Norisbank Phototan

Die Norisbank Phototan

von Kunden der Deutschen Bank, der Norisbank und der Commerzbank. Security-Verfahren wie photoTAN oder mobile TAN. norisbank App ([mm/yyy]): Wie funktioniert die App? Auf jeden Fall wollte ich die Grafik für die Aktivierung von Photo Tan scannen und das Gerät erkennt diese Grafik einfach nicht. Auch mit der norisbank Banking App verwenden? auch mit der norisbank App verwenden.

Die Commerzbank und die Dt. Bank: Wissenschaftler greifen den Photo-Tan-Prozess an

Es ist einem Forscherteam geglückt, den von mehreren Kreditinstituten eingesetzten Phototan-Prozess zu durchbrechen. Wie die Sueddeutsche Verlagszeitung zunaechst berichtete. Phototan wurde urspruenglich als Zwei-Faktor-Authentifizierungsmethode konzipiert, kann aber auch auf einem Smart-Phone mit einer Bank-App genutzt werden - das ist das eigentliche Hauptproblem. Welche Schwächen das Vorgehen hat, beschreiben die beiden Wissenschaftler Tilo Müller und Vincent Haupert von der Friedrich-Alexander-Universität Erlangen-Nürnberg in einer Studie[PDF].

Das Vorgehen wurde zunächst als zusätzlicher Schutz für Online-Transaktionen konzipiert. Zu diesem Zweck kreiert der Online-Banking-Dienst eine so genannte Photo Tan, einen vielfarbigen Matrixcode. Eigentlich mussten die Benutzer eine vom System erstellte Fotobräune mit ihrem Handy fotografieren, um eine Buchung zu verifizieren. Allerdings nutzen nun auch Institute wie Commerzbank, Norisbank und Deutsche Bundesbank das Vorgehen anders - als zweite Anwendung auf dem Handy.

Der Code muss nicht fotografiert werden, sondern die zugehörigen Informationen werden im Hintergund von der Photo-Tan-App an die Banking-App übertragen. Die beteiligten Kreditinstitute öffnen damit den Wissenschaftlern und gegebenenfalls Verbrechern die Möglichkeit, Geschäfte auf ein anderes Depot weiterzuleiten und diese Weiterleitung auf dem Handy mit verfälschten Informationen zu verbergen. Bei den Photo Tan Apps der Anbieter gibt es mehrere Schwächen.

Dabei wird geprüft, ob eine Anforderung von demselben Endgerät wie die von der Bank-App versendete Anforderung ausging. Das Backup funktioniert aber nur über die Android-ID oder die Geräte-IMEI-Nummer - beide Größen können von Hackern verfälscht werden. Darüber hinaus prüft keine der getesteten Anwendungen, ob das Endgerät des Benutzers verwurzelt ist - und kann daher keine Warnung ausgeben.

Nicht alle Anwendungen verfügen auch über einen umfassenden Kopierschutz, so dass Hacker den Benutzern eine modifizierte Fassung der Anwendung vorwerfen können. In ihrem Anschlagsszenario fing Hauptert und Müller die Zugriffsdaten der Banking-App auf dem Handy ab und startete einen sogenannten Mittlerangriff, bei dem der Verkehr der Kundschaft zunächst über den Server eines Angreifers umleitet wurde.

Zu diesem Zeitpunkt konnten bereits die Eckdaten für eine Banküberweisung erzeugt und an die Hausbank weitergegeben werden. Nur dann wird der Prozess von der Bank-App an den Photo-Tan-Dienst geschickt. Dabei werden auch hier die berechtigten Kundendaten im Vordergund dargestellt, während die bearbeiteten Angriffsdaten der Täter im Hintergund dargestellt werden. Anschließend schickt die Photo-Tan-App eine unverschlüsselte Variante der Matrixgrafik an die Bank-App, und der Benutzer muss die Buchung abschließen.

Damit der Anschlag in Wirklichkeit durchgeführt werden kann, müssen Täter ihr eigenes Angriffsopfer dazu bewegen, Malware auf dem Handy zu installieren, das dann die Steuerung der Anwendungen übernehmen kann. In ihrem Beitrag beziehen sich Müller und Haupert auf eine Vielzahl bekannter Sicherheitslücken und Malwarefamilien, die solche Attacken wie den Quadrooter erlauben würden.

Die Datenerhebung beim Kreditantrag erfolgt durch: smava GmbH Kopernikusstr. 35 10243 Berlin E-Mail: info@smava.de Internet: www.smava.de Hotline: 0800 - 0700 620 (Servicezeiten: Mo-Fr 8-20 Uhr, Sa 10-15 Uhr) Fax: 0180 5 700 621 (0,14 €/Min aus dem Festnetz, Mobilfunk max. 0,42 €/Min) Vertretungsberechtigte Geschäftsführer: Alexander Artopé (Gründer), Eckart Vierkant (Gründer), Sebastian Bielski Verantwortlicher für journalistisch-redaktionelle Inhalte gem. § 55 II RStV: Alexander Artopé Datenschutzbeauftragter: Thorsten Feldmann, L.L.M. Registergericht: Amtsgericht Charlottenburg, Berlin Registernummer: HRB 97913 Umsatzsteuer-ID: DE244228123 Impressum