Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Bild

Deutschen Forschern ist es gelungen, den Sicherheitsschutz Phototan bei Banking-Apps auszuhebeln und so Überweisungen umzuleiten oder selbst zu erstellen.

Forscher zeigen, warum dein E-Banking nicht so sicher ist, wie du glaubst

Deutschen Wissenschaftlern ist es gelungen, das beim Mobile-Banking eingesetzte Phototan-Verfahren zu knacken. 



Zwei IT-Sicherheitsforschern ist es nach einem Bericht der Süddeutschen Zeitung gelungen, auf manipulierten Smartphones das beim Mobile-Banking eingesetzte Verfahren Phototan zu knacken.

Nachdem die beiden Forscher der Friedrich-Alexander-Universität Erlangen-Nürnberg eine Schadsoftware auf den Handys installiert hatten, konnten sie nach Belieben Online-Überweisungen umleiten oder diese selbst erstellen. Die Transaktionen können manipuliert werden, wenn Banking-App und Phototan-App auf einem Gerät installiert sind – was sehr oft der Fall sein dürfte.

Mit den Angriffen könnten nach Angaben der Forscher Vincent Haupert und Tilo Müller Banken wie die Deutsche Bank oder die Commerzbank ins Visier genommen werden. «Für uns ist es überhaupt kein Problem, die tatsächliche Überweisung anschliessend zu verstecken», sagte Haupert. Solange ein Kunde seine Bankgeschäfte mobil tätige, bleibe die Manipulation unerkannt. 

In der Schweiz nutzt etwa die Raiffeisen Bank das Photo-Tan-Verfahren, das bislang als sicher galt. Die Bank teilt auf Anfrage mit, dass bei ihrem E-Banking «mehrere Sicherheitsstufen implementiert» sind, die man «aus Sicherheitsgründen nicht im Detail erläutern möchte» und betont: «Raiffeisen bietet mit den eingesetzten Sicherheitsmassnahmen ein sicheres E-Banking an.» Zudem gehe man davon aus, dass sich reale Angriffe von Angriffen in Labor-Umgebungen unterscheiden.

Der Angriff der beiden Sicherheitsforscher setzt voraus, dass auf dem iPhone oder Android-Smartphone der Opfer bereits eine mit Viren infizierte App installiert ist. «Das macht den Angriff schwieriger, aber nicht unmöglich», sagt Haupert.

So funktioniert Phototan

Mit der Phototan wird ein einmalig zu nutzendes Passwort erzeugt. Bei der Einführung des Verfahrens wurde auf dem PC-Monitor ein ungefähr drei mal drei Zentimeter grosses Bild aus kleinen Punkten generiert, das die Transaktionsdaten enthält. Diese Grafik wird in dieser Variante mit dem Smartphone oder Lesegerät abgescannt.

Nach der Entschlüsselung der Phototan sind auf dem Bildschirm zur Kontrolle die Transaktionsdaten (Betrag und Name des Empfängers einer Überweisung) sowie eine siebenstellige Transaktionsnummer zu sehen, mit der die Überweisung freigegeben werden kann.

Attacke bei allen Smartphones möglich

Kritisch aus Sicht der Forscher ist, wenn sich die Banking-Anwendung sowie die Phototan-App auf einem Gerät befinden und die eigentlich vorgesehene Zwei-Wege-Authentifizierung ausgehebelt wird. Die Nutzung einer Phototan auf dem PC mit einem externen Lesegerät halten die Forscher weiterhin für sicher.

Das Angriffsszenario habe man unter dem Google-System Android demonstriert. Eine Attacke sei aber prinzipiell auch bei Apples iPhone-Betriebssystem iOS denkbar.

Die iOS-Schadsoftware Pegasus habe gezeigt, dass nicht nur Android-Smartphones angegriffen werden könnten. Allerdings sei das Sicherheits-Modell der Apple-Software restriktiver, so dass die Wahrscheinlichkeit dort im Vergleich zu Android geringer sei, eine Schadsoftware einzufangen.

