Ist-Analyse: Angriffe auf das Online-Banking
archiv_neu3
Abgeschlossene Forschungsprojekte

Ist-Analyse: Angriffe auf das Online-Banking

Angriffsflächen aktueller TAN-Verfahren

Online-Banking kann durch verschiedene TAN-Verfahren abgesichert werden. Ein TAN-Verfahren ist notwendig, um Überweisungen oder Einstellungsänderungen vom Besitzer des Online-Banking-Kontos zu autorisieren. Im Falle einer Online-Überweisung beruht die Sicherheit einer TAN-Nummer auf der Eigenschaft, dass sie direkt an die sensiblen Daten, also IBAN des Empfängers und Betrag der Überweisung, gebunden ist. Eine TAN-Nummer ist somit nur für eine bestimmte Transaktion gültig.
Die existierenden TAN-Verfahren unterscheiden sich im Wesentlichen bezüglich der Sicherheit, Verwendbarkeit und den initialen Anschaffungskosten für Signaturkarten oder Kartenlesegeräte. In der nachfolgenden Tabelle sind drei prominente TAN-Verfahren und deren Angriffsflächen für die gängigsten Angriffsvektoren dargestellt.
Jede Zelle der Tabelle stellt für sich genommen einen Angriffsvektor dar, um einen vollständigen Angriff auf das zugehörige TAN-Verfahren zu realisieren. In der gewählten Darstellung werden keine Kombinationen der Angriffsvektoren betrachtet. Aus diesem Grund ist beispielsweise Phishing in der Zelle zu chipTAN nicht als Angriffsfläche aufgeführt, denn chipTAN kann nicht alleine durch Phishing gebrochen werden.
Neben den dargestellten TAN-Verfahren gibt es z.B. das sogenannte HBCI-Verfahren, welches auf einer Signaturkarte und einem Kartenlesegerät aufbaut. Dieses Setup hat im Vergleich zu den anderen Verfahren hohe initiale Anschaffungskosten und eine geringe Mobilität. Durch die Verwendung eines externen Gerätes zur Generierung der TAN-Nummer und einer externen Anzeige für die Darstellung der Transaktionsdaten, ist HBCI (vergleichbar zum chipTAN-Verfahren) als sicherstes TAN-Verfahren einzustufen.

Herausforderung: Social Engineering

Angreifer fokussieren sich aus Gründen der Effizienz immer auf den schwächsten Teil einer Infrastruktur, also in der Regel auf den Faktor „Mensch“. Dieser Umstand resultiert zum einen daraus, dass die „menschliche Firewall“ im Allgemeinen nur geringfügig gegen die komplexen Angriffsmuster trainiert ist und zum anderen viele Abläufe im Bereich der Informatik nicht von Jedermann durchschaut werden können. Somit können Anomalien nicht erkannt und auch nicht kritisch hinterfragt werden. Der Mensch muss dementsprechend in das Sicherheitskonzept mit einbezogen werden und durch Schulungen Schritt für Schritt für IT-Sicherheit sensibilisiert werden.
Im Rahmen des Forschungsprojektes: Betrugsschutz beim Online-Banking wurde eine Ist-Analyse zu Betrugsfällen im Online-Banking durchgeführt. Diese Analyse hat ebenfalls ergeben, dass der Faktor „Mensch“ durch Fehlverhalten einen entscheidenden Beitrag zu erfolgreichen Angriffen leistet. Dieses Fehlverhalten wird vom Angreifer gezielt durch Techniken des „Social Engineerings“ hervorgerufen.
Die zentrale Idee des „Social Engineerings“ ist es den Nutzer aus seinem gewohnten Arbeitsablauf herauszuholen, um damit eine Stresssituation oder einen emotionalen Druck aufzubauen, damit anschließend mit hoher Wahrscheinlichkeit ein unvorteilhaftes Verhalten des Nutzers resultiert. Um dieses zu erreichen, machen sich Angreifer im Menschen verankerte Verhaltensmuster zunutze, die diesen in bestimmten Situationen zu einem bestimmten Verhalten verleiten. Im Online-Banking spielen dabei die folgenden Punkte eine wichtige Rolle: Den Nutzer unter Zeitdruck setzen, ein legitimes Erscheinungsbild vortäuschen, sowie einen freundlichen Umgangston zum Nutzer pflegen. Social-Engineering Angriffe die diese Faktoren vereinen und mit einem professionellen und sicheren Auftreten in Wort oder Schrift kombiniert werden, sind besonders schwer für einen Nutzer als Betrugsfall zu erkennen.
Als konkrete Realisierung der Bestandteile des „Social Engineerings“ verwenden die Angreifer aktuell zahlreiche kreative Betrugsmaschen. In der nachfolgenden Grafik sind die identifizierten Betrugsmaschen aufgelistet.
Werden die dargestellten Betrugsmaschen isoliert von der technischen Umsetzung seitens der Angreifer betrachtet, handelt es sich lediglich um stupide Ansätze den Nutzer zu einem Fehlverhalten zu verleiten. Die Frage: „Wer fällt denn bitte auf die nachfolgende Aufforderung zur Rücküberweisung eines bestimmten Betrages herein?“ ist an dieser Stelle durchaus angebracht.

