Lehrstuhl Netzarchitekturen und Netzdienste Institut für Informatik Technische Universität München Seminar: Sicheres Online Banking Teil 1 WS 2008/2009 Hung Truong manhhung@mytum.de Betreuer: Heiko Niedermayer niedermayer@net.in.tum.de
Seminar: Sicheres Online Banking Teil 1 Gliederung: A. Transaktionsnummer 1) Transaktionsnummer (TAN) 2) Indizierte Transaktionsnummer (itan) 3) Mobile Transaktionsnummer (mtan) B. Homebanking Computer Interface (HBCI) : 1) HBCI 1 2) HBCI 2 3) HBCI 3 C. Zukünftige Online Banking Verfahrene: 1) What you see is what you sign 2) Internet Ausweis 3) Scheckkarten TAN D. Fazit HIER THEMA EINTRAGEN 2
A. Transaktionsnummer 1) Transaktionsnummer (TAN) (Marktanteil: ~10%, vor 2000) TAN besteht aus 6 Dezimalziffern TAN ist einmaliges Passwort Es muss bei jedem Buchungsvorgang eine beliebige TAN eingegeben werden TAN muss immer mit der korrekten PIN kombinieren Frage: ist das Online Banking noch sicher, wenn man eine TAN (wegen Trojan, gestohlen ) verloren hat? neue Lösung: indizierte Transaktionsnummer (itan) HIER THEMA EINTRAGEN 3
A. Transaktionsnummer 2) indizierte Transaktionsnummer (itan) (Marktanteil: ~50%, vor 2000) Der Kunde bekommt eine Liste von 100 durchnummerierten TAN von der Bank Für jeden Online Buchungsvorgang wird eine TAN mit bestimmtem Index aufgefordert Vorteile: Für den Betrüger ist damit ohne Wert, eine gestohlene TAN zu benutzen Nachteile: Der Kunde muss die komplette itan Liste mitnehmen itan ist immer noch Trojan unsicher, z.b gegen Man In The Middle Angriff Wie funktioniert Man In The Middle Angriff? HIER THEMA EINTRAGEN 4
A. Transaktionsnummer Man In The Middle Angriff : Der Kunde überweise online 50 EUR an Herrn Müller, schickt an die Bank Der Trojaner fängt das Formular ab, bevor es verschlüsselt (SSL) wird und bevor die Bank das Formular bekommt Der Trojaner macht daraus eine Überweisung von 5000 EUR an Herrn Hacker, und schickt es statt das originale Formular an die Bank Die Bank empfängt den verfälschten Auftrag und schickt eine Bestätigung zurück: Bitte bestätigen Sie die Überweisung von 5000 Euro an Herrn Hacker mit der itan Nr. 20! Der Trojaner fängt diese Bestätigung noch mal ab, bevor sie auf den Bildschirm des Kunden angezeigt wird Der Trojaner zeigt nun dem Kunden am Bildschirm an: Bitte bestätigen Sie die Überweisung von 50 Euro an Herrn Müller mit der itan Nr. 20! Der Kunde bestätigt mit der itan Nr. 20 und schickt an die Bank Die Bank überweist 5000 EUR an Herrn Hacker Einige solche Versuche von Trojan gab es schon am Anfang 2008. neue Lösung: mobile Transaktionsnummer (mtan) HIER THEMA EINTRAGEN 5
A. Transaktionsnummer 3) mobile Transaktionsnummer (mtan) (Markanteil: ~5%, ab 2003) Der Kunde überweist online, schickt das ausgefüllte Formular an die Bank Die Bank schickt eine TAN auf das Mobiltelephone des Kunden zurück Diese TAN ist nur für diesen Vorgang verwendbar und ist für kürze Zeit gültig Der Kunde bestätigt den Buchungsvorgang mit dieser TAN Vorteile: mtan ist Trojan sicher Der Kunde braucht keine Liste von TAN oder itan Man In The Middle Angriff kann nicht passieren Nachteile: Der Kunde braucht sein Handy dabei mtan ist heutzutage kostenlos oder kostenpflichtig je nach Bankinstitut HIER THEMA EINTRAGEN 6
