Hallo,

bekanntermaßen beruht die Sicherheit von Chip/TAN und SMS TAN vor allem auf der Überprüfbarkeit der übertragenen Zielkontonummer und Ziel Bankleitzahl vor der TAN Eingabe.

Wie ist das eigentlich bei Giropay?
Hier werden diese Werte doch durch den Zahlungsempfänger(Online-Händler oder die Geldkarten-Ladefunktion vorgegeben.)

Ich kann mich nicht erinnern,dass die Kto/BLZ hier im Vorfeld der Transaktion kommuniziert werden.

Ich muß also eigentlich jede BLZ/Kto Nummer auf dem Generator-Display ungeprüft akzeptieren?
Oder mache ich da einen Denkfehler?

kragenbär :?

Hallo Kragenbär,

die Sicherheitskette geht so:
Der Shop leitet den Kunden an seine eigene Bank weiter. Die Empfängerdaten auf die es ankommt, also Kontonummer und BLZ, werden von Giropay aus in das Überweisungsformular aufgenommen. Diese können auch nicht vom Absender verändert werden und werden im Kartenleser kontrolliert.

Das wäre imho auch die theoretische Schwachstelle, die ich hier sehe: Den Daten des Bildschirmes muss der Kunde glauben, direkt nachprüfbar sind diese nicht. Sie lassen sich also prinzipiell faken.

Eine Demo gibt es übrigens hier:
http://www.giropay.de/index.php?id=210

Gruß
Raimund

Hallo Raimund,

wenn ich es recht verstehe,werden bei Giropay die Ziel BLZ und Ziel Kto Nummer vom Zahlungsempfänger(Webshop) an die Bank des Zahlungspflichtigen gesendet.
Wenn die Daten dort korrekt angekommen sind,werden sie dem Zahlungspflichtigen auch so per Flickercode übermittelt um dann per TAN legitimiert zu werden.
Dies geschieht unabhängig davon,ob eventuell die dem Zahlungspflichtigen im angezeigten Überweisungsformular genannten Werte durch einen auf dem Rechner des Zahlungspflichtigen vorhandenen Trojaner verfälscht worden sind.
Eine solche Fälschung würde zwar zur Verwirrung des Zahlungspflichtigen führen,aber die per Flickercode übermittelten Daten wären immer noch korrekt.
Die Bank richtet sich bei Giropay also ausschließlich nach den vom Webshop übermittelten Daten - egal was eventuell am Bildschirm des Zahlenden erscheint.

Die Manipulation müsste also auf dem Weg vom Shop zur Bank erfolgen um in den Flickercode einfliessen zu können...

Soweit richtig?

kragenbär

nö, die Daten kommen ja von Giropay - nicht vom Shop. Der Handler hat darauf eigentlich nur soweit Einfluss, dass er vorher im Verträge mit Giropay sein Konto angibt.
Bei "normalen" Shops ist es auch so, dass der Shopbesitzer beim Bezahlen gar nicht mit den wirklich wichtigen und sensiblen Bezahl-Kundendaten in Detail in Berührung kommt. Klickt der Kunde auf "Bezahlen" und wählt eine Zahlform, dann überträgt der Händlershop dies normalerweise an einen entsprechend zertifizierten Dienstleister, der sich um das Bezahlen kümmert und z.B. die Kreditkartennummern des Kunden prüft. Dieser Paymentdienstleister meldet der Shopsoftware nur noch eine Art "OK" oder halt eben "nicht OK". Sehr vereinfacht dargestellt, natürlich.

Der Vorteil: Der Shopbesitzer muss keinen teuren Heidenaufwand treiben, um seinen Server und die Zahldaten der Kunden geheim zu halten. Der Nachteil: Der Kunde verlässt zwischenzeitlich den Einflussbereich des Webshops. Frag mal einen Webdesigner, was ihm lieber wäre..

