Aktuelle Phising-Maschen Datum: 05.02.2016 Update #2: CCC-Vortrag über pushTAN-Manipulation: Auswirkungen auch auf andere App-basierte TAN-Verfahren möglich In seinem Vortrag auf dem diesjährigen Chaos Computer Congress (32C3) demonstrierte Vincent Haupert Schwachstellen, die er bei der Untersuchung der pushTAN-App der Sparkassen ausfindig gemacht hatte. Die Schwachstellen lassen sich möglicherweise auch bei anderen Apps zum Empfangen von TAN-Nummern ausnutzen. Der Angriff ist eine neue Version der bereits im Oktober veröffentlichen Variante der UNI Erlangen-Nürnberg (siehe hier). Bei der Untersuchungen der pushTAN-App zeigte der Informatik Student Haupert auf, dass sich einige der Sicherheitsmechanismen umgehen lassen. Hierdurch lassen sich Überweisungen manipulieren, ohne dass der Benutzer dies bei der Bestätigung der TAN erkennen kann. Erst bei der Kontrolle der Umsatzübersicht fallen die ungewollt getätigten Überweisungen auf. [Update 30.12.2015] Die aufgezeigten Angriffsmöglichkeiten bezogen sich auf das Zusammenspiel aktueller Versionen der Sparkassen-Apps und der pushTAN-App der Sparkassen-Finanzgruppe bei gemeinsamer Nutzung auf einem korrumpierten („gerooteten“) Android-Gerät. Ob die Apps für Apple iOS-Geräte auch von diesen Angriffsmöglichkeiten betroffen sind wurde nicht erwähnt. Wie weit sich dieses Vorgehen auch auf die VR-SecureGo-App anwenden lässt, wird noch untersucht. Bisher sind keine Schadensfälle bei VR-Banken bekannt. Bei der Verwendung des Smartphones als zweiter Kanal neben dem PC lässt sich der gezeigte Hack allerdings nicht erfolgreich durchführen. Um potentielle Angriffe zu erschweren empfehlen wir, beim Online-Banking die Kanaltrennung einzuhalten. Dies minimiert das Risiko eines erfolgreichen Angriffs, da beide Kanäle manipuliert werden müssen, um ohne das Zutun des Kunden (z. B. durch Social Engineering Methoden wie "Testüberweisung" oder "Rücküberweisung) eine erfolgreiche Überweisung zu tätigen. Am 28.10.2015 veröffentlichte die BaFin ein angepasstes FAQ-Dokument. Über das weitere Vorgehen hinsichtlich der MaSI-Konformität haben wir Sie am 11.12.2015 über das VR-Infoforum: http://www.vrinfoforum.fiducia.de/wps/myportal/showDoc?_sdID=1413691 (agree® eBanking: Umsetzungshilfe für die MaSI,V2 // Information für Online-Geschäftsstelle) Informiert. [Update 05.02.2016] Derartige Angriffe sind technisch grundsätzlich auch bei der SecureGo-App durchführbar. Zahlreiche Sicherheitsmaßnahmen erschweren diese Angriffe jedoch deutlich, wodurch reale Angriffe Aktuelle Phising-Maschen Datum: 05.02.2016 unwahrscheinlicher werden. Bisher liegen keinerlei Hinweise zu erfolgten bzw. erfolgreichen Angriffen auf die Secure-Go-App vor. Für einen erfolgreichen Angriff ist das Rooting eines Geräts notwendig, mit Version 1.40 (derzeit in Pilotierung, Breiteneinsatz voraussichtlich ab Mitte Februar) wird die Root-Detection aktiviert. Weitere Sicherungsmaßnahmen sind derzeit in Prüfung bzw. Umsetzung. Weitere Informationen: · · · · · http://blog.dsgv.de/hackerangriff-push-tan-32c3/ http://koeln.ftp.media.ccc.de/congress/2015/h264-hd/32c3-7360-de-en-Un_Sicherheit_von_Appbasierten_TAN-Verfahren_im_Onlinebanking_hd.mp4 http://www.spiegel.de/netzwelt/web/pushtan-bei-sparkasse-hacker-greift-online-banking-app-an-a1069681.html http://www.golem.de/news/onlinebanking-sparkassen-app-fuer-pushtan-verfahren-wieder-gehackt1512-118225.html http://www.heise.de/security/meldung/32C3-pushTAN-App-der-Sparkasse-nach-wie-vor-angreifbar3056667.html