Man-in-the-Middle-Angriffe auf das chiptan comfort-verfahren im Online-Banking



Ähnliche Dokumente
Erste Schritte und Bedienungshinweise mit chiptan (ausführliche Anleitung)

Online-Banking aber sicher.

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik

FAQ s chiptan-verfahren

Sicherheitslösung SMS-Code

Sicherheit im Online-Banking. Verfahren und Möglichkeiten

Einrichtung Ihrer PIN für die Online-Filiale mit mobiletan

Beschreibung der Umstellungsschritte Hibiscus (Umstellung Sicherungsmedium auf Chip-TAN)

Erste Schritte im Online-Banking mit PIN und chiptan bei Ihrer Sparkasse Essen

Um den chiptan-generator zu nutzen, müssen Sie zunächst Ihr Online-Banking umstellen.

Einrichtung von einem neuen Girokonto in StarMoney/StarMoney-Business

Sparkasse Mainfranken Würzburg

Online-Banking - Anleitung Erstsynchronisation des chiptan-verfahrens und Änderung der Eröffnungs-PIN

Einrichtung des chiptan-verfahrens in SFirm32

Stand vr bank Südthüringen eg 1 von 10. Smart TAN plus Umstellungsanleitung VR-NetWorld Software

Keine Disketteneinreichung ab 1. Februar 2014

Übersicht zur Lastschriftverwaltung im Online-Banking für Vereine

Bedienungshinweise TAN-Generator

Stand vr bank Südthüringen eg 1 von 9. mobile TAN Umstellungsanleitung VR-NetWorld Software

mobile TAN Umstellungsanleitung Star Money

Die mobiletan im Hypo Internetbanking

Online-Banking mit chiptan. Funktionsweise Vorteile Seite 1

Anleitung Nutzung Online-Banking (BOF) mit apokennung und einer apobankcard HBCI

Anlage Kontowecker: Internet Filiale

Anleitung zur Installation und Nutzung des Sony PRS-T1 ebook Readers

Der Man-in-the-Middle Fälschungs-Angriff auf das itan Verfahren. Bernd Borchert, November 2008

Anleitung zur Installation und Nutzung des Sony PRS-T1 ebook Readers

Sich einen eigenen Blog anzulegen, ist gar nicht so schwer. Es gibt verschiedene Anbieter. ist einer davon.

ChipTAN-optisch in StarMoney 7.0 und StarMoney Business 4.0

Mediumwechsel - VR-NetWorld Software

Mediumwechsel - VR-NetWorld Software

COMPUTER MULTIMEDIA SERVICE

Einrichten eines Postfachs mit Outlook Express / Outlook bis Version 2000

Keine Disketteneinreichung ab 1. Februar 2014

Benutzerhandbuch. Leitfaden zur Benutzung der Anwendung für sicheren Dateitransfer.

AZK 1- Freistil. Der Dialog "Arbeitszeitkonten" Grundsätzliches zum Dialog "Arbeitszeitkonten"

Einrichtung eines Zugangs mit einer HBCI-Chipkarte bei der Commerzbank

Einrichten des Elektronischen Postfachs

Einrichtung der sicheren TAN-Verfahren in moneyplex

Anleitung zum Austausch der SparkassenCard für chiptan

FTP-Leitfaden RZ. Benutzerleitfaden

1. Anmeldung von Konten für das elektronische Postfach

chiptan optisch in StarMoney 8.0 und StarMoney Business 5.0

Freischaltung des chiptan-verfahrens

Anmeldung, Registrierung und Elternkontrolle des MEEP!-Tablet-PC

smstan Online-Banking mit smstan Der Leitaden für Online-Banking-Kunden

Outlook. sysplus.ch outlook - mail-grundlagen Seite 1/8. Mail-Grundlagen. Posteingang

Der Kontowecker: Einrichtung

AUF LETZTER SEITE DIESER ANLEITUNG!!!

Einrichtung des chiptan-verfahrens in SFirm32

ALF-BanCo - Chipkarte einrichten in 3 Schritten

In der agree ebanking Private und agree ebanking Business Edition ist die Verwendung der USB- und Bluetooth-Funktion aktuell nicht möglich.

