HBCI-Banking
.JPG "HBCI-Kartenleser mit Display und Tastatur")
Am sichersten gilt das signaturgestützte HBCI-Verfahren (Homebanking Computer Interface) mit Chipkarte.
Die Eingabe von TANs entfällt. Für die PIN-Eingabe wird ein Chipkartenleser mit eigenem PIN-Pad benötigt. Der HBCI-Leser ist per Kabel an den Computer angeschlossen.Der Leser erzeugt zusammen mit der Scheckkarte die TAN. Bei diesem Verfahren kann weder der kryptografische Schlüssel der Karte bzw. Diskette ausgelesen werden, ein Trojaner kann die PIN bei der Eingabe nicht ausspähen.
Nachteile:
Man braucht eine Softwareinstallation für HBCI. Wegen des Chipkartenlesers leidet die Mobilität.
Foto: Quelle. news aktuell gmbh v. 04.12.09
Kunden können sich zwischen einem Leser der Sicherheitsklasse 2 mit eigener Tastatur oder einem Gerät der Sicherheitsklasse 3 mit einem zusätzlichen Display entscheiden. Dabei erschwert die separate Tastatur das Ausspähen der PIN-Eingabe, beispielsweise durch Trojaner auf dem PC, und das vom PC-Bildschirm unabhängige Display stellt sicher, dass die Chipkarte die richtigen Daten signiert.
Langfristig sollen künftig elektronische Unterschriftskarten die Authentisierungsfunktion übernehmen.
Secoder, Sicherer Chipkartenleser
Dieser Chipkartenleser eignet sich für Online Banking, zum Bezahlen im Internet, zur Nutzung der elektronischen Signatur und für den Altersnachweis auf Web-Seiten. Er wurde von den Banken in Zusammenarbeit mit dem Zentralen Kreditausschuss entwickelt. Beim Online-Banking werden die TANs nicht aus der Papierliste entnommen, sondern dynamisch generiert.
Visa Pin Card gegen Betrug
Visa arbeitet gemeinsam mit der australischen Firma Emue Technologies an einer neuen Kreditkartengeneration, die mit einem Chip und einer Batterie ausgestattet ist und auf der Rückseite ein Display und Zifferntasten aufweist. Der Nutzer erhält nach jeder Eingabe seiner PIN (Persönliche Identifikationsnummer) eine neue, maximal achtstellige Transaktionsnummer (TAN) angezeigt.
Mit einer solchen TAN kann ein Mal ein Zahlungsvorgang bestätigt werden. Die Visa PIN Card genannte Karte wird von Visa als "Meilenstein der Betrugsprävention" bezeichnet. Sie soll ihre Vorzüge dort beweisen, wo die Karte nicht physisch präsent ist, also etwa bei Einkäufen in Online-Shops oder Bestellungen via Telefon. Eine gestohlene Karte gibt ohne richtige PIN keine korrekte TAN preis. Für den Einsatz des neuen Verfahrens müssen Online-Shops und andere im Fernabsatz tätige Unternehmen ihre Systeme wohl entsprechend anpassen.
Quelle: www.heise.de v. 16.06.08
Session-Cookie
Session-Cookie beim Onlinebanking
Die Postbank wird beim Online-Banking neben der Session-ID zusätzlich mit dem Session-Cookie arbeiten. Dadurch wird das Online-Banking noch sicherer.
Volksbanken führen neue Signaturkarte ein
Die Volks- und Raiffeisenbanken in Nord- und Westdeutschland bieten ihren Kunden eine neue VR-BankCard mit digitaler Signatur (VR-BankCard mit HBCI ready-Funktion) für sicheres Online-Banking an. Sie soll Anwender gegen alle heute bekannten Phishing- und Trojaner-Angriffe im Internet schützen. Zusätzlich benötigt der Kunde einen Kartenleser der neuen vom Zentralen Kreditausschuss entwickelten Generation mit Display (Secoder). Der Secoder, der am PC oder Notebook angeschlossen wird, zeigt Kontroll-Informationen der Transaktion an.
Der Anwender muss etwa bei einer Überweisung Empfängerkontonummer und Uuml;berweisungsbetrag am Chipkartenleser bestätigen. Die bestätigten Daten werden kryptografisch abgesichert und sind anschließend nicht mehr durch Angreifer fälschbar. Die Signaturkarte soll die bereits bestehenden Sicherheitsverfahren Sm@rtTAN plus und mobileTAN ergänzen. Die Kunden von 450 Banken könnten nach Angaben des Dienstleisters GAD auf die neu entwickelte Signaturkarte zurückgreifen.
