www.fabiankeil.de/blog-surrogat/2005/10/20/postbank-ersatz-barriere.html

Postbank implementiert Ersatz-Barriere

Die BIENE-zertifizierte Barriere, die mich 21,5€ kostete, wurde inzwischen behoben, es gibt aber eine würdige Nachfolgerin. Das Schad-Potential ist zwar deutlich geringer, nervig ist sie trotzdem.

Nach dem ganzen Phishing-Gewinsel in der Presse ist man auch bei der Postbank auf die schlechte Idee gekommen, dem TAN-Verfahren noch ein modisches i voranzustellen. Es steht für indizierte

Beim alten Weg ist es üblich, sich mit Kontonummer und PIN im Webinterface anzumelden und danach jede Überweisung mit einer Transaktionsnummer zu bestätigen. Die Transaktionsnummern stehen auf einer Liste, in welcher Reihenfolge man sie benutzt ist egal, jede Transaktionsnummer gilt einmal.

Man kann am Anfang beginnen, benutzte Transaktionsnummern streichen und sich bis zum Ende der Liste durcharbeiten. Kurz vorher kommt die nächste Liste mit der Post.

Ein Angreifer braucht sowohl die relativ leicht zu bekommene Kontonummer, die deutlich schwerer zu erlangende PIN und mindestens eine TAN. Wenn der Konto-Besitzer kein dummer Trottel ist, muss der Angreifer dazu stark anstrengen.

Phishing für Anfänger

Ist der Konto-Besitzer dagegen ein Trottel, ist es einfach:

Trottel benutzen minderwertige Mailprogramme, die in Mails enthaltenes HTML interpretieren, und wundern sich nicht, wenn ihre Bank zur Sicherheit per Mail um Eingabe von Kontonummer, PIN sowie ein paar Transaktionsnummern bittet, die ihr natürlich nicht vorliegen.

Wenn der Link zur Bank dann zu einer dem Bank-Webinterface ähnelnden Website führt, ist ja auch alles in Ordnung. Dass die Adresse als komische Nummer angezeigt wird, hängt wohl mit den technischen Problemen zusammen.

Nachdem der Bösewicht die gewünschten Informationen bekommen hat, teilt er dem Trottel mit, das Problem sei durch seine Hilfe behoben worden und alle sind zufrieden. Der Bösewicht kann ernten, der Trottel auf die nächste Mail warten.

Indizierte Sicherheit

Indizierte Transaktionsnummern können nun nicht mehr von vorne nach hinten abgearbeitet werden, die Reihenfolge gibt die Bank vor. Wenn der Trottel dem Bösewicht eine beliebige TAN übermittelt, ist es mit einer Wahrscheinlichkeit von 99% eine andere, als die später von der Bank verlangte.

Ist der Bösewicht nur ein kleines Stück gerissener als der Trottel, bohrt er seine Phishing-Seite zum Proxy auf. Kontonummer und PIN werden an die Bank weitergeleitet, den TAN-Wunsch der Bank bekommt der Trottel übermittelt.

Die Überweisung wird automatisch vorgenommen, der Bösewicht hat weniger zu tun, es sei denn, die Proxy-Funktion war schon vorher vorhanden. Wenn er mehr als fünf Opfer ausnehmen wollte, ist das anzunehmen.

Das iTAN-Verfahren taugt unter Umständen als Motivationshilfe, die Phishing-Seite zu modernisieren, einen Sicherheitsgewinn bietet es nicht.

Tradionelle Nervereien

[Screenshot: Webinterface der Postbank. Links ist eine Mitteilung
     über neue Sicherheitsfunktionen angezeigt. Im Menü auf der rechten
     Seite sind bis auf 'Abmelden' keine Links funktionsfähig. Für den
     Betrachter ist es allerdings nicht ersichtlich.] Für die Postbank ist es die Innovation des Jahres, damit muss man den Kunden bei jeder Anmeldung Nerven. Anstatt die Kontoübersicht zu liefern, wird der Kunde aufgefordert, doch endlich seine iTAN-Liste zu aktivieren, auf den alten Komfort zu verzichten und jeder Überweisung ein Nummern-Suchspiel voranzustellen.

Derartige Nervereien haben bei der Postbank Tradition, auch der Online-Banking-Link auf der Postbank-Homepage führt seit einiger Zeit nicht mehr direkt zum Online-Banking, sondern zu einer Phishing-Belehrung.

Sehr lästig, lässt sich aber umgehen, wenn man den Direkt-Link speichert. Um den iTAN-Unsinn zu entfernen, scheint man jedoch zur Aktivierung der iTAN-Liste gezwungen zu sein.

Meine alte TAN-Liste erlaubt noch 43 suchspielfreie Überweisungen, die werde ich bis zur letzten TAN auskosten. Eine iTAN-Liste wurde mir zwar inzwischen ungefragt zugeschickt, für die nächsten drei Wochen bin ich aber noch nicht auf ihre Verwendung angewiesen.

Kommen wir zur neuen Barriere, damit ich nicht den Seitentitel ändern muss: Das, was im Screenshot wie ein Link-Menü aussieht, und auf allen anderen Postbank-Seiten auch als solches funktioniert, ist keines. Bis auf den Banking beenden-Link sind die vermeintlichen Schaltflächen funktionslos. Den Finanz-Status-Link unterhalb des Marketing-Unsinns hat der Barrieren-Entwickler aber übersehen, er funktioniert noch.

Meine elitären Bildbearbeitungs-5k1llz reichen übrigens dazu aus, das Browserfenster im Screenshot auszuschneiden, ich wollte es mir aber nicht nehmen lassen, nebenbei mit meiner überlegenden Arbeitsumgebung zu protzen.