Abschaltung der Transaktionsnummer-Listen (TAN-Listen) Aktivierung der neuen Sicherheitsmedien / Umstellung Sfirm auf chiptan

s-sparkasse Verlassen Sie sich darauf: giropay ist sicher. Sparkassen-Finanzgruppe

Kleines Handbuch zur Fotogalerie der Pixel AG

Kurzanleitung. MEYTON Aufbau einer Internetverbindung. 1 Von 11

MEIN ONLINEBANKING BEI DER EHNINGER BANK EG ERSTE SCHRITTE: PIN/TAN MIT MOBILE TAN

So eröffnen Sie schnell und bequem Ihr Internet-Festgeld

Einstellungen für SEPA-Lastschriften oder SEPA Dauerlastschriften in der VR-NetWorld Software 5.0

Vorbereitung zur Einrichtung bzw. Umstellung auf chiptan comfort.

chiptan-umstellung Schritt-für-Schritt Hilfe: chip-tan-umstellung Häufige Fragen Kontakt gewerblich Marktrisiken Sparkasse Fulda

Freischaltung im Internetbanking. Sicherungsmedium chiptan comfort

Profi Cash Anleitung zur Ersteinrichtung in Verbindung mit einer HBCI-Sicherheitsdatei

Anleitung für die Umstellung auf das plus Verfahren in der VR-NetWorld Software (Stand: )

Weil Ihre Sicherheit für uns an erster Stelle steht. Wir sind für Sie da immer und überall! Online Banking. Aber sicher.

Drägerware.ZMS/FLORIX Hessen

Anleitung für die Registrierung und das Einstellen von Angeboten

Anleitung zum elektronischen Postfach

Freischaltung des ChipTAN-Verfahrens in SFirm32, Version 2.3

Schutz vor Phishing und Trojanern

Die elektronische Signatur. Anleitung

plus Flickerfeld bewegt sich nicht

Beitragseinzüge mit SPG-Verein - Anleitung -

Freischaltung des chiptan-verfahrens

Internet-Banking - So geht s. Internet-Banking - So geht s. Sammelaufträge. Sammelaufträge. s Sparkasse Memmingen-Lindau-Mindelheim

Änderung Ihres HBCI-Kontaktes auf das PIN/TAN-Zweischritt-Verfahren

Erstanmeldung für das smstan-verfahren

GVService - Der GerichtsVollzieherService. Anleitung für das Onlinebanking mit dem GVService

Aktivieren von Onlinediensten im Volume Licensing Service Center

Kontaktlos bezahlen mit Visa

VR-NetWorld Software Einrichtung einer Bankverbindung PIN/TAN-Verfahren

Verfahrensanleitung mobile TAN (mtan)

104 WebUntis -Dokumentation

Kurzanleitung BKB-E-Banking-Stick

Anleitung zur Einrichtung von Kontoweckern im Online Banking

Leitfaden zu Starmoney 9.0

Der elektronische Stromzähler EDL 21. Bedienungsanleitung. Service

Erstanmeldung zum chiptan-verfahren

icloud nicht neu, aber doch irgendwie anders

S Sparkasse Elektronisches Postfach

cardtan im HYPO NOE Electronic Banking

Erst-Synchronisierung des chiptan-verfahrens

Ersteinstieg in das Internet-Banking optic) der Volksbank Diepholz-Barnstorf eg

Leitfaden zu Starmoney 9.0

Zentraler Wertungsrichtereinsatz

Einstellungen für SEPA-Lastschriften in der VR-NetWorld-Software

Neues TAN-Verfahren SecureGo. SecureGo.

Synchronisierung des chiptan-verfahrens / Ersteinrichtung

Transkript:

Man-in-the-Middle-Angriffe auf das chiptan comfort-verfahren im Online-Banking RedTeam Pentesting GmbH 23. November 2009 ChipTAN comfort ist ein neues Verfahren, welches mit Hilfe eines vertrauenswürdigen Geräts Transaktionen im Online-Banking sicher autorisieren soll. Es soll speziell auch gegen Man-in-the-Middle-Angriffe schützen. In der Praxis gefährden solche Angriffe aktuell Bankkunden, welche das itan-verfahren nutzen. RedTeam Pentesting hat das chiptan comfort-verfahren untersucht und konnte zeigen, dass auch beim Einsatz dieses Verfahrens Man-in-the-Middle-Angriffe die Sicherheit des Online-Bankings gefährden. 1

