Bernd Borchert
Trojaner-sichere Online-Accounts
Trojaner
(eigentlich: Trojanische Pferde) sind Computer-Viren, die auf dem
Rechner des Benutzers sitzen und dort abhoeren und/oder faelschen
koennen. Einfaches Beispiel: es ist offenbar nicht schwer fuer einen
Trojaner, das Passwort zu einem email-Account abzuhoeren: wenn der
Benutzer es am Rechner eingibt, achtet der Virus ganz einfach darauf,
welche
Tasten gedrueckt werden, und schon kennt er das Passwort. Anderes
Beispiel: beim Online-Banking mit dem iTAN Verfahren kann ein Trojaner
eine Ueberweisung faelschen: aus 50 Euro an X werden dann durch einen
sogenannten Man-in-the-Middle Angriff des Trojaners 5000 Euro an
Y, und das, ohne dass der Bankkunde oder die Bank etwas
davon merken (siehe naechster Abschnitt).
Ein Verfahren heisst trojaner-sicher, wenn ein Trojaner es
nicht schaffen kann, bestimmte Teile der Kommunikation abzuhoeren
und/oder zu
faelschen. Es werden trojaner-sichere Verfahren untersucht und
entwickelt, speziell solche fuer Online Accounts (Bank, email, etc.)
Das iTAN Verfahren beim Online-Banking ist nicht trojaner-sicher
So funktioniert der Man-in-the-Middle Angriff eines Trojaners auf das
iTAN-Verfahren (nach dem Motto "tarnen, abhoeren, faelschen,
taeuschen"):
Der
Bankkunde gibt eine Ueberweisung ein, sagen wir 50
Euro an X. Das Formular wird vom Bankkunden abgeschickt, doch noch
bevor es verschluesselt wird (SSL) und durch das Internet an die Bank
geschickt wird, faengt der Trojaner es ab und macht daraus eine
Ueberweisung von 5000 Euro an Y. Dieser manipulierte
Ueberweisungsauftrag wird
verschluesselt und an
die
Bank geschickt. Die Bank empfaengt den Auftrag und schickt die
Rueckfrage
"Bitte bestaetigen Sie die Ueberweisung von 5000 Euro an Y mit der iTAN
Nr. 37!" an den Bankkunden. Nachdem die Nachricht beim Kunden-Rechner
angekommen ist und entschluesselt worden ist, aber noch bevor sie auf
dem
Bildschirm des Bankkunden angezeigt
wird, faengt der Trojaner sie ab und zeigt dann dem Bankkunden am
Bildschirm anstattdessen an "Bitte
bestaetigen Sie die Ueberweisung von 50 Euro an X mit der iTAN Nr.
37!".
Ahnungslos gibt der Kunde seine iTAN Nr. 37 ein. Der Trojaner gibt die
iTAN an die Bank weiter. Die Bank ueberweist 5000 Euro an Y. Weder der
Kunde noch die Bank haben etwas von dem Betrug bemerkt. Wenn der
Trojaner gut geschrieben ist, prueft er vor dem Angriff, wieviel der
Bankkunde maximal ueberweisen kann, und zeigt nach dem Angriff dem
Bankkunden noch ein paar Tage
lang in der Konto-Uebersicht Daten an, die so aussehen, als wenn 50
Euro an
X ueberwiesen worden waeren.
Der Angriff ist auf diesen pdf-Folien
als eine Art Daumenkino nochmal dargestellt. Hier ist ein Video von
IBM, das den Angriff auf das iTAN Verfahren ebenfalls darstellt: http://video.golem.de/internet/1692/ibm-ztic.html
Gibt es solche hinterhaeltigen Computer-Viren ueberhaupt? koennen
Hacker sowas hinkriegen? Antwort: Ja. Bislang gab zwar es kaum solche
Faelle, aber hier ist ein kleiner Vorgeschmack darauf (von Anfang
2008): Silentbanker
und Sinowal.
Ebenso unsicher wie das iTAN Verfahren gegenueber einem
Trojaner-Angriff sind das
TAN-Verfahren und die Verfahren HBCI-1 und HBCI-2. Sicher sind dagegen
die Verfahren TAN-Generator, mobile TAN (mTAN), HBCI-3 (d.h.
HBCI mit Display) und neue Verfahren wie z.B. Internetausweis oder
visuelle TAN. Die folgende Tabelle fasst das zusammen, wobei neue -
d.h.
noch nicht von den Banken eingesetzte Verfahren - gekennzeichnet sind.