Diese Frage relativiert sich jedoch schnell, wenn die technische Umsetzung der Betrugsmaschen mittels Banking-Trojanern und deren Verbreitung in dem nachfolgenden Absatz betrachtet wird.

Herausforderung: Banking-Trojaner

Eine Vielzahl an verschiedenen Trojanern und Schadnetzwerke greifen Online-Banking kontinuierlich und erfolgreich an. Bereits anhand der Daten eines einzelnen Banking-Trojaners (Zeus P2P) wird das Ausmaß dieser Problemstellung deutlich, denn allein im Februar 2013 waren mehr als 20.000 deutsche Benutzer mit diesem speziellen Trojaner infiziert [ROSS13]. Insgesamt betrachtet kann davon ausgegangen werden, dass monatlich hunderttausende Bürger in Deutschland von kriminellen Handlungen durch verschiedene Banking-Trojanern betroffen sind.

Für die Durchführung von Angriffen auf das Online-Banking nutzen die Banking-Trojaner unter anderem „Man-in-the Browser-Angriffe“ (kurz MITB). Bei dieser Angriffsform nistet sich der Trojaner in den Browser des Opfers ein, um anschließend die besuchten Webseiten clientseitig zu manipulieren. Das Gefährliche an dieser Angriffsform ist, dass der Nutzer oft nicht erkennen kann, ob die dargestellten Inhalte tatsächlich von der Bank stammen oder nachträglich vom Banking-Trojaner hinzugefügt oder manipuliert wurden. Dieser Umstand resultiert daraus, dass sich der Nutzer tatsächlich auf der Webseite des Anbieters bewegt und die Manipulation erst nach der Entschlüsselung der übertragenen Webseite erfolgt. Hieraus resultiert ein weiteres entscheidendes Problem, denn dem Nutzer wird durch die aktuellen Browser unfreiwillig eine falsche Sicherheit suggeriert, wenn in der Adresszeile beispielsweise ein „grünes Schloss“ für eine gültige Zertifikatsvalidierung des Server-Zertifikates angezeigt wird, aber dennoch manipulierte Inhalte auf der Webseite von einem Trojaner hinzugefügt werden können.

Mit der Erkenntnis über die technische Umsetzung von Betrugsmaschen im Online-Banking und der Tatsache, dass der Faktor „Mensch“ aktuell keinerlei technische Hilfsmittel zur Verfügung hat, um einen MITB-Angriff zu erkennen, ist es nicht mehr verwunderlich, warum „stupide“ Techniken des „Social Engineerings“ so erfolgreich sind. In dem nachfolgenden Screenshot ist die Betrugsmasche aus dem vorherigen Abschnitt nochmals aufgegriffen worden und als eine Manipulation innerhalb der Online-Banking-Webseite einer fiktiven Bank dargestellt. An dieser Stelle sei darauf hingewiesen, dass der geschilderte Angriff theoretisch auf jeder Webseite erfolgen kann.

Als Manipulation innerhalb des vertrauten Corporate Designs der eigenen Bank, hat die dargestellte Betrugsmasche ein großes Potential dazu nicht als Angriff erkannt zu werden. Hinzu kommt das bereits genannte Problem, dass oben links in der Adresszeile des Browsers eine sichere Verbindung zu dem Server der Bank angezeigt wird. Der Angreifer kann das gesamte Nutzererlebnis auf der Webseite beeinflussen. So kann er beispielsweise auch die Kontoübersicht dahingehend manipulieren, dass die fälschlich erhaltene Überweisung ebenfalls angezeigt wird.