2

Inhaltsverzeichnis 1 Einleitung 4 1.1 PIN/TAN-Verfahren................................ 4 1.2 PIN/iTAN-Verfahren............................... 4 1.3 chiptan comfort-verfahren........................... 5 2 Man-in-the-Middle-Angriffe auf das chiptan comfort-verfahren 6 2.1 Sammelüberweisung............................... 6 2.2 Überweisungen.................................. 7 2.3 SEPA-Überweisungen.............................. 8 3 Fazit 8 3.1 Maßnahmen durch den Benutzer......................... 9 3.2 Maßnahmen durch Banken............................ 9 3

1 Einleitung Durch die große Verbreitung von Internetanschlüssen wird Online-Banking mittlerweile von allen großen Banken als Alternative zum klassischen Besuch in der Filiale oder Telefonbanking angeboten. Bankkunden können so über das Internet Überweisungen und sonstige Transaktionen tätigen. Um die Benutzer von Online-Banking vor Betrügern zu schützen, wurden im Laufe der Zeit verschiedene Verfahren entwickelt. Zur Zeit verwenden die meisten Banken das PIN/TANsowie das itan-verfahren. Um die Sicherheit weiter zu erhöhen werden jedoch aktuell auch neue Verfahren eingeführt, darunter auch chiptan comfort. Dieses wird zur Zeit insbesondere den Kunden der Sparkassen angeboten. Da bei dem chiptan comfort-verfahren bisher keine Schwachstellen bekannt sind, hat RedTeam Pentesting untersucht, inwieweit hier Angriffe möglich sind. 1.1 PIN/TAN-Verfahren Beim klassischen PIN/TAN-Verfahren melden sich die Benutzer mit einem Anmeldenamen und einer persönlichen Identifikationsnummer (PIN) am Online-Banking an und bestätigen jede getätigte Transaktion mit einer Transaktionsnummer (TAN). TANs werden von der Bank in der Regel als ausgedruckte Liste zur Verfügung gestellt und können in beliebiger Reihenfolge von den Benutzern verwendet werden. Das PIN/TAN-Verfahren ist anfällig für eine Reihe von Angriffen, darunter einfaches Phishing. Hier werden die Benutzer zum Beispiel mittels E-Mail-Nachrichten, die vorgeblich von der eigenen Bank stammen, dazu aufgefordert, ihre Anmeldedaten und eine oder mehrere TANs auf einer gefälschten Online-Banking-Webseite einzugeben. Die so gesammelten Daten können anschließend von Angreifern zu einem beliebigen Zeitpunkt für eigene Transaktionen genutzt werden. 1.2 PIN/iTAN-Verfahren Als Konsequenz aus den Phishing-Angriffen gegen das TAN-Verfahren wurde von den Banken das indizierte TAN-Verfahren (itan) eingeführt. Bei diesem Verfahren wird die Liste der TANs durchnummeriert. Nach Eingabe der Transaktionsdaten fordert die Online-Banking-Webseite die Eingabe einer bestimmten TAN (etwa: TAN Nr. 23). Diese TAN ist dann nur für die vorher eingegebene Transaktion gültig. So soll verhindert werden, dass von Betrügern abgefangene TANs für eigene Transaktionen genutzt werden. Durch die Bindung an die Transaktion des Benutzers ist die TAN für Angreifer wertlos. 4