Auf dieser Seite sind die
Online-Banking Verfahren kurz beschrieben.
|
Trojaner-unsicher |
Trojaner-sicher |
low-tech
|
|
|
elektronisches
Geraet
|
|
|
Online Demonstrationen
Studien- und Diplomarbeiten
Aktuelle Berichte ueber das Thema aus den Medien
- Handelsblatt:
Online Banking wird sicherer, 2.12.08
- Fotohandy
macht Online-Banking sicherer, Deutschlandfunk, 29.11.08
- Sicheres
Online-Banking per Foto-Handy, ZDF www-Seite, 28.11.08
- Betrueger
setzen auf Viren und Trojaner, Handelsblatt, 18.11.08
- Virtuelles
Keyboard geknackt, zdnet, 15.11.08
- Computerwoche
ueber das Fotohandy-TAN Verfahren der britischen Firma Cronto, 13.11.08
- "Trojaner Sinowal",
ComputerZeitung, 11.11.08
- Kontodaten
ausgespaeht, taz, 6.11.08
- Pressemitteilung
Uni Tuebingen: Fotohandy-PIN Verfahren, 4.11.08
- USB-Stick fuer
sicheres Online-Banking, Golem.de 29.10.08
- Angriff der
Hacker, Abendzeitung, 21.10.08
- Sicherer
Zugriff aufs Online-Konto, c't, 4.8.08
- BitKom:
Fast 4 Millionen Opfer von Computer- und Internet-Kriminalitaet, 6.7.08
- Wirtschaftwoche,
25.1.2008
- Focus, 21.1.2008
- Handelsblatt,
30.12.2007
- PC
Welt: "Mehr als 200 neue Banking-Trojaner taeglich", 7.12.2007
- Computerwoche,
6.12.2007: "Internetausweis"
- FAZ, 23.11.2007
- Heise
"iTAN-Verfahren unsicherer als von Banken behauptet", 26.8.2005
Papers/Vortraege/Statistiken/Broschueren
- Anzahl der Online-Bankkonten: 31 Millionen
- Anzahl der Online-Ueberweisungen pro Jahr: 1,8 Milliarden
- Gesamtwert der Online-Ueberweisungen pro Jahr: 1,7 Billionen
Euro
- Mueller-Quade,
Roehrich: What you see is what you sign, 2007
- Borchert:
Permutations-TAN (pTAN), 2007
- Greveler:
vTANs: Eine Anwendung Visueller Kyptographie in der Online Sicherheit,
2007
- McCune,
Perrig, Reiter: Seeing is Believing: Using Camera Phones
for Human-Verifiable Authentication
- Moni
Naor and Benny Pinkas, Visual Authentication , Crypto 97
- Moni
Naor and Adi Shamir, Visual Cryptography, Eurocrypt 94
Patente
- Siamack Yousofi. Validation
of Transactions, WO-2002-017556, 2002
- Moshe Steinmetz. METHOD,
SYSTEM AND DEVICE FOR AUTHENTICATION AND IDENTIFICATION FOR
COMPUTERIZED AND NETWORKED SYSTEMS, WO-2006-020096, 2006
- Luigi Lo Iacono. Verfahren
und System zur Erhoehung der Sicherheit bei der Erstellung
elektronischer Signaturen mittels Chipkarte, WO-2008-080879, 2008
- Joern Mueller-Quade, Stefan Roehrich. Verfahren zum
Ueberpruefen
und/oder Authentifizieren von Uebermittlungsdaten, WO-2008-017477,
2008
- Bernd Borchert,
Klaus
Reinhardt. Abhoer- und
manipulationssichere Verschluesselung fuer Online Accounts, WO-2008-128528,
2008
- Bernd Borchert,
Klaus
Reinhardt. Vorrichtung und
Verfahren zur
abhoer- und manipulationssicheren Verschluesselung von Online
Accounts, DE-10-2007-029759.0,
2007, PCT-DE-2008-000885
- Bernd Borchert. Abhoersichere
Verschluesselung fuer Online Accounts, DE-10-2007-034121.2,
2007.
- Bernd Borchert. Faelschungssichere Online Transaktionen
via Cardano Verschluesselung,
DE-10-2008-007529.9, 2008.
- Bernd Borchert. Faelschungssichere
Online
Transaktionen via Linien-Permutationen, DE-10-2008-056505.5,
2008
Links
Letzte Änderung: 4. Dec. ‘08 | Bei Fragen und Anregungen E-Mail an:
Bernd Borchert
Trojaner
(eigentlich: Trojanische Pferde) sind Computer-Viren, die auf dem
Rechner des Benutzers sitzen und dort abhoeren und/oder faelschen
koennen. Einfaches Beispiel: es ist offenbar nicht schwer fuer einen
Trojaner, das Passwort zu einem email-Account abzuhoeren: wenn der
Benutzer es am Rechner eingibt, achtet der Virus ganz einfach darauf,
welche
Tasten gedrueckt werden, und schon kennt er das Passwort. Anderes
Beispiel: beim Online-Banking mit dem iTAN Verfahren kann ein Trojaner
eine Ueberweisung faelschen: aus 50 Euro an X werden dann durch einen
sogenannten Man-in-the-Middle Angriff des Trojaners 5000 Euro an
Y, und das, ohne dass der Bankkunde oder die Bank etwas
davon merken (siehe naechster Abschnitt).
Ein Verfahren heisst 
Visuelle
Kryptographie