B. Homebanking Computer Interface (HBCI) HBCI definiert Übertragungsprotokolle, Nachrichtenformate und Sicherheitsverfahren Sie unterstützt die einheitliche Banken Signaturkarte Mittels dieser Karte können Bankkunden elektronische Signaturen erzeugen HBCI 3.0 (im Jahr 2003, umbenannt FinTS Financial Transaction Services) schafft damit die Basis für eine neue Generation von Produkten, mit denen die Kunden neue elektronische Bankdienstleistungen nutzen können Im Jahr 2004 wurde die Version 4.0 von FinTS eingeführt: alle internen Datenstrukturen wurden komplett auf XML und XML Schemata umgestellt, HTTPS als Kommunikationsprotokoll verwendet HBCI ist das zwei größte Verfahren beim Online Banking, nach dem Transaktionnummer Verfahren HIER THEMA EINTRAGEN 7
B. Homebanking Computer Interface (HBCI) 1) HBCI 1 (Marktanteil:~5%, vor 2000): HBCI 1, ein Scheckkarten Leser,ist ein externes Gerät mit USB Anschluss. Wenn er eine Online Überweisung mit seinem PC ausführt, muss er seine Bankkarte im Leser einstecken. Danach erzeugt das Gerät eine TAN für diese Transaktion. Dieses Verfahren ist eine Alternative von itan. HIER THEMA EINTRAGEN 8
B. Homebanking Computer Interface (HBCI) Vorteile: Keine TAN Liste auf Papier benötig Nachteile: Der Kunde braucht die Bankkarte und das Gerät für das Online Banking Keylogger beim Eingeben der PIN ist möglich Man In The Middle Angriff ist möglich HIER THEMA EINTRAGEN 9
B. Homebanking Computer Interface (HBCI) 2) HBCI 2 (Marktanteil:~5%, vor 2000): HBCI 2 ist ein externes Karten Leser, genauso wie HBCI 1 Das Gerät hat dazu eine Zifferntastatur, damit der Bankkunde sein PIN beim Gerät direkt eingeben kann. HIER THEMA EINTRAGEN 10
B. Homebanking Computer Interface (HBCI) Vorteile: Keine TAN Liste auf Papier benötig Verhindern das Keylogger beim Eingeben der PIN Nachteile: Der Kunde muss die Karte und das Karte Leser mitnehmen HBCI 2 ist immer noch Trojan unsicher, z.b gegen Man In The Middle Angriff, Keylogger Kosten und Treiber für das Gerät HIER THEMA EINTRAGEN 11
B. Homebanking Computer Interface (HBCI) 3) HBCI 3 (Marktanteil:>10%, vor 2000): HBCI 3 ist ein Bankkarten Leser Das Gerät hat eine eigene Zifferntastatur und ein Display Es kann mit PC oder direkt mit dem Internet Modem verbunden werden Die Überweisung Daten werden auf dem Display des HBCI 3 Lesers dargestellt, zusammen mit einer TAN, die zur Bestätigung am Rechner eingetippt und zur Bank geschickt wird. HBCI 3 wird heutzutage sehr oft beim Online Banking z.b. von Bank, Supermarkt, Reisebüro. Restaurant...genutzt Die zur Zeit sicherste Homebanking Lösung HIER THEMA EINTRAGEN 12
B. Homebanking Computer Interface (HBCI) Vorteile: Keine TAN Liste auf Papier benötig Einfach zur Bedienung Kein Gefahr von TAN und PIN Phishing sowie Keylogger Die einzige Möglichkeit für einen Betrug: der Betrüger hat die Bankkarte und kennt die PIN aus Nachteile: Kosten für das Gerät HIER THEMA EINTRAGEN 13