Im Jahre 2005 zeigte RedTeam Pentesting 1, dass auch dieses Verfahren angegriffen werden kann. Durch einen sogenannten Man-in-the-Middle-Angriff ist es möglich, die von der Bank erfragte itan an eine Transaktion des Angreifers statt des Benutzers zu binden. Spätestens seit 2008 werden die drei Jahre zuvor erstmalig vorgestellten Angriffe auch in der Praxis aktiv ausgenutzt, um Bankkunden zu schädigen (vergleiche Bundeskriminalamt: Kernaussagen zur IuK-Kriminalität 2008 2 ). Bei einem Man-in-the-Middle-Angriff ( Mann in der Mitte ) kontrolliert ein Angreifer den Datenverkehr zwischen dem Benutzer und der Online-Banking-Webseite. Er sitzt somit in der Mitte zwischen Benutzer und Online-Banking und kann die Datenströme in beide Richtungen lesen und manipulieren. Um dies zu erreichen gibt es mehrere Möglichkeiten. Im häufigsten Fall wird der Rechner des Benutzers mit einem Schadprogramm (Malware, Trojaner ) infiziert und sämtlicher Datenverkehr über einen vom Angreifer kontrollierten Rechner umgeleitet. Ein solches Programm kann auch den verwendeten Browser so manipulieren, dass die dargestellten Inhalte vollständig durch den Angreifer kontrolliert werden können. Anschließend ist der Angreifer in der Lage, die von dem Benutzer eingegebenen Transaktionsdaten im Datenverkehr zu erkennen und durch eigene Transaktionsdaten auszutauschen. Die von der Bank erfragte itan ist somit für die Transaktion des Angreifers und nicht mehr für die Transaktion des Benutzers gültig. Da der Angreifer die angezeigte Online-Banking-Webseite beliebig manipulieren kann, ist dieser Angriff für den Benutzer nicht erkennbar. 1.3 chiptan comfort-verfahren Das chiptan comfort-verfahren wird zur Zeit von einer Vielzahl von Sparkassen als Weiterentwicklung des itan-verfahrens eingesetzt. Das Verfahren setzt auf eine Zwei-Faktor-Authentifizierung durch den Einsatz eines separaten, als vertrauenswürdig geltenden Geräts. Der Bankkunde (im Folgenden: Benutzer) erhält von seiner Bank statt einer TAN- oder itan- Liste ein Gerät in der Größe eines Taschenrechners, welches ein eigenes Display und eine Tastatur besitzt. Außerdem sind ein Einschub für die Bankkarte sowie fünf optische Sensoren auf der Rückseite des Geräts vorhanden. Der Benutzer gibt seine Transaktionsdaten weiterhin über seinen Rechner, zum Beispiel im Online-Banking-Portal der Bank ein. Anschließend wird von der Bank ein sogenannter Flickercode generiert. Dieser besteht aus fünf Balken, welche die Farbe in bestimmten Mustern von schwarz auf weiß wechseln. Der Flickercode enthält zum Beispiel bei einer einfachen Überweisung den vom Benutzer eingegebenen Betrag sowie die Kontonummer des Empfängers. Der Benutzer plaziert das Gerät vor dem Bildschirm, so dass über die optischen Sensoren eine berührungslose Datenübertragung auf das Gerät erfolgt. Anschließend muss der Benutzer 1 /advisories/rt-sa-2005-014 2 http://www.bka.de/lageberichte/iuk/2008/kernaussagen_iuk_2008.pdf 5

die auf dem Display des Geräts angezeigte Kontonummer und den Betrag bestätigen, woraufhin das Gerät eine nur für diese Transaktion gültige TAN generiert. Diese muss der Benutzer wiederum im Online-Banking eingeben, was diese Transaktion gegenüber der Bank bestätigt. Ist der Rechner eines Benutzers kompromittiert, kann ein Angreifer beim itan-verfahren Transaktionsdaten manipulieren. Beim chiptan comfort-verfahren werden diese Daten auf dem Display des vertrauenswürdigen Geräts angezeigt, so dass ein Benutzer Manipulationen erkennen kann. Angreifer müssten sowohl mit einem Man-in-the-Middle-Angriff den Datenverkehr manipulieren, als auch die vom Gerät angezeigten Daten verändern. Ein solcher Angriff gilt als unwahrscheinlich, da dies einen direkten physischen Zugriff auf das Gerät vorausgesetzt. 2 Man-in-the-Middle-Angriffe auf das chiptan comfort-verfahren Das itan-verfahren ist anfällig für einen Man-in-the-Middle-Angriff. Wie in der Einleitung erwähnt finden solche Angriffe spätestens seit 2008 statt. Da das chiptan comfort-verfahren eine Weiterentwicklung des itan-verfahrens ist, sollte es insbesondere bei Man-in-the-Middle- Angriffen ein höheres Sicherheitsniveau gewährleisten. Im Folgenden wird die Sicherheit des chiptan comfort-verfahrens in einer solchen Situation betrachtet. Es wird davon ausgegangen, dass der Rechner des Benutzers mit einer spezialisierten Schadsoftware ( Trojaner ) infiziert ist, welche den gesamten Datenverkehr mitlesen und manipulieren kann. Die vorliegende Betrachtung der Sicherheit des chiptan comfort-verfahrens ist dabei nicht abschließend. Im Gegensatz zum itan-verfahren soll chiptan comfort auch gegen Man-inthe-Middle-Angriffe schützen. Daher konzentrierte sich der Test auf diese Schwachstellenklasse. Alle im weiteren Verlauf vorgestellten Angriffe sind vollständig automatisierbar und bedürfen keiner Interaktion durch den Angreifer. Entsprechender Beispielcode (Proof of Concept) wurde von RedTeam Pentesting entwickelt. 2.1 Sammelüberweisung Mit einer Sammelüberweisung hat ein Benutzer die Möglichkeit, verschiedene Überweisungen zu einer Transaktion zusammenzufassen. Diese wird anschließend mit nur einer TAN bestätigt. Wird eine solche Sammelüberweisung mittels des chiptan comfort-verfahrens autorisiert, so erhält der Benutzer insgesamt zwei Ausgaben auf dem Display des chiptan comfort- 6

