Beim erst vor kurzem von vielen Finanzinstituten eingeführten iTAN-Verfahren erfragt der Bankserver bei einer Transaktion gezielt eine ganz bestimmte TAN von der Liste des Kunden. Einem Phishing-Betrüger reicht es demnach nicht mehr, einfach nur eine beliebige TAN zu kennen, um sich am Konto seines Opfers zu bedienen.
Die Experten der Ruhruniversität verwendeten zum Aushebeln des iTAN-Verfahrens eine (wie beim Phishing üblich) gefälschte Internetseite. Gab ein Anwender dort seine Zugangsdaten ein, stellte diese Seite eine Verbindung zum echten Bankserver her, und leitete die von diesem stammende Frage nach der korrekten TAN an den Anwender weiter. Diese TAN konnte dann dazu genutzt werden, vom Konto des Opfers einen vorprogrammierten Betrag (bei diesem Test natürlich nur ein Euro) zu überweisen.
"Die einzig wirklich sichere Lösung ist der Einsatz von Kartenlesern der Klasse drei. Bei diesen Geräten wird sichergestellt, dass die persönlichen Informationen des Kunden auf dem Kartenleser verbleiben und nur verschlüsselt gesendet werden", erläuterte Christoph Wegener von der Ruhr Universität. Doch solche Kartenleser sind nicht nur aufwändiger in der Benutzung, sie verursachen auch Anschaffungskosten zwischen 80 und 100 Euro - freilich ein geringer Betrag, verglichen mit dem potentiellen Schaden durch Phishing.