(oli/sda/dpa)

Handys schiessen keine guten Fotos? Dann hast du diese 20 Traum-Aufnahmen noch nicht gesehen

Das könnte dich auch interessieren:

Röstigraben im Bundeshaus: «Sobald ich auf Deutsch wechsle, sinkt der Lärm um 10 Dezibel»

Link zum Artikel

So erklärt das OK der Hockey-WM in der Schweiz die Ähnlichkeit zum Tim-Hortons-Spot

Link zum Artikel

Die Geschichte von «Ausbrecherkönig» Walter Stürm und seinem traurigen Ende

Link zum Artikel

«Informiert euch!»: Greta liest den Amerikanern bei Trevor Noah die Leviten

Link zum Artikel

Keine Angst vor Freitag, dem 13.! Diese 13 Menschen haben bereits alles Pech aufgebraucht

Link zum Artikel

Der Kampf einer indonesischen Insel gegen den Plastik

Link zum Artikel

«Ich bin … wie soll ich es sagen … so ein bisschen ein Arschloch-Spieler»

Link zum Artikel

Alles, was du über die neuen iPhones und den «Netflix-Killer» von Apple wissen musst

Link zum Artikel

15 Bilder, die zeigen, wie wunderschön und gleichzeitig brutal die Natur ist

Link zum Artikel

Shaqiri? Xhaka? Von wegen! Zwei Torhüter sind die besten Schweizer bei «FIFA 20»

Link zum Artikel

Biden, Warren oder Sanders? Das Rennen der Demokraten wird zum Dreikampf

Link zum Artikel

Jack Ma tritt als Alibabas Vorsitzender offiziell zurück, aber ...

Link zum Artikel

Das sind die 50 besten Spieler in «FIFA 20» – Piemonte Calcio zweimal in den Top 15

Link zum Artikel

12 neue Serien, auf die du dich im Herbst freuen kannst

Link zum Artikel

In China sind gerade 100 Millionen Schweine gestorben – das musst du wissen

Link zum Artikel

Hat Bill Gates ein schmutziges Geheimnis?

Link zum Artikel

In Jerusalem verschwinden hunderte Katzen auf mysteriöse Weise – was ist bloss los?

Link zum Artikel

«... dann laufen sie hier 3 Tage besoffen mit geklauten Stadion-Dingen rum»

Link zum Artikel

Mit 16 der jüngste Torschütze in Barças Klub-Geschichte – 8 Fakten zu Ansu Fati

Link zum Artikel

Boris Johnson verliert wegen eines Überläufers die Mehrheit und ist jetzt in argen Nöten

Link zum Artikel

Erneut wüste Szenen bei Protesten in Hongkong

Link zum Artikel

Xherdan Shaqiris Alleingang ist ein fatales Zeichen

Link zum Artikel

Auch Android und Windows von massivem Hackerangriff betroffen – was wir bislang wissen

Link zum Artikel

«Diese Wahlen widerlegen eine oft genannte These über die AfD»

Link zum Artikel

Wawrinka über Djokovic: «Dass er den Platz so verlassen muss, ist natürlich nicht schön»

Link zum Artikel

«Soll ich die offene Beziehung mit dem 10 Jahre Älteren beenden?»

Link zum Artikel

Messi darf Barça ablösefrei verlassen +++ Pa Modou wieder beim FC Zürich

Link zum Artikel

Kim Tschopp zeigt den grossen Unterschied zwischen Realität und Instagram

Link zum Artikel

Wie viel Schweizer Parteien auf Facebook ausgeben – und warum wir das wissen

Link zum Artikel

Der Roadie, der mich Backstage liebte (und mir biz Haare ausriss)

Link zum Artikel

Für Huawei kommts knüppeldick – neue Handys müssen auf Google-Apps verzichten, sagt Google

Link zum Artikel

Die Hockey-WM lehnt den «Eisenbahn-Deal» ab – und das ist schlicht lächerlich

Link zum Artikel

Netflix bringt 10 Filme in die Kinos – und die hören sich grossartig an

Link zum Artikel

Verrückt, aber wahr – Stuckis Sieg, der keiner war

Link zum Artikel
Alle Artikel anzeigen

Abonniere unseren Newsletter

36
Bubble Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 48 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
36Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • SwissGTO 19.10.2016 18:12
    Highlight Highlight Um die App zu öffnen brauchts mal meinen Fingerabdruck. Danach eine 6stellge Zahl und mein persönliches 10 stelliges Passwort. Erst dann kommt die Phototan zum einsatz. Für mich sicher genug.
  • pamayer 19.10.2016 00:43
    Highlight Highlight Habe nie geglaubt, dass e banking sicher sei und dementsprechend noch nie e gebankt.
    • Hoschijan 19.10.2016 22:35
      Highlight Highlight Und wie bankst du statt dessen? In dem du deine Zahlungsaufträge mit Einzahlungsscheinen in ein Couvert steckst und es deiner Bank schickst? Das wäre jedenfalls einfacher zu manipulieren wenn jemand den Auftrag abfängt, als dein Mobiltelefon zu manipulieren...
    • pamayer 20.10.2016 06:47
      Highlight Highlight Gehe eigenbeinig auf die Post und erledige meine Zahlungen.
    • Redback 07.12.2016 12:54
      Highlight Highlight Willkommen in der Steinzeit.
      Das es noch solche Leute gibt überrascht mich doch.
  • Loeffel 18.10.2016 18:18
    Highlight Highlight *stirnrunzel* kann mich kurz jemand erleuchten bitte: wie um himmelswillen kann ich in der Mobile Banking App auf meinem Smartphone mit der Kamera des gleichen (!) Smartphones ein Phototan-bildchen abscannen, welches wiederum auf dem gleichen (!) Smartphonedisplay angezeigt wird? Da muss ich mir ja einen Spiegelgarten bauen!
    • glass9876 19.10.2016 07:35
      Highlight Highlight Screenshot?
    • Nguruh 19.10.2016 09:40
      Highlight Highlight Wie will ich mit einer App das die Kamera aktiviert, einen Screenshot auf demselben Gerät scannen?