C. Ein paar zukünftige Online Banking Verfahrene 1) What you see is what you sign: (Patenterteilung 2008 für Universität Karlsruhe) Der Kunde füllt das Online Banking Formular auf dem Bildschirm aus Er fotografiert den Text mit seinem programmierten Handy Eine digitale Version vom Text wird per Bluetooth vom PC nach Handy gesendet Das Handy vergleicht die digitale Version und die abfotographierte Version vom Text Wenn die beide das Gleiche sind (der PC ist also Trojan frei), erzeugt das Handy eine TAN Der Kunde bestätigt die Überweisung mit dieser TAN und schickt an die Bank HIER THEMA EINTRAGEN 14
C. Ein paar zukünftige Online Banking Verfahrene 2) Internet Ausweis : (Meldung von Siemens und Axsionics, 12.2007) Der Kunde bekommt eine flackernde Schwarz Weiß Grafik als verschlüsselte Daten auf dem Internetbrowser Er drückt das Gerät einige Sekunde auf den Monitor, und der Scanner prüft der Echtheit des Codes Dann muss auch sein Fingerabdruck vom Gerät geprüft werden Auf dem Display des Geräts zeigt die genauen Daten der Überweisung und eine TAN, die nur für diese Transaktion gültig ist Der Kunde bestätigt die Überweisung mit dieser TAN HIER THEMA EINTRAGEN 15
C. Ein paar zukünftige Online Banking Verfahrene 3) Scheckkarten TAN : ( Patenterteilung 2008 für Dr. Luigi Lo Lacono, NEC Europe Ltd.) Der Kunde bekommt von der Bank eine Scheckkarte mit Display und einen Scheckkarten Leser Er steckt seine Scheckkarte im Leser und füllt ein Online Banking Formular aus Die Bank bekommt das Formular per Internet und schickt zurück an dem Kunde : die Überweisungsdaten und eine TAN Die Überweisungsdaten und TAN werden auf dem Display der Scheckkarte angezeigt Der Kunde vergleicht die Überweisungsdaten, bestätigt mit der TAN und schickt noch mal an die Bank HIER THEMA EINTRAGEN 16
D. Fazit Die Trojan unsicher Verfahren: TAN, itan, HBCI 1, HBCI 2 Die Trojan sicher Verfahren: mtan, HBCI 3, What you see is whatyou sign, Internet Ausweis, Scheckkarten TAN HIER THEMA EINTRAGEN 17
D. Fazit 10 Tipps für sicheres Online Banking (Quelle: PCwelt.de) 1. Schützen Sie Ihren PC mit einer Antiviren Software und einer Firewall. 2. Verwenden Sie immer den aktuellsten Browser. 3. Loggen Sie sich niemals an einem öffentlich zugänglichen PC bei Ihrer Bank ein. 4. Achten Sie darauf, dass die Übertragung zur Web Seite der Bank verschlüsselt erfolgt. 5. Prüfen Sie das Zertifikat der Web Seite. 6. Banken verschicken keine Mails mit der Aufforderung, Login Daten zu aktualisieren. Folgen Sie deshalb keinen Links. 7. Rufen Sie das Online Banking Portal Ihrer Bank nur über ein selbst angelegtes Bookmark oder direkt von der Startseite Ihrer Bank auf. 8. Achten Sie bei manueller Eingabe der Webadresse darauf, nicht aufgrund eines Buchstabendrehers auf einer Vertipper Domain zu landen. 9. Sicherer als Homebanking via Browser ist der Einsatz einer speziellen Bank Software, am besten in Verbindung mit einer HBCI Chipkarte und einem Kartenleser. 10. Wählen Sie Passwörter, die mindestens acht Zeichen lang sind und sich aus einer Mischung aus Groß und Kleinbuchstaben sowie Ziffern und Sonderzeichen zusammensetzen. HIER THEMA EINTRAGEN 18
Seminar: Sicheres Online Banking Teil 1 Danke für die Aufmerksamkeit! HIER THEMA EINTRAGEN 19