- Anzeigen -


Sicherheitskontrollen im Transaktionsbereich


Wie sich Sicherheitslücken auf mobile Banksysteme auswirken
Desktop-basierten Bedrohungen sind zumindest mitverantwortlich dafür, dass einige Banken mittlerweile den Einsatz so genannter mTANs implementiert haben

- Anzeigen -





Von Michael Flossman, Security Research Services Lead EMEA bei Lookout

Immer mehr Geldhäuser sehen sich gezwungen, in ihre Systeme für den Geldtransfer zusätzliche Sicherheitskontrollen einzubauen. Denn die Kosten, die sie ihren Bankkunden aufgrund von gefälschten und illegalen Transaktionen erstatten müssen, sind immens. Beispiele für solche Vorfälle liefern die Desktop-Malware-Familien SpyEye und Zeus, die sensible Informationen, darunter auch Bankdaten, von den infizierten PCs abgreifen. Diese Desktop-basierten Bedrohungen sind zumindest mitverantwortlich dafür, dass einige Banken mittlerweile den Einsatz so genannter mTANs (mobile transaction authentication numbers) implementiert haben. Damit erfordert jede Online-Transaktion einen speziellen Token, der an das mobile Endgerät des Users geschickt wird. Die beiden genannten Malware-Familien haben sich bereits entsprechend angepasst: Sie ergänzen ihr traditionell Desktop-basiertes Malware-Arsenal um mobile Komponenten - in diesem Fall Spitmo und Zitmo – um weiter profitabel zu bleiben.

Immer mehr Banken in Westeuropa verabschieden sich daher von mobilen TANs und verwenden stattdessen physische, nicht mit dem Internet verbundene Tokens, die eine Zwei-Faktor-Authentisierung bieten. Ein Beispiel hierfür ist der Smart Card Reader PINsentry von Barclays: Nachdem der User seine Bankkarte damit eingelesen und die PIN eingegeben hat, erhält er einen kurzzeitig gültigen Code für die gewünschte Transaktion. Dieser Ansatz macht es Angreifern wesentlich schwerer und schließt Attacken via Fernzugriff, bei denen betrügerische Transaktionen auf dem betroffenen Smartphone erfolgen, so gut wie aus.

Es gibt allerdings nach wie vor eine Reihe von aktiven Bank-Trojanern, die Kunden von Finanzdienstleistern im Visier haben, bei denen es derartige Schutzmechanismen nicht gibt. Meist handelt es sich dabei um Malware aus Regionen, in denen das Sicherheitsniveau der Banken relativ gering ist. Vermutlich sind diese Trojaner deshalb auch in Osteuropa besonders stark verbreitet. SpyEye und Zeus waren die Antwort auf die vermehrte Nutzung von mTANs. Jetzt bin ich gespannt, auf welche Taktiken sich diese Malware-Familien in Märkten verlegen, in denen die Banken strenge Sicherheitskontrollen im Transaktionsbereich – zum Beispiel PINSentry – implementiert haben.

In den letzten Jahren ist eine Vielzahl von Anwendungen auf den Markt gekommen, mit denen Kunden untereinander schnell Geld transferieren können - darunter Pingit, Swish Payments, Apple Pay, Google Wallet und sogar der Facebook Messenger. Gleichzeitig verschärfen viele Banken ihre Sicherheitsmaßnahmen. Die entscheidende Frage ist jetzt, wie die betrügerischen Akteure darauf reagieren – zum Beispiel, ob sie sich künftig nur noch auf mobile Bezahlanwendungen konzentrieren, für die kein physischer Token erforderlich ist. (Lookout: ra)

eingetragen: 14.05.17
Home & Newsletterlauf: 06.06.17


Lookout Mobile Security: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Unternehmen

  • Neue Anforderungen im Cloud-Zeitalter

    Barracuda Networks und Awingu, Anbieterin für Browser-basierten Unified Workspace, arbeiten künftig auf Basis einer Technologiepartnerschaft zusammen. Diese vereint Barracudas performantes Sicherheits- und Zero-Touch-Lösungsportfolio mit Awingus schlüsselfertiger Browser-basierter Workspace-Lösung.

  • Legacy-Applikationen sichern

    cirosec veranstaltet im März 2017 wieder ihre "TrendTage" rund um innovative Themen im IT-Sicherheitsbereich. Schwerpunkte bilden dieses Mal die Sicherheit von Windows-Umgebungen, Endgeräten und Webapplikationen. Stationen der TrendTage sind Köln (12. März 2018), Frankfurt (13. März 2018), Stuttgart (14. März 2018) und München (15. März 2018). Die Teilnahme ist kostenlos. Nach einer kurzen Begrüßung durch den Geschäftsführer Stefan Strobel gibt cirosec-Berater Christian Strache Einblicke in die Sicherheit von Windows-Umgebungen.

  • Exklusiver Kreis an Secucloud-Teilhabern

    Secucloud, Anbieterin von Security-as-a-Service-Lösungen für ISPs und Telekomanbieter, hat ihre Series-B-Finanzierungsrunde im Umfang von mehreren Millionen Euro abgeschlossen. Die eingeworbenen Mittel stammen vollständig von Sonae Investment Management. Secucloud steht im schnell wachsenden Markt für Cybersicherheit in und aus der Cloud an vorderster Linie und nutzt dabei das Netz von Telekomanbietern, um Sicherheitslösungen für alle vernetzten Geräte wie Smartphones, Tablets und IoT-Devices sowohl im Endkonsumenten- als auch Unternehmenssegment anzubieten.

  • Prefix- oder BGP-Hijacks identifizieren & abwehren

    Mit der Präsentation von neuen Cybersicherheitsentwicklungen endete am 9. Januar der erste Durchlauf des hessisch-israelischen Partnerschafts-Accelerators (HIPA). Beim Abschlussevent in der hessischen Landesvertretung in Berlin zeigten die teilnehmenden Projektteams neue Lösungsansätze zur Qualitätskontrolle von Cloud-Diensten, zur Sicherheit von Internet-Infrastrukturen sowie zur Abwehr von Spam-Attacken und Denial-of-Service-Angriffen auf E-Mail-Konten. HIPA ist der erste und einzige deutsch-israelische Accelerator mit Schwerpunkt auf Cybersicherheit.

  • Security von Embedded-Systemen

    Zum dritten Mal findet die erneut hochkarätig besetzte Podiumsdiskussion "Safe for the Future" im Rahmen der embedded world statt. Auch dieses Mal dreht sich im Messezentrum Nürnberg alles rund um die Security von Embedded-Systemen und der Absicherung von Rechnern und Kommunikationskanälen. Zentrales Thema ist der Schutz vernetzter eingebetteter Systeme im Internet der Dinge. Im Fokus stehen dieses Mal unter anderem die Fragestellungen mit welchen Maßnahmen kritische Infrastrukturen geschützt werden, was kritische Infrastrukturen und Anwendungen sind, und welche Maßnahmen für vermeintlich unkritische Anwendungen übernommen werden können.