PhotoTAN gehackt
Author
Maren Keller, Do, 20. Okt. 2016
in Allgemein

PhotoTAN gehackt

Online-Banking damit unsicher?

Online-Banking soll mit PhotoTAN sicherer werden und Überweisungen absichern. Werden das Online-Banking und die App zur Erzeugung der TAN allerdings auf einem einzigen Gerät abgewickelt, ist das System angreifbar, wie Forscher jetzt bewiesen haben.

Betroffen sind Kunden der Deutschen Bank, der Norisbank und der Commerzbank. Wir erklären euch, wie die PhotoTAN App funktioniert und wo die Gefahren liegen.

„Sicher, einfach, schnell“ – so wirbt die Commerzbank für das PhotoTAN-Verfahren. Norisbank und Deutsche Bank werben sogar dafür, diese App beim mobilen Banking einzusetzen. Dabei ist das System nur sicher, wenn das Online-Banking am heimischen PC ausgeführt wird und die PhotoTAN-App auf einem zweiten Gerät gespeichert ist. Das haben jetzt IT-Forscher der Uni Erlangen-Nürnberg herausgefunden.

PhotoTAN soll Online-Banking erleichtern

PhotoTAN

Banking mit zwei Geräten. Nur so ist das PhotoTAN-Verfahren sicher. Bild: Commerzbank

TAN ist die Abkürzung für Transaktionsnummer. Eine TAN wird generiert, wenn Bankkunden online ihren Bankgeschäften nachgehen und dient als Einmalpasswort und zusätzlicher Schutz. Für jeden Vorgang gibt es eine neue TAN. Es gibt sie auf Papier, als SMS oder mittels eines TAN Generators.

Die PhotoTAN-App soll nun das Online-Banking vereinfachen. Nach der Eingabe am heimischen Rechner werden die Daten in einer bunten Grafik verschlüsselt. Die Kamera des Smartphones scannt die Grafik, indem es ein Foto macht.

App entschlüsselt Daten

Danach entschlüsselt die App die Daten wieder und zeigt sie auf dem Smartphone an. Der Kunde kann seine Überweisung ein letztes Mal überprüfen und dann die einmalig generierte TAN eingeben. Im Anschluss werden die Daten an die Bank gesendet, der Banking-Vorgang ist beendet.

Nutzt ihr aber Banking- und PhotoTAN App auf einem einzigen Gerät, entfällt das Scannen mit der Kamera. Die Daten werden nur noch von einer App zur anderen verschoben. Der Schutzfaktor über zwei Geräte entfällt und Hacker erhalten vollen Zugriff auf die Daten. Allerdings nur, wenn auf eurem Smartphone eine mit Viren infizierte App installiert ist. Das ist zwar nicht ohne weiteres möglich, aber machbar. Denn manche Schadsoftware wurde bereits als App getarnt im Google-App-Store angeboten und hätte auf den meisten Android-Smartphones funktioniert.

Hacker erhalten Zugriff

Öffnet ihr eure Banking-App auf eurem infizierten Smartphone und meldet euch an, erhalten Hacker Zugang zu euren Daten. Sämtliche Eingaben, die ihr tätigt, werden zuerst auf den Server der Hacker weitergeleitet und erst von dort zur Banking-Seite geschickt.

Wollt ihr Geld überweisen, können Angreifer diese Daten auf ihrem Server parken und durch eigene ersetzen. Die Banking-App schickt die manipulierten Daten an die PhotoTAN App. Da die Angreifer auch diese kontrollieren, sieht der Kunde die ursprünglich eingegebenen Daten. Die TAN wird also für eine Überweisung auf ein anderes Konto und für einen anderen Betrag errechnet. Ihr gebt die Überweisung frei, weil ihr sie korrekt seht und schon haben die Hacker euer Geld ergaunert.

Falsche Überweisungen

Den Forschern ist es gelungen, mehrfach Überweisungen umzulenken und selbst neue zu generieren. Dem Kontoinhaber fallen falsche Überweisungen und fehlendes Geld erst auf, wenn er seinen Kontostand überprüft. Zwar sei es, so die Forscher, im Moment für Kriminelle leichter, auf anderen Wegen an Geld zu kommen. Aber der Online-Banking-Markt wird immer größer, Smartphone und Co. ersetzen zunehmend die Bankfiliale. Die Forscher vermuten, dass sich Cyberkriminelle künftig verstärkt auf Banking-Apps konzentrieren werden.

Seid ihr Kunden der betroffenen Banken, dann denkt daran, Bankgeschäfte online nur über zwei Geräte zu tätigen. Wollt ihr sicher gehen, dass euer Smartphone frei von Viren ist, kommt schnell zu eurem PC-SPEZIALIST und lasst es mit einem professionellen Virenschutz versehen. Und lest unbedingt auch unseren Beitrag über Sicherheit beim Online-Banking mit 10 praktischen Tipps für eure Sicherheit.

2 Kommentare

  1. Sheik sagt:

    Dämlicher Artikel
    Es gibt nirgens die Möglichkeit phototan auf einem einzigen Gerät auszuführen.
    Man bracht überall zwei

    1. PC-SPEZIALIST-Team sagt:

      Hallo Sheik!

      Mittlerweile, da hast Du recht, reicht nicht mehr ein einziges Gerät für PhotoTAN. Zum Zeitpunkt des Erscheinens des Artikels – und der ist mittlerweile schon bald vier Jahre alt und somit längst nicht mehr aktuell – sah die Sache allerdings ganz anders aus. Von daher solltest Du, ehe Du über einen Artikel urteilst, zunächst schauen, wie aktuell der Text ist.

      Viele Grüße
      Dein PC-SPEZIALIST-Team

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.