Zurück zum Thema: Wo müsste die Manipulation stattfinden? Ich verrate sicherlich keinem Betrüger etwas neues: Die Sicherheit bei den aktuellen Verfahren - ob optischer PIN&TAN mit Flicker oder meinetwegen Secoder basieren darauf, dass der Zahlende die Empfängerdaten vorher kennt und daher einfach die Kontonummer prüfen kann, an die das Geld auf die Reise geht. Das ist beim Bezahlen im Webshop naturgemäß nicht so einfach, egal mit welchem Zahlverfahren.

Daher ist es imho auch wichtig zu reagieren, wenn sich der Webshop nicht "normal" verhält, also z.B. die Buchung über Giropay abgeschlossen wurde (z.B. die Umsätze zu kontrollieren), beim Webshop allerdings der Bezahlvorgang nicht ordnungsgemäß verbucht wurde.

Evtl. kann ja noch einer der ECommerce-Gurus etwas zum Thema beisteuern, falls ich etwas falsch oder zu einfach dargestellt habe.

Gruß
Raimund

Ah...

Danke Raimund,

demnach könnte ein Trojaner auf dem Kundenrechner sowohl die Zahlungsdaten auf dem angezeigten Überweisungsformular als auch den Flickercode und somit das Display des TAN-Generators so manipulieren,dass die Werte zwar übereinstimmen,aber dennoch zu Gunsten des Betrügers manipuliert sind.(Nur die Zielkontonummer,der Kaufbetrag sollte ja dem Kunden bekannt sein)

Was spricht dagegen,dass die Online Händler in der Nähe des Auswahl-Buttons für Giropay eine Angabe machen wie:
"Bitte prüfen Sie den Kaufbetrag und die Empfängerkontonummer...xyz"

Dann wären alle nötigen Daten für Chip/TAN zur Kontrolle vorhanden.
Es sei denn,dass auch schon die Website des Shops manipuliert wäre...
Aber irgendwann ist ja auch mal Schluss mit der Paranoia...

Besten Dank Raimund...

kragenbär

Hi,

um das manipulieren zu können müsste vorher der Code bekannt sein, der zum bankseitigen enkodieren der Daten (dekodierung durch die EC-Karte) verwendet wird.

Gruß,
Vader

@ kragenbär

Es ist zwar grundsätzlich technisch möglich, die Challengewerte in der Graphischen Übertragungsschittstelle zu manipulieren, ebenso wie die Anzeige der Auftragsdaten im Überweisungsformular, aber die Manipulation der Challengewerte würde zur Generierung einer TAN führen, die von dem vom Bankrechner erwarteten TAN-Wert abweicht.
Bei einer Einzelüberweisung mit einem Zweischritt-TAN-Verfahren besteht die Schwachstelle darin, daß der Kunde die vorher bekannten Auftragsdaten (Empfängerkonto, je nach Verfahren ggf auch noch Überweisungsbetrag) in der Rückmeldung der Challengewerte ungeprüft übernimmt und daraus eine TAN generiert.

Beispiel: Der Kunde möchte per Giropay einen Betrag von 15,77€ überweisen und nutzt das SmartTAN optic-Verfahren einer Bank aus dem Bereich des RZ GAD. Der Kunde hat sich nicht unabhängigen über das Empfängerkonto des Händlers informiert. Der Kunde bekomt beim Bezahlvorgang als Challengewerte eine Empfängerkontonummer und den Überweisungsbetrag angezeigt. Wird die Überweisung von einem Trojaner manipuliert, so geschieht dies auf dem Kundenrechner, wobei im Überweisungsformular die korrekten Auftragsdaten angezeigt werden, der Trojaner manipuliert jedoch die an die Bank (bzw das Rechenzentrum der Bank) übermittelten Auftragsdaten, sodaß bei der Bank nicht eine Überweisung von 15,77€ auf Konto 12345 sondern 500€ auf Konto 98765 eingereicht werden. Aus diesen Auftragsdaten berechnet der Bankrechner die Challengewerte und sendet sie an das Kundensystem. Der Kunde könnte aufgrund der angezeigten Challengewerte erkennen, daß die übermittelte Überweisung nicht mit der angezeigten Überweisung übereinstimmt und den Vorgang abbrechen.
Würde der Trojaner die übermittelten Challengewerte ändern um eine Entdeckung zu verhinden, würde der Chip auf der Karte des Kunden dadurch eine andere TAN errechnen als mit den Challengewerten des übermittelten Auftrages. Dadurch würde die vom Kunden eingegebene TAN nicht der TAN ensprechen, welche der Bankrechner aufgrund der an das Kundensystem übermittelten Challengewerte erwartet und die TAN würde als falsch abgelehnt werden.

