wize.life
Neu hier? Jetzt kostenlos registrieren und mitmachen! Warum eigentlich?

Mobile Banking: Hacker knacken Sicherheitsverfahren dieser Banken - und Sie merken gar nichts davon

News Team
18.10.2016, 12:22 Uhr
Beitrag von News Team

Das photoTAN-Verfahren soll Bankgeschäfte per Smartphone sicher machen. Es handelt sich dabei um eine App, die zusätzlich zur Banking-App auf dem Mobiltelefon installiert werden muss.

Doch Forscher der Friedrich-Alexander-Universität Erlangen-Nürnberg bewiesen jetzt das Gegenteil. Wie die "Süddeutsche Zeitung" berichtet gelang es Vincent Haupert und Tilo Müller, die App zu hacken und Überweisungen nach Belieben umzuleiten bzw. selbst zu erstellen.

Solange der Kunde seine Bankgeschäfte mobil abwickle, merke er noch nicht einmal etwas von der Manipulation, so Haupert:

Für uns ist es überhaupt kein Problem, die tatsächliche Überweisung anschließend zu verstecken.

Die beiden Forscher knackten die photoTAN-App der Deutschen Bank, der Norisbank sowie der Commerzbank. Voraussetzung für die Manipulation ist jedoch, dass eine Schadsoftware auf dem Smartphone installiert wurde.

Das photoTAN-Verfahren

Und so funktioniert das photoTAN-Verfahren: In der Banking-App wird Empfänger und Summe eingegeben. Mit der photoTAN-App wird anschließend ein einmaliges Passwort generiert. Es handelt sich dabei jedoch um keinen Zahlen-Code, sondern eine 3x3 Zentimeter große Grafik, in der Auftragsdaten und TAN in verschlüsselter Form enthalten sind.

Ist eine Schadsoftware auf dem Smartphone installiert, erhalten Hacker Zugang zu Passwort und anderen Daten, wenn sich der Kunde bei der Banking-App anmeldet. Will der Kunde dann Geld überweisen, greifen Hacker die Daten ab und ersetzen diese durch andere. Auf Grundlage der manipulierten Daten wird dann die photoTAN erstellt.

Manipulation für Nutzer nicht erkennbar

Der Nutzer erkennt die Manipulation nicht einmal, wenn er seinen Kontostand nur auf dem Smartphone überprüft. Erst bei einer Überprüfung auf einem Rechner, fällt der Betrug auf. Dann kann es aber schon zu spät sein.

Voraussetzung für die erfolgreiche Hacker-Attacke ist eine vorinstallierte Schadsoftware. Mit "Godless" und "Hummingbad" gibt es im offiziellen App-Store von Google zwei Anwendungen, die Apps befallen. Bereits zehn Millionen Geräte sind infiziert.

Theoretisch ist ein solcher Hacker-Angriff auch beim iPhone-System iOS denkbar. Allerdings ist das Sicherheitsmodell von Apple deutlich besser.

Wer kennt diesen Kölner U-Bahnräuber und seine Komplizen

Kommentare

Melden Sie sich jetzt mit Ihrem Nutzerkonto an, um Kommentare zu hinterlassen.