Quelle: www.heise.de v. 19.01.08
Online-Banking mit biometrischem Internetausweis
Die Firmen Siemens und AXSionics haben als Sicherheitssystem für Online-Banking einen "Internetnetausweis" entwickelt. Dieses System besteht aus einem scheckkartengroßen Gerät. Darauf befindet sich ein Fingerabdruckscanner, ein Flickercode-Leser mit optischen Sensoren und ein Display. Der Fingerabdruck wird im Gerät gespeichert. Nur wenn sich der Nutzer mit dem passenden Abdruck identifiziert, wird der scheckkartengroße Internetpass aktiv.
Ein Flickercode bedeutet, dass neben den eingegebenen Daten einer Überweisung auf der Bank-Webseite 6 Kästchen auf dem Bildschirm blinken. Die flackernden Kästchen übertragen die Einzelheiten der Zahlung kabellos an den Pass. Wenn fer Kunde eine Online-Buchung vornehmen will, sendet ihm die Bank verschlüsselte Daten zu. Sobald der Ausweis an den Flickercode gehalten wird und die eingelesenen Informationen übereinstimmen, erscheinen auf dem Display des Ausweises die Daten der aktuellen Überweisung sowie eine dazugehörige TAN, die der Bankkunde eingeben muss, um die Transaktion zu bestätigen. Das Gerät wird zur Zeit von den Banken getestet.
Quelle: www.pressebox.de v. 06.12.07
Wie sicher ist mTAN (TAN per SMS)?
Eine mTAN (Mobile TAN) wird dem Kunden nur für eine bestimmte Transaktion per SMS zugestellt, nachdem er einen Überweisungsauftrag online eingegeben hat. Damit wird verhindert, dass Unbefugte durch Entwenden der Liste in den Besitz gültiger TAN gelangen können. Banken sichernt das Verfahren allerdings noch dahingehend ab, das auch die Überweisungssumme und die Ziel-Kontonummer in der SMS erscheinen.
Das Risiko liegt darin begründet, dass mit der weiteren Verbreitung von kabellosen Internetzugängen auch die SMS direkt auf dem Rechner landet, statt im Mobiltelefon: Viele Anwender verwenden heute kabellose Internetzugänge als Standardverbindung, vor allem, wenn sie unterwegs sind. Wenn der integrierte SMS-Zugang für den Empfang der mTANs genutzt wird, landet der mTAN direkt auf dem Rechner und steht vorhandenen Trojanern zur Verfügung. Die mTans sind nicht verschlüsselt.
Für Smartphones gibt es inzwischen auch Schadprogramme, mit denen TAN-SMS abgefangen oder auf Handys von Betrügern umgeleitet werden können. Lassen Sie sich die mTAN nur auf geschützte Smartphones oder einfache Handys, die nicht mit dem Internet verbunden sind, schicken.
Und noch ein Problem mit Smartphones: Sicherheitsregeln verhindern, dass der TAN-Code per SMS an das Handy geschickt wird, auf dem die Banking-Software gerade läuft. Der Kunde kann sich entwerder die SMS auf ein anderes Handy schicken lassen, oder er generiert die TAN mit dem chipTAN-Generator. "chipTAN funktioniert auch bei Mobile-Banking"
Betrüger versuchen während des Online-Bankings die Handynummer von Bankkunden auszuspähen. Dabei öffnet sich kurz nach dem Anmelden eine eigene Seite, die Kunden dazu auffordert, ihre Mobilfunknummer einzugeben .Die Banken erfragen so keine Telefonnummern. An diese Nummer verschicken die Betrüger per SMS einen Link, der zu einer Handy-Malware führt, welche die von der Bank verschickten mTans abfangen und an die Betrüger weiterleiten kann.
Datenfischer nehmen SMS-TAN-Verfahren ins Visier
Mithilfe einer neuen Variante des Banking-Trojaners ZeuS ist es nun möglich, diese SMS abzufangen. Zunächst wird dazu der PC des Nutzers infiziert. Anschliessend wird dem Nutzer beim Aufruf seiner Bank-Webseite eine gefälschte Webseite untergeschoben. Dort erhält er die Meldung, er müsse eine Sicherheitsaktualisierung fuer sein Handy vornehmen - und dazu seine Handynummer angeben. Der Nutzer erhaelt dann per SMS den Link zu einem vermeintlichen Sicherheitszertifikat, welches er herunterladen soll (Voraussetzung fuer diese Methode ist ein internetfähiges Handy).
Kommt er dieser Aufforderung nach, installiert sich ZeuS auf dem Handy und fängt alle eingehenden SMS ab. Mit den Zugangsdaten zum Konto, welche mithilfe der Schadsoftware auf dem PC vorab ausgelesen werden können, und der abgefangenen mobilen TAN sind die Betrüger nun in der Lage, Ueberweisungen auszuführen. Anwendern wird geraten, grundsätzlich die Antivirenlösung fuer PC und Handy auf dem aktuellen Stand zu halten.
