Wie ist das nun mit der Sicherheit beim Onlinebanking

[Eine Einführung gibt es bei Spaß mit der iTAN, Spaß mit der Uni und Spaß mit der Presse(stelle)Bragging Rights] Ich hab heute zu viel für einen Urlaubstag mit Bankern telefoniert. Einige Sachen sind mir dabei aufgefallen: Die Banker gehen nennen die von uns beschriebenen Angriff eine Man-in-The-Middle-Attacke. Unser Advisory trägt dazu bei, weil es für den Beispielfall eine Man-in-Tht-Middle-Attacke verwendet. Das war unklug. Klassischerweise beschreibt man mit einer Man-in-Tht-Middle-Attacke einen Angriff, bei dem der Täter beliebig Daten, die zwischen den Opfern verkehren verändern, unterdrücken oder hinzufügen kann. Dies ist beispielsweise der Fall, wenn ein Angreifer die Infrastruktur des Providers eines der Opfer übernimmt. Oder wenn der Angreifer ein Trojanisches Pferd auf einem der beteiligten Computer installiert, das in die Kommunikation des Webbrowsers eingreift. Bei dem Angriff auf die iTAN ist das aber gar nicht nötig. Wie beim klassischen Phishing muss der Täter sich nicht in irgendwelche Kommunikation einschalten, sondern nur das Opfer dazu bringen, eine Kommunikation mit ihm aufzunehmen und hinreichend vertrauenswürdig wirken, um das Opfer dazu zu bewegen, seine geheimen Daten einzugeben. (Siehe auch diese Beschreibung). Dies erfordert nur minimale Änderungen an dem Vorgehen eines Phishers. Bisher installierten die Phisher auf kompromittierten Rechnern in aller Regel ein PHP Skript, welches die Daten (PIN, TAN usw.) einfach auf der Festplatte speicherte. Jetzt muss der Phisher sein Skript etwas erweiter. Es darf nicht die Daten auf die Platte speichern, sondern muss damit direkt eine Transaktion bei der Bank auslösen. Keine Hürde für einen arbeitslosen russischen Programmierer. Auch keine Hürde für meine Studenten in ihrem Test. Die Banken sagen nun, es ginge ja nicht darum gegen alle zukünftigen Bedrohungen zu schützen, sondern gegen das was heute in Freier Wildbahn unterwegs ist. Stimmt. Aber das was heute in freier Wildbahn unterwegs ist, benötigt nur minimale Änderungen, um auch gegen die iTAN zu wirken. Momentan lohnt es sich noch nicht für die Phisher, sich auf die iTAN einzustellen, weil es noch genug Kunden mit "traditioneller TAN" gibt. Ich biete daher Bank-Pressespechern folgende Wette an: Eine Kiste Champanger für Ihn, gegen eine Kaffeetasse der Bank für mich. Wenn wir 2005 Phishing-Angriffe gegen die iTAN sehen, bekomme ich die Kaffeetasse, ansonsten kriegt er den Champanger. Klassisches Phishing scheint die Banken gar nicht mehr so zu besorgen. "Da müsste ja auch das SSL-Zertifikat gefälscht sein" Wer die Praxis bei SSL-Zertifikaten kennt, oder mal versucht hat, den Fingerprint des Zertifikates seiner Bank telefonisch zu verifizieren, wundert sich über diese Auffassung. Eine Kurze Stichprobe bei Verwandten und Bekannten deutet auch an, dass diese Auffassung nicht mit der Nutzer Realität übereinstimmt. Keine Ahnung warum das so gelassen geseh…