Ein Bank-App und ein TAN-App sollten nicht auf demselben Handy sein. Wissenschaftler haben versucht, Geldtransfers bei einigen dt. Kreditinstituten zu manipulieren. Den photoTAN-Prozess im Mobile Banking auf modifizierten Android-Smartphones haben zwei IT-Sicherheitsforscher erfolgreich durchbrochen. Nach der Installation von Malware auf den Endgeräten konnten die beiden Wissenschaftler der Friedrich-Alexander-Universität Erlangen-Nürnberg Online-Übertragungen beliebig weiterleiten oder selbst einrichten.
Allerdings konnten die Buchungen nur dann verändert werden, wenn die Bank-App und die photoTAN-App auf einem Endgerät waren. Laut den Forschern Vincent Haupert und Tilo Müller können die Beeinflussungen den Kundinnen und Käufern der Finanzinstitute Dtb. und Norisbank sowie der Commerzbank schaden. Die photoTAN generiert ein Einmalpasswort. Dabei wird diese Abbildung mit dem Handy oder Reader gescannt.
Nachdem die photoTAN entschlüsselt wurde, werden die Bewegungsdaten (Betrag und Bezeichnung des Überweisungsempfängers ) und eine zweistellige Geschäftsnummer, mit der die überweisung freigeschaltet werden kann, zu Kontrollzwecken auf dem Bild angezeigt. Für die Wissenschaftler ist es entscheidend, ob sich die Bankanwendung und die photoTAN-App auf dem gleichen Endgerät befindet und die tatsächlich beabsichtigte bidirektionale Authentifizierung unterlaufen wird.
Nach wie vor hält die Forschung die Verwendung einer photoTAN auf dem Computer mit einem ausgelagerten Leser für unbedenklich. Die Attacke der beiden Sicherheitsfachkräfte geht davon aus, dass bereits eine Anwendung mit einem Virenscanner auf dem Handy des Opfers eingerichtet wurde. "â??Das macht den Anschlag erschwert, aber nicht unmöglichâ??, sagt Haupert. Damit gelangte es in den exklusiven Google Webshop und hätte auf 90 Prozentpunkten aller Android Smartphones geklappt.
Dass nicht nur Android-Smartphones angreifbar sind, hat die iOS-Malware Pegasus aufzeigt. Eine Pressesprecherin von Deutsche und Norisbank sagte: "Richtig angewandt, sind alle Rechtfertigungsverfahren intakt. "Der Kunde entscheidet nach seinen eigenen Vorlieben, welches Vorgehen er bevorzugt. Auf ihrer Website stellt die Nationalbank ihren Kundinnen und Kunden Sicherheitsinformationen zur Verfügung. Dem Bankhaus ist der Anschlag der Forscher nicht bekannt.
Die Datenerhebung beim Kreditantrag erfolgt durch: smava GmbH Kopernikusstr. 35 10243 Berlin E-Mail: info@smava.de Internet: www.smava.de Hotline: 0800 - 0700 620 (Servicezeiten: Mo-Fr 8-20 Uhr, Sa 10-15 Uhr) Fax: 0180 5 700 621 (0,14 €/Min aus dem Festnetz, Mobilfunk max. 0,42 €/Min) Vertretungsberechtigte Geschäftsführer: Alexander Artopé (Gründer), Eckart Vierkant (Gründer), Sebastian Bielski Verantwortlicher für journalistisch-redaktionelle Inhalte gem. § 55 II RStV: Alexander Artopé Datenschutzbeauftragter: Thorsten Feldmann, L.L.M. Registergericht: Amtsgericht Charlottenburg, Berlin Registernummer: HRB 97913 Umsatzsteuer-ID: DE244228123 Impressum