Das ITAN-Verfahren ist nach einem Test der Arbeitsgruppe Identitätsschutz im Internet (AI3) der Bochumer Ruhr-Universität unsicher. Die Forscher konnten in Form eines Mittelsmann-Angriffs mit einer Phishing-Seite im Rahmen des Tests einen Euro auf ein anderes Konto überweisen.
"Auf die Anfälligkeit des iTAN-Verfahrens gegen Man-in-the-Middle-Angriffe wurde nach Einführung dieses Verfahrens auch von AI3 wiederholt hingewiesen", sagte Prof. Dr. Georg Borges vom Studienbereich Justiz an der Ruhr-Universität.
"Wir betonen ausdrücklich, dass sowohl TAN als auch iTAN-Verfahren bei korrekter Überprüfung der SSL-Verbindung sicher sind. Allerdings haben bisherige Phishing-Angriffe gezeigt, dass die Betroffenen den Schutzmechanismus SSL schlichtweg ignorieren oder ihn einfach nicht verstehen.", so Prof. Dr. Georg Borges weiter.
Bei ihrem Test sendeten die Forscher eine typische Phishing-Mail womit ein Testopfer auf eine Phishing-Seite gelockt wurde und dazu aufforderte die Konto-Nummer und PIN-Nummer einzugeben. Nach der Daten-Eingabe landeten diese Informationen beim Angreifer-Server, der sogleich den Bank-Server kontaktierte und die ITAN-Nummer abgefangen wodurch ein echter Angreifer eine Überweisung auf sein Konto tätigen könnte.
Zum Schutz der Kunden sollten die Banken ihre Kunden über die Verschlüsselungstechnik SSL informieren damit das Konto nicht von Phishing-Angreifern geplündert werden kann.
