Hacker überwinden PhotoTAN – mehrere Banken von Schwachstelle betroffen

Eigentlich sollte das PhotoTAN Verfahren Online Banking noch sicherer machen. Für jede Transaktion wird ein individueller TAN Code generiert, welcher über die entsprechende App für iOS und Android abgerufen werden kann. Drei deutsche Banken versprechen damit höchste Sicherheit. Doch jetzt ist es Hackern gelungen, den Sicherheitsmechanismus über Android auszuhebeln.

PhotoTAN soll derzeit die sicherste Variante sein, eine Transaktion über das Online Banking zu genehmigen. Mit dem Verfahren scannt der Nutzer über eine entsprechende iOS oder Android App der Banken einen QR-Code ein, womit der individuelle TAN Code generiert wird. Je nach Bank ist dieser nur wenige Minuten gültig. Allerdings haben Sicherheitsforscher nun eine Schwachstelle ausfindig gemacht, womit das Verfahren quasi ausgehebelt werden kann. Betroffen sind Apps der Deutschen Bank, Commerzbank und der Norisbank.

 

 

Die Sicherheitsforscher der Friedrich-Alexander-Universität aus Erlangen haben das Sicherheitsrisiko bislang ausschließlich unter Einsatz von Android nachweisen können. Dazu gibt es auf einer extra Website sogar Videos sowie mehrere Details über die Schwachstelle. Das Risiko besteht dann, wenn eine Überweisung an demselben Gerät getätigt wird, mit dem anschließend auch die TAN generiert wird. Hacker können den gesamten Traffic über einen eigenen Server umleiten, welcher dem Nutzer falsche Informationen schickt. Der Server von den Hackern kommuniziert wiederum mit den Servern der Bank. Deshalb können dem Nutzer richtige Kontostände und sämtliche richtige Informationen angezeigt werden.

„Wir können alles manipulieren. Für uns ist es überhaupt kein Problem, die tatsächliche Überweisung anschließend zu verstecken.“ (Quelle: Süddeutsche Zeitung)

 

Führt der Nutzer nun eine Überweisung durch, ändert der Hacker die Kontonummer des Empfängers. Diese Daten werden anschließend an die Bank weitergeleitet. Sämtliche Transaktionsinformationen leitet der Hacker schließlich wieder auf das Smartphone von dem Nutzer. Dieser bekommt von der Umleitung nichts mit. Über die Banking App öffnet der Nutzer nun die PhotoTAN App der Bank. Da das Smartphone jedoch nicht seinen eigenen Bildschirm fotografieren kann, schickt die Banking App alle für die Transaktion benötigten Daten direkt an die PhotoTAN App.

Die PhotoTAN App zeigt dann lediglich den TAN Code an. Von der geänderten Kontonummer bekommt der Geschädigte überhaupt nichts mit. Nachdem die TAN im Onlinebanking eingegeben wurde, leitet der Hacker diese wieder an die Bank weiter, womit die gefälschte Überweisung ausgeführt wird. Auch danach sieht der Kunde nicht, dass die Überweisung an eine andere Kontonummer als gedacht getätigt wurde. Schließlich manipulieren die Hacker auch die Transaktionsübersicht in dem Online Banking. Erst wenn das Online Banking an einem nicht infizierten Gerät, beispielsweise am Computer, geöffnet wird, sieht der Nutzer den Cyberangriff.

 

Eine gute Nachricht gibt es jedoch: damit das Prozedere möglich ist, muss das Android Gerät mit einem Virus infiziert sein. Diesen bekommen die Hacker beispielsweise durch infizierte Apps auf das Smartphone. Vor allem Android ist vor verseuchten Apps gefährdet. Unter iOS ist die Manipulation theoretisch auch möglich, allerdings ist es bei Apples Betriebssystem schwerer, einen entsprechenden Virus einzuschleusen. Die Sicherheitsforscher sind sich indes sicher, dass es für Hacker aktuell noch interessantere Wege gibt, an Geld zu gelangen. Zwar sei ein solcher Angriff sehr ausgeklügelt, allerdings auch nur schwer und mit viel Aufwand umsetzbar.

Die Sicherheitsforscher haben übrigens einen etwas ungewöhnlichen Weg gewählt: im Gegensatz zu vielen Sicherheitsforschern haben die beiden Finder die Sicherheitslücke veröffentlicht, ohne zuvor die Banken zu informieren. Die Forscher sind sich nämlich sicher, dass die Banken über die Schwachstelle informiert seien. Die Banken würden dieses Risiko eingehen, da die Sicherheitslücke quasi nur bei falscher Verwendung ausgenutzt werden könne.

 

Wie immer heißt es auch hier: kein System ist sicher. An sich ist die PhotoTAN sehr sicher, zumindest dann, wenn die Überweisung auf einem anderen Gerät durchgeführt wird. Wenn eine Überweisung doch einmal unterwegs fällig ist, empfiehlt es sich, den Webbrowser zu verwenden. Denn Hacker können die Schwachstelle nur ausnutzen, wenn übergreifend Apps für die Überweisung und die PhotoTAN verwendet werden. Zudem sollten nur Apps aus sicheren Quellen installiert werden – auch wenn das keine Sicherheitsgarantie darstellt. Salopp gesagt war auch die alte TAN Methode unsicher, wenn diese falsch gebraucht wurde und der TAN Block in falsche Hände gelangte. Und das ist eben auch hier der Fall. Also: Überweisungen nach Möglichkeit immer auf dem Tablet oder Computer durchführen und das Smartphone nur als TAN Generator verwenden. Dann dürfte hoffentlich nichts schief gehen.

Quelle Bild: HBphotoart / Bigstockphoto

Moritz Krauß: Founder & Editor in Chief
Ähnliche Artikel

Wenn du unsere Website weiter verwendest, stimmst du der Nutzung von Cookies zu.