News

Fotohandy-Verfahren trickst Trojaner aus

Online-Banking ist auch mit den Sicherungsverfahren TAN und iTAN nicht wirklich sicher: Ein Trojaner könnte durch einen heimlichen Angriff Zielkonto und Betrag eines Überweisungsauftrags fälschen, ohne dass Benutzer oder Bank davon etwas bemerken. Solche Trojaner-Viren sind nicht einfach zu schreiben, aber im Herbst 2007 gab es den ersten derartigen Betrugsfall. Der Trojaner hieß sinnigerweise „Silentbanker“.

Einige Banken nutzen Verfahren, die solche Trojaner-Angriffe verhindern, z.B. das mobile TAN-Verfahren mit dem Handy. Das an der Uni Tübingen entwickelte Fotohandy-PIN-Verfahren hat demgegenüber den Vorteil, dass keine Funk- bzw. SMS-Verbindung nötig ist und dass das Verfahren doppelt gesichert ist. Es reicht nicht aus, in Besitz des Handys zu sein, für jede Überweisung braucht man auch die Kenntnis der Account-PIN.

Der Bankkunde benötigt für das neue Verfahren also ein Fotohandy, auf dem er das im Internet frei verfügbare Fotohandy-PIN-Programm installiert. Die Bank schickt einen kryptografischen Schlüssel per Post als 2D-Code auf Papier an den Bankkunden. Dieser fotografiert den Code und liest ihn so ins Handy ein.

Der Überweisungsvorgang läuft dann folgendermaßen ab: Nach Eingabe der Überweisungsdaten wird auf dem Bildschirm ein 2D-Code gezeigt, der vom Bankkunden mit dem Handy abfotografiert wird. Auf dem Handy werden ihm die Überweisungsdaten nun nochmals gezeigt. Zur Bestätigung erhält er auf dem Handy ein Nummernfeld mit vertauschten Ziffern, das nicht der üblichen Anordnung entspricht. Die Bestätigung mit der PIN-Nummer durch Mausklicks am Computerbildschirm kann der Trojaner nicht abhören. Er kann bestenfalls die Position von Mausklicks wahrnehmen, aber er weiß nicht, was die Klicks bedeuten, denn er „sieht“ das Handydisplay nicht.

Eine abgespeckte Version des Fotohandy-PIN-Verfahrens garantiert, dass Trojaner-Viren keine Passwörter bzw. PINs abhören können. Das ließe sich auch bei E-Mail-Accounts, E-Commerce-Accounts (Ebay, Amazon, etc.) und Internetforen anwenden. Als Vorteil der Fotohandy-PIN könnte es sich dabei herausstellen, dass die Software auf dem Handy in der Lage ist, beliebig viele Online-Accounts zu verwalten. Dabei könnte sie sich die Account-Namen merken und sogar für jeden Account eine abgespeicherte Gedächtnishilfe (Beispiel: „altes Passwort“) für die jeweilige PIN anzeigen.

Fotohandy-Verfahren trickst Trojaner aus

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach