Der Sicherheitsdienstleister RedTeam Pentesting hat Wege aufgezeigt, wie sich das derzeit von den Sparkassen eingesetzte "chipTAN comfort"-Verfahren angreifen lässt, sodass Betrüger eigene Überweisungen durchführen könnten.  Zumindest bei der Sparkasse lässt sich das Verfahren in Verbindung mit Sammelüberweisungen via Man-in-the-Middle-Attacke aushebeln. In einer solchen Sammelüberweisung kann der Kunde einzelne Überweisungen zusammenfassen und mit einer einzigen TAN ausführen. Anders als bei einer Einzelüberweisung erscheinen im "chipTAN comfort"-Gerät bei einer Sammelüberweisung nur die Gesamtsumme und die Anzahl der Überweisungen. Die einzelne Zielkonten zeigt das Gerät nicht an. Daher hat der Kunde keine Möglichkeit eine Manipulation der Transaktionsdaten festzustellen. Durch Schadprogramme könnte z. B. die vom Kunden abgeschickten Daten im Browser abfangen und durch eigene ausgetauscht werden, sodass zwar die Summe und die Zahl der Überweisungen gleich, die Zielkonten aber andere sind.

Quelle: heise.de

Die vollständige News finden Sie hier !