Hi Nemo,

solange im Überweisungsformular die korrekten Daten für Zielkonto und Betrag angezeigt werden und man sie gewissenhaft mit dem Display des TAN Generators vergleicht,kann je eigentlich nichts passieren.
Jede Abweichung hier muß zum sofortigen Vorgangsabbruch und zur eingehenden Untersuchung des Systems führen.
In diesem Fall hätte ja auch das Internet Security Programm versagt.
Würde es in einem solchen Fall eigentlich reichen wenn ich mein System mit Acronis Image wiederherstellen würde?(Einschließlich des MBR)
Ich schreibe jede Woche ein neues Image und so stehen mir 10 Wochen in die Vergangenheit Wiederherstellungsmöglichkeiten zur Verfügung.
Man müßte nur herausfinden wie weit man zurückgehen müßte bis der Trojaner noch nicht enthalten war.Aber dann könnte man ja sehen ob es zu weiteren Manipulationen kommt.
Für mich zum Glück alles Theorie.
Weder mit StarMoney/HBCI Chip/Kl.3 Leser noch mit ChipTan ist bisher etwas passiert.

Gruß
kragenbär

Hallo kragenbär,

leider ist es bei den heute im Einsatz befindlichen Trojaner nicht immer möglich, diese erfolgreich abzuwehren, selbst wenn der Scanner auf dem aktuellen Stand ist. Auch ist es bei einer erfolgreichen Infektion oft nicht mehr möglich, die Schadsoftware mit der auf dem infizierten System installieren Sicherheitssoftware zu finden. In solchen Fällen kommt man aber in vielen Fällen mit einer Live-CD und einem dort mitgelieferten Scanner weiter.

Das Problem mit dem Rückspielen des Images besteht darin, daß einige der Schadprogramme erst eine Zeitlang im Hintergrund agieren und Daten sammeln, sodaß zwischen dem Zeitpunkt der Infektion und der ersten manipulierten Onlineüberweisung teilweise ein Zeitraum von mehreren Wochen liegt. Etliche dieser Schadprogramme sind nicht exclusiv auf das Onlinebanking ausgelegt sondern nehmen auch andere Daten mit und die Manipulation eines Zahlunsgverkehrsauftrages ist die letzte Aktion des Programms, da es durch diese offensive Maßnahme enttarnt ist.
Daher sollte man nach dem Rücksichern eines älteren Images auf jeden Fall einen kompletten Scan laufen lassen.

Gruß
Nemo

Die Angabe der Empfängerkontonummer im Shop könnte helfen, noch besser wäre es, wenn zusätzlich das Anzeigegerät anhand des Auftrages eindeutig anzeigen würde, dass es sich um einen Giropay-Auftrag handelt - oder im Betrugsfall eben um eine "ordinäre" Überweisung. Aber auf mich hört ja keiner im ZKA...

Dafür müßte die Anzahl der Datenfelder von 2 auf 3 geändert oder einer der beiden bisher für Einzelüberweisungen verwendeten Felder würde umdefiniert. Würde das Kz für eine Giropay-Überweisung nicht als Datawert sondern nur als Infowert mitgeliefert, wäre die Anzeige durch Schadsoftware manipulierbar, ohne daß es einen Einfluß auf die generierte TAN hätte. Nur beim mobile TAN-Verfahren könnte eine Kennzeichnung relativ manipulationssicher an den Kunden geschickt werden. ohne daß das Giropay-Kennzeichen Teil des Datawertes ist, jedoch hätte das andere Einschränkungen zur Folge.