      Der Artikel verwirrt die meisten Leute mehr als er hilft...

      1. Natürlich ist EBanking gefährdet wenn das Gerät infiziert ist. Da spielt es keine grosse Rolle ob Smartphone, PC und welche Loginmethode!
      2. Phototan ist eine zusätzliche Sicherheit beim einloggen, es braucht jedoch immer 2!!! Geräte um Phototan nutzen zu können...
    • Madison Pierce 20.10.2016 10:51
      Highlight Highlight Wenn Du die E-Banking- und PhotoTAN-App auf dem gleichen Smartphone installiert hast, öffnet er beim Login automatisch die PhotoTAN-App und "scannt" das Bild ein.
    Weitere Antworten anzeigen
  • Madison Pierce 18.10.2016 18:02
    Highlight Highlight Ist halt nicht so schlau, denn zweiten Faktor auf dem gleichen Gerät zu haben...

    PhotoTAN funktioniert übrigens offline. Wer es ganz sicher haben will: altes Handy zurücksetzen, PhotoTAN-App herunterladen und ab da Flugmodus einschalten. So hat man einen unabhängigen zweiten Faktor, der von aussen nicht angreifbar ist.
  • x4253 18.10.2016 17:02
    Highlight Highlight Für alle die einigermassen socher gehen wollen: Benutzt ein Linux live system dass sich von einer CD/DVD starten lässt (USB geht auch, sollte aber schreibgeschützt werden).

    z.B.
    - Bankix
    - Ubuntu Live
    - Knoppix
    - LPS

    Ist zwar umständlich, aber nicht blöd.
    @Watson: ev. könnt ihr ja eine Anleitung posten wie mam sowas erstellt? :)
    Artikel (z.B. von c't) gibt es zwar, aber hier wäre das ja auch nützlich.

    • Wuschelhäschen 18.10.2016 17:56
      Highlight Highlight Wenn man bedenkt, dass Banken die Haftung übernehmen, solange man selbst die Sorgfaltspflicht nicht verletzt hat, ist dieser Aufwand unnötig. Aber wers tun will, nur zu.
  • ⚡ ⚡ ⚡☢❗andre ☢ ⚡⚡ 18.10.2016 16:59
    Highlight Highlight Wenn jemand mein iPhone schnappt, kann er Paypal benutzen, meine Bitcoins ausgeben und Banktransaktionen machen. Wenn er mein Portemonnaie stiehlt, gibts noch viele Münzen, ranzige Quittungen, 25 fach Cumulus Punkte auf Cippolatas und meine Kreditkarte hinzu.
  • dF 18.10.2016 15:05
    Highlight Highlight Egal ob auf dem Smartphone, dem Tablet, oder auf dem Computer.
    Sobald das entsprechende Gerät kompromittiert ist, ist das eBanking mit jenem Gerät nicht mehr sicher.
    Auch wenn die Technologie dahinter ansonsten sehr sicher ist.
    Sollten mittlerweile alle wissen.
  • Wuschelhäschen 18.10.2016 14:46
    Highlight Highlight Macht doch den Leuten nicht unnötig Angst! E-Banking ist für den Nutzer sicher, wenn die Bank trotzdem gehackt wird, dann kriegt der Kunde das Geld zurück.
  • Wilhelm Dingo 18.10.2016 14:06
    Highlight Highlight eBanking auf dem Smartphone ist keine Aushebelung der 2-Faktor Authentisierung. Gerätebesitz (Faktor 1) und Passwort (Faktor 2) bestehen auch beim eBanking. Dass Faktor 1 gleichzeitig der Client ist bleibt irrelevant.
    • walsi 18.10.2016 16:49
      Highlight Highlight Falsch, die 2-Faktor Authentisierung setzt zwei verschiedene Geräte voraus. Weil man dann zwei Geräte hacken muss was es wesentlich schwieriger, aber nicht unmöglich, macht. Der Trick dabei ist, dass es keine 100% Sicherheit gibt, man kann es dem Angreifer aber so schwer machen, dass der möglich Ertrag den zu leistenden Aufwand nicht rechtfertigt. Je höher der potentielle Ertrag ist um so mehr muss man in die Sicherheit investieren weil die Hacker auch bereit sind mehr Energie und Ressourcen in den Hack zu investieren.
  • Skinny bad boy James aka weissnonigsegedihr 18.10.2016 13:50
    Highlight Highlight Aber Aber Watson, dann ist ja nicht die Technologie dahinter Unsicher, schliesslich wird der Photo-TAN in einer Sandbox ausgeführt. Daher mussten diese Forscher das Handy mit einem Virus infizieren.