Geräts. Diese müssen einzeln bestätigt werden, um Man-in-the-Middle-Angriffen vorzubeugen: Gesamtbetrag der Sammelüberweisung Anzahl der Posten in der Sammelüberweisung Dieses Verfahren schützt nicht ausreichend vor Man-in-the-Middle-Angriffen. Ein Angreifer kann den Gesamtbetrag auf ein Konto seiner Wahl umleiten, ohne dass dies für den Benutzer auffällig wäre. Hierzu manipuliert er die Kontodaten der einzelnen Überweisungen und trägt seine eigenen Daten ein. Lediglich die Beträge dürfen nicht manipuliert werden, damit der auf dem Gerät angezeigte Gesamtbetrag sich nicht ändert. Der anschließend angezeigte Flickercode ist somit für die Überweisungen des Angreifers gültig. Der Benutzer hat keine Möglichkeit, diesen Angriff zu erkennen, da die Anzahl der Posten und der Gesamtbetrag unverändert sind. 2.2 Überweisungen Um Überweisungen mittels des chiptan comfort-verfahrens zu autorisieren, muss der Benutzer zwei Ausgaben auf dem Display des chiptan comfort-geräts einzeln bestätigen: Betrag der Überweisung Kontonummer des Empfängers Ein entsprechender Text, dass diese Angaben zu überprüfen sind, befindet sich auf der Webseite, welche den Flickercode anzeigt. Da diese beiden Ausgaben auf dem vertrauenswürdigen Display des chiptan comfort-geräts angezeigt werden, kann insbesondere die Kontonummer des Empfängers von einem Angreifer nicht direkt manipuliert werden, ohne dass dies dem Benutzer auffällt. Um dennoch einen erfolgreichen Angriff durchzuführen, kann der Angreifer jedoch auf Sammelüberweisungen zurückgreifen. Führt der Benutzer eine Überweisung durch, so legt der Angreifer zeitgleich im Hintergrund eine neue Sammelüberweisung an. Diese Sammelüberweisung enthält lediglich eine Überweisung auf das Konto des Angreifers, die den Betrag von der Überweisung des Benutzers übernimmt. Den aus der Sammelüberweisung resultierenden Flickercode präsentiert der Angreifer dem Benutzer statt des Flickercodes, welcher zu der ursprünglich eingegebenen Überweisung gehört. Zusätzlich passt der Angreifer den Text der Webseite an, so dass der Benutzer aufgefordert wird, den Betrag der Überweisung sowie die Anzahl der Überweisungen zu überprüfen. Das vertrauenswürdige Display des chiptan comfort-geräts präsentiert nun ebenfalls Betrag und Anzahl der Überweisungen, da der Flickercode zu einer Sammelüberweisung gehört. Dies 7

