Der Spezialist für Endgeräte-Sicherheit Trusteer warnt vor neuen Tatanga-Attacken auf ChipTAN-Systeme. Hierfür führt er sein Opfer auf eine gefälschte Webseite, über die der Anwender im Rahmen eines vermeintlichen Bankkarten-Tests eine TAN angeben soll.
ChipTAN-Systeme werden von deutschen Banken angeboten, um einmalige Transaktionsnummern (TANs) zu generieren. Hierfür muss der Online-Banking-Kunde seine Bankkarte in ein Gerät einführen, was als eine der sichersten Methode gilt – solange sich der Nutzer nicht austricksen lässt.
Der Trojaner Tatanga umgeht das ChipTAN-System, indem er sich im Browser festsetzt und zunächst sämtliche Online-Konten des Bankkunden auf verfügbare Währungen, Kontostand und Kreditlimit prüft. Im nächsten Schritt wählt der Trojaner das Konto aus, von dem der größte Betrag entwendet werden kann.
Anschließend führt Tatanga sein potenzielles Opfer auf eine gefälschte Website, um dem Benutzer vorzugaukeln, dass die Bank einen ChipTAN-Test durchführt. Der Benutzer wird aufgefordert, eine TAN zu generieren und einzugeben, um den Vorgang zu „testen“. Hierfür erhält er folgende Anweisungen:
- Stecken Sie Ihre Chipkarte in den TAN-Generator und drücken "F".
- Halten Sie den TAN-Generator vor die animierte Grafik. Dabei müssen die Markierungen (Dreiecke) von der Grafik mit denen auf Ihrem TAN-Generator übereinstimmen.
- Prüfen Sie die Anzeige auf dem Leserdisplay und drücken "OK".
- Prüfen Sie die Hinweise (Empfänger-Kontonummer (ohne führende Nullen), Bankleitzahl des Empfängers und Betrag) auf dem Leserdisplay und bestätigen diese dann jeweils mit "OK" auf Ihrem TAN-Generator.
- Hinweis: Überprüfen Sie die Anzeige des TAN-Generators immer anhand der Original-Transaktions-Daten - z.B. einer Rechnung.
Mithilfe der Login-Daten und der TAN initiiert Tatanga anschließend eine Überweisung. In der Zwischenzeit manipuliert der Trojaner die Überweisungsübersicht bzw. den Kontostand, um die Transaktion zu verschleiern.
Trusteer-CTO Amit Klein mahnt, dass ChipTAN-Systeme nicht so sicher sind, wie man angesichts der Technik vermuten könnte: „Die Attacke veranschaulicht, dass die chipTAN-Sicherheit mithilfe von Man-in-the-Browser-Techniken und Social-Engineering-Methoden umgangen werden kann.“