iTAN
Artikel erschienen in Swiss IT Magazine 2005/21
Jüngsten Meldungen aus Deutschland zufolge wurde das iTAN-Verfahren geknackt. iTAN galt als die Hoffnung für viele Phishing-geplagte Banken. Dabei handelt es sich um ein Verfahren mit indizierten Transaktionsnummern (TAN): Bei jedem Buchungsvorgang im Online-Banking muss sich der Kunde mit einer Transaktionsnummer von seiner Streichliste legitimieren. Die Bank fordert den Kunden dabei auf, eine durch ihre Nummer bestimmte TAN einzugeben, worauf diese Nummer mit den Auftragsdaten verknüpft wird (beispielsweise mit der Kontonummer des Empfängers). Würde der so «unterschriebene» Auftrag nun von einem Angreifer abgefangen, nützt ihm dies nichts, weil die Transaktionsnummer nicht mehr für andere Überweisungsziele oder Aufträge verwendet werden kann. Experten der Bochumer Arbeitsgruppe Identitätsschutz im Internet ist es nun mit einem Trick gelungen, dieses Verfahren zu knacken, indem sie beim Kunden als Phisher zunächst Kontonummer und PIN abfragten, sich damit bei der Bank einloggten und darauf erneut über die Phishing-Site beim Kunden die von der Bank verlangte iTAN abholten. Fazit: Der Vertrauensseligkeit gutgläubiger Anwender hat auch die ausgefeilteste Technik nur wenig entgegenzusetzen.