ist dem Benutzer nicht bewusst. Die Ausgabe des Geräts stimmt also mit dem Text der Online- Banking-Webseite überein, so dass selbst Benutzer, denen bekannt ist, dass normalerweise die Kontonummer des Empfängers und nicht die Anzahl der Überweisungen angezeigt wird, diesen Angriff nur schwer erkennen können. 2.3 SEPA-Überweisungen Das Zielkonto bei einer SEPA-Überweisung wird als IBAN angegeben. Diese kann eine Länge von bis zu 34 Zeichen erreichen 3. Um die Überweisung zu autorisieren, muss der Benutzer die folgenden, über einen Flickercode auf das chiptan comfort-gerät übertragenen Daten bestätigen: Betrag der Überweisung Zeichen 3 und 4 sowie die letzten vier Zeichen der IBAN des Zielkontos Auch hier befindet sich ein entsprechender Text auf der Online-Banking-Webseite, welche auch den Flickercode und die zu überprüfenden Daten enthält. Manipuliert ein Angreifer die Kontodaten und somit auch die IBAN des Zielkontos, so werden nach Übertragung des Flickercodes auf das chiptan comfort-gerät die oben genannten sechs Zeichen dieser neuen IBAN auf dem Display angezeigt und müssen vom Benutzer verifiziert werden. Für einen Angreifer ist es zu diesem Zeitpunkt jedoch möglich, den Inhalt der Webseite zu verändern. Er kann also auch die Anleitung zur Verifikation der IBAN manipulieren. Aufgrund der Länge der ursprünglichen, vom Benutzer eingegebenen IBAN ist es sehr wahrscheinlich, dass diese die auf dem Display angezeigten Zeichen (der vom Angreifer vorgegebenen IBAN) enthält. Der Angreifer kann also die Verifikationsanleitung so verändern, dass scheinbar die originale, vom Benutzer eingegebene IBAN verifiziert wird, indem nach den entsprechenden Positionen in der originalen IBAN gefragt wird. Gibt der Benutzer die anschließend auf dem Display angezeigte TAN ein, kann der Angreifer den manipulierten Überweisungsauftrag gegenüber der Bank autorisieren. 3 Fazit Das chiptan comfort-verfahren ist anfällig für die vorgestellten Man-in-the-Middle-Angriffe. Da bei keinem der Angriffe aber der Betrag unbemerkt von einem Angreifer verändert werden 3 http://en.wikipedia.org/wiki/iban 8

kann, ist das Verfahren dem itan-verfahren vorzuziehen. Desweiteren ist das chiptan comfort- Verfahren im Moment noch nicht sehr weit verbreitet, so dass entsprechende Angriffe in der Praxis unwahrscheinlich erscheinen. Allerdings steigt diese Wahrscheinlichkeit, ähnlich wie schon bei der Einführung des itan-verfahrens, deutlich an, sobald eine relevant große Menge von Benutzern dieses Verfahren verwendet. Somit gefährden Man-in-the-Middle-Angriffe Bankkunden auch bei der Nutzung des chiptan comfort-verfahrens, auch wenn hier, anders als bei den in der Praxis bereits vorkommenden Angriffen auf das itan-verfahren, der Überweisungsbetrag nicht unbemerkt verändert werden kann. 3.1 Maßnahmen durch den Benutzer Um sich speziell vor den vorgestellten Angriffen auf das chiptan comfort-verfahren zu schützen, sollte der Benutzer darauf achten, dass er wirklich mit der echten Bank kommuniziert und nicht Opfer eines Man-in-the-Middle-Angriffs ist. Insbesondere muss der für das Online- Banking verwendete PC frei von Schadsoftware gehalten werden. Es zeigt sich allerdings, dass dies in der Praxis für viele Benutzer eine sehr schwierige Aufgabe ist. Werden allerdings Manin-the-Middle-Angriffe erfolgreich vermieden, so gilt auch bereits das itan-verfahren als hinreichend sicher. Verwendet der Benutzer eine Sammelüberweisung in Verbindung mit dem chiptan comfort- Verfahren und findet gleichzeitig ein Man-in-the-Middle-Angriff statt, so ist der in Abschnitt 2.1 beschriebene Angriff für den Benutzer nicht erkennbar. Die vorgestellten Angriffe auf einfache Überweisungen und SEPA-Überweisungen sind hingegen für geschulte Benutzer theoretisch erkennbar. Zwar erscheinen die vertrauenswürdige Anzeige des Geräts sowie die Inhalte der angezeigten Webseite schlüssig und konsistent, dennoch könnte auffallen, dass diese Ausgaben in der Vergangenheit eine andere Form hatten. 3.2 Maßnahmen durch Banken Als erste Maßnahme sollten Benutzer genau informiert werden, wie die Ausgaben des chip- TAN comfort-geräts bei den unterschiedlichen Transaktionen aussehen müssen. So können zumindest zwei der drei Angriffe durch entsprechend geschulte Benutzer erkannt und verhindert werden. Der Angriff auf Sammelüberweisungen ist so nicht zu erkennen. Auf Dauer sollte die Anzeige des chiptan comfort-geräts möglichst alle Informationen zur autorisierenden Transaktion anzeigen. So könnten alle Angriffe durch die Benutzer über die Anzeige des Geräts erkannt und somit verhindert werden. 9

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback