheit investieren weil die Hacker auch bereit sind mehr Energie und Ressourcen in den Hack zu investieren.
      12 1 Melden
  • Klischee 18.10.2016 13:50
    Highlight Aber Aber Watson, dann ist ja nicht die Technologie dahinter Unsicher, schliesslich wird der Photo-TAN in einer Sandbox ausgeführt. Daher mussten diese Forscher das Handy mit einem Virus infizieren.

    Dann ist aber die SMS variante noch viel unsicherer & Code Karte ist in der Theorie noch leichter Knackbar... Vorallem wenn diese abgefangen wurde & ins Netz gestellt wurde.

    Wenn ein PC mit einem Virus Infiziert wurde kann man auch da die Login Daten klauen oder die Session kappern.

    Daher Installiert einen Virenschutz auf dem Handy. iOS & Android sin betroffen, mehr als alle zugeben! viel mehr!
    17 13 Melden
    • Janic Schuler 18.10.2016 16:53
      Highlight Viel spass einen Virenschutz für iOS zu finden ;)
      8 2 Melden
    • Ali G 18.10.2016 20:54
      Highlight Kaspersky zum Beispiel
      2 0 Melden
    • Klischee 19.10.2016 10:38
      Highlight Oder Lookout...
      0 0 Melden
  • MeineMeinung 18.10.2016 13:42
    Highlight Genau deshalb habe ich keine BankingApp auf meinem Smartphone installiert.
    Ich habe fast erwartet, dass dies nicht wirklich sicher ist
    17 38 Melden
  • C0BR4.cH 18.10.2016 13:40
    Highlight Hier liefere ich noch das Video zu meinem letzten Kommentar hinzu:
    https://media.ccc.de/v/32c3-7360-un_sicherheit_von_app-basierten_tan-verfahren_im_onlinebanking
    5 1 Melden
  • C0BR4.cH 18.10.2016 13:34
    Highlight Betrifft nur, wenn man das E-Banking über das Handy macht. Das wurde schon am letztjährigen CCC in Hamburg demonstriert btw und ist nichts neues.

    Man sollte so oder so kein E-Banking über das Handy machen. Imfall.
    32 8 Melden
    • Wilhelm Dingo 18.10.2016 14:01
      Highlight Warum kein E-Banking über das Handy? Warum soll ein fixer Client sicherer sein?
      17 6 Melden
    • Maett 18.10.2016 14:01
      Highlight @C0BR4.cH: ich dachte das betrifft nur das E-Banking übers Handy MIT photoTan-Verfahren?

      Ich nutze die Postfinance-App, die nach wie vor nach einem Code aus einem separaten Lesegerät verlangt - ist das auch nicht sicher?
      14 3 Melden
    • C0BR4.cH 18.10.2016 14:08
      Highlight @Maett
      Doch, das ist sicherer.
      Trotzdem sollte man es nicht über das Handy machen.

      @Wilhelm Dingo
      Weil Handys per se angreifbarer und ungeschützter sind. Schon nur der Datenverkehr über das GSM-Netz ist ein Witz.
      Klar, ein PC kann auch infiziert sein. Aber auf jedenfall ist es schon mal sicherer, da es auf zwei Geräten getrennt ist.
      Es müssten beide Geräte infiltriert werden.
      8 2 Melden
    • Klischee 18.10.2016 14:15
      Highlight Maett, Doch natürlich ist es sicherer.