Quelle: Newsletter von www.buerger-cert.de Ausgabe vom 30.09.2010
Trojaner ändert Rufnummer für mTANs
Beim neuen Angriff stiehlt der Trojaner als Man-in-the-Browser zunächst die Zugangsdaten für das Onlinebanking. Nachdem sich das Opfer bei seiner Bank eingeloggt hat, präsentiert SpyEye dem Opfer eine gefälschte Warnmeldung, laut der sich das Opfer zwingend für eine neue Schutzfunktion registrieren muss.
Wird die die bei der Bank hinterlegte Handynummer geändert, erhält der Kunde eine Bestätigungs-TAN per SMS. Vergrößern Bild: heise Security Das Opfer soll angeblich eine neue SIM-Karte von der Bank erhalten, dessen Rufnummer schon mal für das mTAN-Verfahren freigeschaltet werden müsse. Nachdem der Trojaner die Rufnummernänderung angestoßen hat, erhält das Opfer eine SMS von der Bank, in der sich ein Bestätigungscode befindet. Gibt das Opfer den Code ein, kann der Trojaner die Rufnummernänderung abschließen und hat fortan die volle Kontrolle über das Konto.
Zwar enthalten die SMS-Nachrichten, die Banken bei einer Rufnummernänderung an ihre Kunden verschicken, in aller Regel einen klaren Hinweis darauf, dass durch Eingabe des Bestätigungscode die dem Konto zugeordnete Handynummer geändert wird. Durch den Warnhinweis des Trojaners dürfte das Opfer jedoch keinen Verdacht schöpfen – schließlich ist die Änderung ja aus Sicherheitsgründen notwendig.
Quelle: www.heise.de v.07.10.11
Das vom österreichischen Unternehmen MERLINnovations & Consulting GmbH, Wien (http://www.merlinnovations.com) entwickelte, patentierte Verfahren SecLookOn bietet hingegen die volle Sicherheit gegen Phishing und Trojaner, indem es einen völlig neuen Lösungsweg einschlägt: nicht mehr geschriebene Passwörter oder TAN werden als Sicherheitsbarriere herangezogen, sondern gedachte Assoziationen.
Im Klartext heißt das: Es wird nicht ein bestimmter Code abgefragt, sondern individuelle assoziative Verbindungen von Bildern, Farben, Formen und Zahlen.
Vorteil Nr. 1: Nur der betreffende User kennt seine persönliche Assoziation.
Vorteil Nr. 2: Verbindungen von Zahlen und bildhaften Elementen (Farben, Formen, Bilder) merkt sich das menschliche Gehirn leichter als Zahlen alleine.
Vorteil Nr. 3: Die individuelle, nur im Kopf des Kunden vorhandene Bild-Zahl-Farb-Form-Assoziation ist bei Eingabe nicht erkennbar und,
Vorteil Nr. 4: für Betrüger so gut wie unknackbar, da die Sicherheit von 340 Bit (2340 Möglichkeiten, entspricht einer 1 mit 102 Nullen) außergewöhnlich hoch ist und bei Bedarf weiter erhöht werden kann. Quelle: www.openpr.de v. 07.02.08
eTAN
Bei eTAN (elektronische Vergabe der Transaktionsnummern) erhält der Kunde einen eigenen TAN-Generator in der Größe eines Taschenrechners, der die Nummern selbst generiert.
Grundsätzlich rät die Stiftung Warentest in jedem Fall von der Benutzung des traditionellen PIN/TAN-Verfahrens ab. Leider ist dieses noch immer bei vielen Banken in Gebrauch. Auch wenn neue Methoden mit zusätzlichen Investitionen verbunden sind, wäre ein Umdenken der Banken in Richtung mehr Sicherheit für die Kontoinhaber sehr wünschenswert (Quelle: Gulli.com v. 03.01.07)
Eine argentinische Diebesbande hat die eTAN-Generatoren von Bankkunden mit einem sogenannten Seitenkanalangriff ausgespäht.. Dabei kamen zwei Techniken zum Einsatz. Zunächst haben die argentinischen Cracker die elektromagnetische Abstrahlung des Generators genau gemessen, um die Rechenvorgänge auf dem Chip des Gerätes bei Erzeugung der TAN rekonstruieren zu können.
Die Ergebnisse des Abstrahlangriffs sind dann durch eine sogenannte Powerattacke ergänzt worden. Dabei wurde der Stromverbrauch des Chips bei der TAN-Erzeugung aufgezeichnet. Zusammen mit den Ergebnissen aus dem Abstrahlangriff konnte in einigen Fällen eine gültige TAN ermittelt werden. (Quelle: www.faz.de v. 21.09.09
iTAN wird ausgehebelt
Das iTAN-Verfahren galt lange Zeit als sicher,Inzwischen kennen Hacker mittlerweile verschiedene Wege, den iTAN-Schutz zu überwinden.
Es gibt Computerviren, die selbst die neuesten Sicherheitsmechanismen der Banken umgehen. Bisher versuchten Internet-Betrüger Zugangsdaten und Transaktionsnummern (TAN) von Usern mittels "Phishing" auf gefälschten Websites auszuspähen. Mit der Einführung der indizierten TAN - kurz iTAN - bekam man dieses Problem in den Griff.
Die neuen Computerviren - auch Trojaner genannt - greifen jedoch direkt in den Überweisungsvorgang ein. Zugangsdaten müssen nicht mehr ausgespäht werden. So ändert das Programm im Hintergrund einfach Geldempfänger und Summe. Der Nutzer bemerkt den "Irrtum" erst am Kontoauszug.
Die Zahl der Phishing-Fälle wird laut BKA deutlich zunehmen (plus 53 Prozent), weil Cyberkriminelle inzwischen auch das iTAN-Verfahren beim Online-Banking aushebeln könnten.
TAN-Sicherung für Online-Überweisungen
Postbank-Kunden Online-Überweisungen ab 1.000 Euro nur noch mit einer mobileTAN freigeben. Diese kommt per MS aufs Handy und gilt nur für einen bestimmten Auftrag.
Für Überweisungen bis 1.000 € gibt es wie bisher die iTAN-Listen.
sm@rt-TAN
Mit einem TAN-Generator ohne Ziffernfeld erzeugt der beim Einführen der Karte TAns. Die Generierung der TANs erfolgt über den Chip auf der Kundenkarte des Kunden. Die TANs können nur der Reihe nach im Online-Banking eingegeben werden. Dieses Verfahren ist anfällig für Phishing- bzw. Man-in-the-middle-Angriffe, da die generierten TANs für beliebige Transaktionen verwendet werden können. Eine Auftragsbindung findet nicht statt. Die Verbreitung dieses Verfahrens ist gering.Quelle: www.wikipedia.de
ChipTAN comfort Verfahren
Der Kunde erhält ein Scheckkarten-Lesegerät, Zifferntastatur und Display. Mit dem TAN-Generator in Verbindung mit der BankCard erzeugt der Kunde die TAN selbst. Er gibt z.B. Kontonummer des Zahlungsempfängers und den Überweisungsbetrag in den PC ein, die Daten werden per Optik-Sensoren mittels einer bewegten Grafik (Flickercode) am Bildschirm auf den TAN-Generator übertragen. Nach Bestätigung dieser Daten wird auf dem Generator die errechnete TAN angezeigt.
Man benötigt keine TAN-Liste mehr. Das Verfahren erspart dem Kunden die Eingabe von auftragsbezogenen Daten über die Tastatur des Lesers. Eine Installation am PC ist nicht notwendig.
Wie www.heise.de am 23.11.09 berichtete, lässt sich das derzeit von den Sparkassen eingesetzte "chipTAN comfort"-Verfahren angreifen, so dass Betrüger eigene Überweisungen durchführen könnten.
Flickercode ausgehebelt: Zur Meldung
Bei der Postbank wird im Frühjahr 2011 das neue chipTAN Verfahren eingeführt. Zusammen mit dem mobileTAN-Verfahren wird es künftig die Papier TAN-Listen, das sogenannte iTAN-Verfahren komplett ablösen.
Internet-Banking per Fingerabdruck
Das Verfahren hat die Berner Kantonalbank eingeführt.
Nach Eingabe von Benutzernummer und das Passwort erscheint auf dem PC-Monitor ein Bild mit einem verschlüsselten Code. Der Kunde hält nun das von der Bank erhaltene Lesegerät an den Bildschirm. Mit der eingebauten Minikamera liest er das Bild in seine Karte.
Anschliessend legt er seinen Finger auf den in der Karte eingebauten Scanner. Ein Chip kontrolliert, ob der Fingerabdruck mit dem in der Karte gespeicherten übereinstimmt. Sobald der Fingerabdruck als echt akzeptiert wird, entschlüsselt die Karte den im vorher eingelesenen Bild enthaltenen Code. Mit dem Code erhält der Kunde Zugang zum Internet-Banking.
Der Fingerabdruck wird nur in der Karte gespeichert und er erscheint nie im Netz. Damit sei ausgeschlossen, dass ein Hacker die Fingerabdruckdaten abfangen könne.