Generischer Angriff auf das Online-Banking

Durch unterschiedliche Infektionsvektoren (z.B. Drive-by-Download, Anhang in Phishing-Mail, Zero-Day-Exploit, o.Ä.) wird ein Trojaner auf dem Rechner des Opfers installiert.

Mit Hilfe von „Web-Injections“ manipuliert der Trojaner die Darstellung und das Nutzererlebnis der besuchten Webseite, indem er z.B. neue HTML-Elemente in den DOM hinzufügt oder die Funktionalität von Links beeinflusst.

Die Manipulationen im Browser werden zielgerichtet eingesetzt, um eine bestimmte Betrugsmasche mit Hilfe von „Social Engineering“ umzusetzen. Durch hinzugefügte Warnungen wird der Nutzer aus seinem normalen Workflow gebracht und durch die Manipulation von Links, kann eine Sperrung des Kontos simuliert werden, die den Nutzer in eine Stresssituation bringt.

Der Angreifer bringt den Nutzer in eine Stresssituation, damit dieser mit hoher Wahrscheinlichkeit ein Fehlverhalten verursacht. Die Qualität der Manipulationen ist somit entscheidend für den Erfolg des Angriffs.

Ein vergleichbares Resultat kann vom Angreifer ebenfalls mittels Phishing Webseiten erzielt werden. Im Gegensatz zu dem geschilderten MITB-Angriff, gibt es für diesen Angriffsvektor bereits technische Hilfsmittel (z.B. Zertifikatsvalidierung oder URL-Matching), die den Nutzer bei der Erkennung der gefälschten Darstellung unterstützen.

Angriffe auf das mTAN-Verfahren

Als Grundlage für einen erfolgreichen Angriff auf das mTAN-Verfahren, müssen die Schritte des generischen Angriffs von einem Angreifer umgesetzt werden. Hierbei geht es in erster Linie um die Manipulation oder Fälschung der Darstellung einer Webseite im Browser, unter Verwendung von Techniken des „Social Engineerings“.

Die Sicherheit des mTAN-Verfahrens beruht auf der Verwendung eines unabhängigen zweiten Kanals für das Versenden der TAN. Für die Kompromittierung des zweiten Kanals kann der Angreifer in einem ersten Schritt z.B. eine Abfrage der Mobilfunknummer auf der Webseite der Bank einfügen. Als Vorwand hierfür kann er z.B. einen Datenabgleich oder eine Sicherheitsbestätigung seitens der Bank vortäuschen. Zusätzlich kann eine Kontosperrung durch Manipulation der Links auf der Webseite simuliert werden, bis die Eingabe der Mobilfunknummer erfolgt ist.

Im Anschluss daran erhält das Opfer eine SMS, die es dazu auffordert ein neues „Sicherheitszertifikat“ zu installieren. Ein Link zu diesem „Sicherheitszertifikat“ ist in der SMS enthalten. Sobald das Opfer dieses falsche „Sicherheitszertifikat“ installiert, wird ein Trojaner auf das Mobiltelefon aufgespielt.

Der Trojaner auf dem Smartphone überwacht die eingehenden SMS, um enthaltene TANs zu ermitteln und an den Angreifer weiterzuleiten.

Mit den in Schritt 3 gestohlenen Anmeldeinformationen loggt sich der Angreifer auf der Webseite der Bank ein. Dort erstellt der Angreifer eine gefälschte Transaktion auf ein beliebiges Konto. Durch den in Schritt 5 installierten Trojaner erhält der Angreifer die TAN für seine Transaktion. Somit ist der Angreifer in der Lage das mTAN-Verfahren zu brechen.

Es existieren weitere dokumentierte Angriffe auf das mTAN-Verfahren, bei denen keine Infizierung des Smartphones (siehe Schritt 5) vom Angreifer benötigt wird. Hierbei handelt es sich um Angriffe mittels zweiter SIM-Karte oder Angriffe unter Ausnutzung von Schwachstellen in den SS7 Protokollen. Beide Angriffe verdeutlichen, dass SMS-basierte TAN-Verfahren über das Mobilfunknetz kritische Schwachstellen aufweisen können.

Weitere Informationen

Cyberschutzraum: Service-Video über einen Angriff auf das mTAN-Verfahren mittels Phishing und SS7 Schwachstelle.