      Die Authentifikation läuft über deine Userlogin Daten (Wissen) und über die Karte (Besitzt)

      Von daher ist es eine sicherere Lösung. Trotzdem ist kein System unknackbar :) Nur der Aufwand ist häufig zu gross
      15 0 Melden
    • C0BR4.cH 18.10.2016 15:27
      Highlight @Klischee
      Genau : )
      Der Aufwand zwei Geräte zu knacken ist zu gross. Meist bist du auf einem Gerät und dann musst du erst mal herausfinden welches das zweite ist bzw. was es ist : P
      9 0 Melden
    • The Destiny 18.10.2016 16:45
      Highlight @cobra, du scheinst dich da auszukennen.
      Wie sicher ist das Verfahren mit identity key?
      1 0 Melden
    • Maett 18.10.2016 19:36
      Highlight @C0BR4.cH: sollte man es nicht übers Handy machen, weil die mobile Datenübertragung nicht genügend abgesichert ist? D.h. über das Heim-WLAN (über welches auch der PC läuft), ist es kein zusätzliches Sicherheitsrisiko?

      Oder geht von Handys allg. ein erhöhtes Risiko aus? Wenn ja: um welche Risiken handelt es sich genau, verglichen mit einem PC (wenn man annimmt, dass ich ein stets mit aktuellen Updates versorgtes iPhone besitze und mit einem stets aktuell gehaltenen W10-PC vergleiche)?

      Vielen Dank für die informative Hilfe.
      3 0 Melden
    • C0BR4.cH 18.10.2016 21:29
      Highlight @Maett
      Datenverkehr über dein Heimnetz ist sicher mal sicherer als das GSM-Netz (falls es richtig eingerichtet ist).
      Pass aber auf, über öffentliche WLAN-Netze gar nicht erst dran denken ; )

      Danach halt die TAN-App auf dem Handy und das E-Banking auf dem PC. So bist du auf einer realtiv sicheren Seite und musst dir nicht gross Gedanken machen.

      Das Hauptrisiko von Handys ist a) der Datenverkehr via GSM und b) die angreifbaren Apps (viel schlimmer als PC's).

      @The Destiny
      Was meinst du mit Identity Key? Zertifikat bzw. Private / Public Key?
      2 0 Melden
    • The Destiny 18.10.2016 22:49
      Highlight @Cobra, glaube nicht, so etwas wie das hier zbsp.
      https://www.zkb.ch/de/pr/pk/efinance/ebanking/login-verfahren.html
      0 0 Melden
    • C0BR4.cH 18.10.2016 23:58
      Highlight Hmm, bin skeptisch ... da du das E-Banking am PC machst, wo du wiederum das Gerät via USB anschliesst. Ein Standalone-Device ist halt auf alle Fälle besser.
      Aber ehrlich gesagt kenn ich die Methodik noch zu wenig um hier eine klare Aussage zu machen.
      1 0 Melden
    • The Destiny 19.10.2016 01:28
      Highlight @Cobra, das ebanking am pc oder mac zu machen ist alle mal noch sicherer als es am smartphone zu machen !

      Aber um es ganz sicher zu nehmen müsste man einen Standalone pc nehmen der bei jedem boot vorgang eine temporäre snadbox für das os erzeugt und welche nach jedem herunterfahren automatisch gelöscht wird. Solange man den Pc dann nur fürs ebanking benutzt kann nichts passieren.
      Da es keine Infektionsmöglichkeiten gibt.
      1 0 Melden

Mit Vollgas in die Vergangenheit – was der Tesla-Chef falsch macht

Elon Musk gilt mit seinen Elektroautos als Pionier, der schon mal vorfährt ins automobile Morgen. Dafür wird er gefeiert. Dabei sind die Tesla-Boliden bislang alles andere als zukunftsweisend.

Eines muss man Elon Musk lassen: Es gibt derzeit wohl keinen Manager, der erfolgreicher alten Wein in neuen Schläuchen unter die Leute bringt als er. Der Tesla-Chef hat es in kürzester Zeit geschafft, einen fast schon messianischen Status in Sachen Elektromobilität zu erringen. Wie Kirchgänger dem Prediger hängen selbst gestandene Medien Musk an den Lippen und bejubeln jede Verlautbarung aus seinem Munde. (Ja, zuweilen auch watson und sein Medienpartner Spiegel Online).

In der Nacht auf …

Artikel lesen