    Dann ist aber die SMS variante noch viel unsicherer & Code Karte ist in der Theorie noch leichter Knackbar... Vorallem wenn diese abgefangen wurde & ins Netz gestellt wurde.

    Wenn ein PC mit einem Virus Infiziert wurde kann man auch da die Login Daten klauen oder die Session kappern.

    Daher Installiert einen Virenschutz auf dem Handy. iOS & Android sin betroffen, mehr als alle zugeben! viel mehr!
    • Janic Schuler 18.10.2016 16:53
      Highlight Highlight Viel spass einen Virenschutz für iOS zu finden ;)
    • Ali G 18.10.2016 20:54
      Highlight Highlight Kaspersky zum Beispiel
    • Skinny bad boy James aka weissnonigsegedihr 19.10.2016 10:38
      Highlight Highlight Oder Lookout...
  • MeineMeinung 18.10.2016 13:42
    Highlight Highlight Genau deshalb habe ich keine BankingApp auf meinem Smartphone installiert.
    Ich habe fast erwartet, dass dies nicht wirklich sicher ist
  • C0BR4.cH 18.10.2016 13:40
    Highlight Highlight Hier liefere ich noch das Video zu meinem letzten Kommentar hinzu:
    https://media.ccc.de/v/32c3-7360-un_sicherheit_von_app-basierten_tan-verfahren_im_onlinebanking
  • C0BR4.cH 18.10.2016 13:34
    Highlight Highlight Betrifft nur, wenn man das E-Banking über das Handy macht. Das wurde schon am letztjährigen CCC in Hamburg demonstriert btw und ist nichts neues.

    Man sollte so oder so kein E-Banking über das Handy machen. Imfall.
    • Wilhelm Dingo 18.10.2016 14:01
      Highlight Highlight Warum kein E-Banking über das Handy? Warum soll ein fixer Client sicherer sein?
    • Maett 18.10.2016 14:01
      Highlight Highlight @C0BR4.cH: ich dachte das betrifft nur das E-Banking übers Handy MIT photoTan-Verfahren?

      Ich nutze die Postfinance-App, die nach wie vor nach einem Code aus einem separaten Lesegerät verlangt - ist das auch nicht sicher?
    • C0BR4.cH 18.10.2016 14:08
      Highlight Highlight @Maett
      Doch, das ist sicherer.
      Trotzdem sollte man es nicht über das Handy machen.

      @Wilhelm Dingo
      Weil Handys per se angreifbarer und ungeschützter sind. Schon nur der Datenverkehr über das GSM-Netz ist ein Witz.
      Klar, ein PC kann auch infiziert sein. Aber auf jedenfall ist es schon mal sicherer, da es auf zwei Geräten getrennt ist.
      Es müssten beide Geräte infiltriert werden.
    Weitere Antworten anzeigen

Diese wichtige Handy-Funktion kann dein Leben retten – 68% der Schweizer kennen sie nicht

Zwei Drittel der Schweizer haben keine Ahnung, wie man rasch per Tastenkombination mit dem Handy einen Notruf absendet. Die internationale Notrufnummer kennen rund 40 Prozent nicht. Damit gefährden sie ihre eigene Rettung und die Rettung anderer.

Smartphones von Apple, Samsung, Huawei, etc. können über eine vom Handy-Hersteller eingerichtete Tastenkombination einen Notruf absetzen. Wer sich in einer Notsituation befindet und die Notrufnummer nicht wählen kann oder sich – beispielsweise im Schockzustand – nicht daran erinnert, kann so trotzdem jederzeit Hilfe rufen.Das Problem: 68 Prozent der Schweizer wissen nicht, wie man auch bei gesperrtem Handy schnell per Tastenkombination einen Notruf absendet. Gar nur eine von fünf …

Artikel lesen
Link zum Artikel