Seit einigen Wochen liest mal auf Blogs und in der Presse immer wieder, dass das mTan Verfahren der Banken für das Onlinebanking geknackt worden ist. Beim mTan Verfahren muss der Kunde zwei unterschiedliche Kommunikationswege nutzen, um zum Beispiel eine Onlineüberweisung zu tätigen. Der Kunde nutzt auf der einen Seite den Browser seines Laptops oder die App seiner Bank und auf der anderen Seite sein Handy, welches SMS empfangen kann. Bevor der Kunde nun die Überweisung losschicken kann, erhält er einen Token (Code/Zahlenkombination) an sein Handy per SMS und kann nach eingabe die Überweisung abschicken.
Ähnlich ist dies bei der Multifaktor Authentifizierung. Nach Eingabe des Benutzernamens und des Passwortes erhalte ich per SMS oder per Sprachansage einen Code, den ich in die Maske eingeben muss. Erst wenn der Code korrekt ist, werde ich zum Beispiel in mein Office365 Portal weitergeleitet.
Der Hack
Laut eines Zeitungsartikels haben es Hacker geschafft einen Kunden mittels technischer EInrichtungen, wahrscheinlich einem Trojaner, zu überwachen und Informtionen unter anderem seine Telefonnummer auszuspähen. Sie hackten mit den Informationen zunächst sein Girokonto und verschafften sich Zugang zu diesem, welches mit dem Onlinebanking verbunden ist.
Mit den Informationen aus der Ausspähaktion orderten die Täter anschließend eine Simkarte, wahrscheinlich eine Doppelte. Diese holten sie ohne den Personalausweis vorzuzeigen bei einem O2 Shop in Köln an und fingen an Überweisungen auf ein dubioses Konto zu machen. So erbeuteten Sie gut 19800 Euro in einem Fall.
Konsequenzen für Multi-Auth
Die Konsequenzen oder besser die Möglichkeiten, dass diese Methode über einen obenen beschriebenen Weg umgebar ist, war einigen Personen schon klar. Aber das der Hack so einfach ist und eigentlich die Schwachstellen der Mobilfunkunternehmen bzw. der lokalen Shops ausnutzt, konnte man sich in dem Ausmaß nicht denken.
Was heißt dies nun für die Multi-Auth bei Office 365? Im Grunde ist das Prinzip technisch nicht ohne weiteres hackbar, aber wer Benutzername und Passwort kennt und dazu noch die Telefonnummer des Smartphones wie wahrscheinlich auch die Vertragsnummer kann auf die Konten zugreifen.
In der Konsequenz ist die Methode wesentlich sicherer als nur den Benutzernamen und ein Passwort zu nutzen, aber wir müssen uns klar werden, dass alles hackbar ist und auch wenn es nur über den Umweg eines unvorsichtigen Angestellten eines Shops ist. Also achtet auf eure Smartphones, kontrolliert Bestellungen von Simkarten im Protal des Anbieters oder versucht die Option auszuschauten.
Fazit:
Die Multi-Faktor-Auth. ist eine Hürde, eine große, aber es ist eben nur eine Hürde. Wir müssen aufpassen und vorsichtig sein.
Beispiele für Quellen:
http://www.chip.de/news/Online-Banking-unsicher-Hacker-knacken-mTAN_69725604.html
http://www.spiegel.de/netzwelt/web/online-banking-bka-und-verbraucherschuetzer-warnen-vor-mtan-a-970003.html
http://www.faz.net/aktuell/finanzen/meine-finanzen/geld-ausgeben/nachrichten/online-banking-bankgeschaefte-uebers-handy-sind-unsicher-12678482.html