Hacker überwinden PhotoTAN – mehrere Banken von Schwachstelle betroffen

Eigentlich sollte das PhotoTAN Verfahren Online Banking noch sicherer machen. Für jede Transaktion wird ein individueller TAN Code generiert, welcher über die entsprechende App für iOS und Android abgerufen werden kann. Drei deutsche Banken versprechen damit höchste Sicherheit. Doch jetzt ist es Hackern gelungen, den Sicherheitsmechanismus über Android auszuhebeln.

PhotoTAN soll derzeit die sicherste Variante sein, eine Transaktion über das Online Banking zu genehmigen. Mit dem Verfahren scannt der Nutzer über eine entsprechende iOS oder Android App der Banken einen QR-Code ein, womit der individuelle TAN Code generiert wird. Je nach Bank ist dieser nur wenige Minuten gültig. Allerdings haben Sicherheitsforscher nun eine Schwachstelle ausfindig gemacht, womit das Verfahren quasi ausgehebelt werden kann. Betroffen sind Apps der Deutschen Bank, Commerzbank und der Norisbank.

 

ac-c bank geld euro PhotoTAN Hacker überwinden PhotoTAN - mehrere Banken von Schwachstelle betroffen bigstock 143837465

 

Die Sicherheitsforscher der Friedrich-Alexander-Universität aus Erlangen haben das Sicherheitsrisiko bislang ausschließlich unter Einsatz von Android nachweisen können. Dazu gibt es auf einer extra Website sogar Videos sowie mehrere Details über die Schwachstelle. Das Risiko besteht dann, wenn eine Überweisung an demselben Gerät getätigt wird, mit dem anschließend auch die TAN generiert wird. Hacker können den gesamten Traffic über einen eigenen Server umleiten, welcher dem Nutzer falsche Informationen schickt. Der Server von den Hackern kommuniziert wiederum mit den Servern der Bank. Deshalb können dem Nutzer richtige Kontostände und sämtliche richtige Informationen angezeigt werden.

„Wir können alles manipulieren. Für uns ist es überhaupt kein Problem, die tatsächliche Überweisung anschließend zu verstecken.“ (Quelle: Süddeutsche Zeitung)

 

Führt der Nutzer nun eine Überweisung durch, ändert der Hacker die Kontonummer des Empfängers. Diese Daten werden anschließend an die Bank weitergeleitet. Sämtliche Transaktionsinformationen leitet der Hacker schließlich wieder auf das Smartphone von dem Nutzer. Dieser bekommt von der Umleitung nichts mit. Über die Banking App öffnet der Nutzer nun die PhotoTAN App der Bank. Da das Smartphone jedoch nicht seinen eigenen Bildschirm fotografieren kann, schickt die Banking App alle für die Transaktion benötigten Daten direkt an die PhotoTAN App.

Die PhotoTAN App zeigt dann lediglich den TAN Code an. Von der geänderten Kontonummer bekommt der Geschädigte überhaupt nichts mit. Nachdem die TAN im Onlinebanking eingegeben wurde, leitet der Hacker diese wieder an die Bank weiter, womit die gefälschte Überweisung ausgeführt wird. Auch danach sieht der Kunde nicht, dass die Überweisung an eine andere Kontonummer als gedacht getätigt wurde. Schließlich manipulieren die Hacker auch die Transaktionsübersicht in dem Online Banking. Erst wenn das Online Banking an einem nicht infizierten Gerät, beispielsweise am Computer, geöffnet wird, sieht der Nutzer den Cyberangriff.

 

Eine gute Nachricht gibt es jedoch: damit das Prozedere möglich ist, muss das Android Gerät mit einem Virus infiziert sein. Diesen bekommen die Hacker beispielsweise durch infizierte Apps auf das Smartphone. Vor allem Android ist vor verseuchten Apps gefährdet. Unter iOS ist die Manipulation theoretisch auch möglich, allerdings ist es bei Apples Betriebssystem schwerer, einen entsprechenden Virus einzuschleusen. Die Sicherheitsforscher sind sich indes sicher, dass es für Hacker aktuell noch interessantere Wege gibt, an Geld zu gelangen. Zwar sei ein solcher Angriff sehr ausgeklügelt, allerdings auch nur schwer und mit viel Aufwand umsetzbar.

Die Sicherheitsforscher haben übrigens einen etwas ungewöhnlichen Weg gewählt: im Gegensatz zu vielen Sicherheitsforschern haben die beiden Finder die Sicherheitslücke veröffentlicht, ohne zuvor die Banken zu informieren. Die Forscher sind sich nämlich sicher, dass die Banken über die Schwachstelle informiert seien. Die Banken würden dieses Risiko eingehen, da die Sicherheitslücke quasi nur bei falscher Verwendung ausgenutzt werden könne.

 

Wie immer heißt es auch hier: kein System ist sicher. An sich ist die PhotoTAN sehr sicher, zumindest dann, wenn die Überweisung auf einem anderen Gerät durchgeführt wird. Wenn eine Überweisung doch einmal unterwegs fällig ist, empfiehlt es sich, den Webbrowser zu verwenden. Denn Hacker können die Schwachstelle nur ausnutzen, wenn übergreifend Apps für die Überweisung und die PhotoTAN verwendet werden. Zudem sollten nur Apps aus sicheren Quellen installiert werden – auch wenn das keine Sicherheitsgarantie darstellt. Salopp gesagt war auch die alte TAN Methode unsicher, wenn diese falsch gebraucht wurde und der TAN Block in falsche Hände gelangte. Und das ist eben auch hier der Fall. Also: Überweisungen nach Möglichkeit immer auf dem Tablet oder Computer durchführen und das Smartphone nur als TAN Generator verwenden. Dann dürfte hoffentlich nichts schief gehen.

Quelle Bild: HBphotoart / Bigstockphoto

Schön, dass du da bist. Wir würden uns sehr freuen, wenn du uns als TechnikSurfer Leser deinen Freunden weiterempfehlen, uns auf den sozialen Netzwerken folgen und unsere App für Android oder iOS installieren würdest. Es lohnt sich - garantiert!

Moritz Krauß

Moritz Krauß

Ich bin der Gründer und Chefredakteur auf dem TechnikSurfer. Seit es den TechnikSurfer gibt, bin ich mit Herzblut dabei, euch täglich mit neuen Artikeln zu versorgen. Seit Oktober 2016 gehe ich meiner Leidenschaft weiter nach und studiere Informatik an der Universität Augsburg. Über den TechnikSurfer


Ähnliche Artikel

Das OnePlus 2 wurde endlich vorgestellt

Endlich hat das Warten ein Ende. Heute morgen hat OnePlus das neue Smartphone OnePlus 2 vorgestellt. Bereits im Voraus waren viele Details bekannt. Deshalb bot das Launch-Event

Bluetooth 5 vorgestellt: schneller, stabiler, weiter – perfekt für das Internet der Dinge

Noch in diesem Jahr könnte Bluetooth 5 an den Start gehen. Die heute vorgestellte Technologie soll nicht nur schneller und

TechnikSurfer Artikel jetzt als WhatsApp

Du möchtest unsere Artikel schnell, unverbindlich und überall kostenlos erhalten? Dann haben wir ab jetzt das Richtige für dich. Erhalte

Noch keine Kommentare vorhanden Sei der Erste und hinterlasse einen Kommentar!

Hinterlasse einen Kommentar

Your e-mail address will not be published.
Required fields are marked*


Kommentare erscheinen erst nach der Freischaltung.