Wie heise gestern auf seiner Internetseite meldete, hat das Sicherheitsunternehmen Trusteer einen Trojaner entdeckt, der gezielt das bisher als sicher eingestufte chipTAN-Verfahren umschifft. Der "Tatanga" genannte Trojaner verändert die Internetseite der Bank so, dass der Bankkunde zu einer "Testüberweisung" aufgefordert wird, die er mittels chipTAN bestätigen soll. In Wirklichkeit wird eine standartmäßige Überweisung an die Täter ausgeführt.
Beim chipTAN-Verfahren werden mittels eines, vom PC unabhängigen, Gerätes und mit der EC-Karte des Kunden eine einmalige, nur für diese Überweisung gültige TAN (Transaktionsnummer) generiert. Dabei werden auch der Betrag und die Kontonummer des Zielkontos angezeigt, sodass der Nutzer kontrollieren kann, ob die TAN für die richtige Überweisung generiert wurde.
Bei dem neuen Trojaner wird dem Online-Banking-Nutzer angezeigt, dass eine Testüberweisung zur Funktionsüberprüfung notwendig ist. Erezugt der Kunde nun die TAN und gibt sie ein, wird der genannte Betrag tatsächlich auf das genannte Konto überwiesen. In der Folge manipuliert der Trojaner die Umsatzanzeige des Kunden, sodass die betrügerische Überweisung auf einem imfizierten Rechner nicht angezeigt wird und eine Entdeckung der Manipulation unwahrscheinlich wird.
Wichtig ist aber, dass das chipTAN-Verfahren als solches nicht "geknackt" worden ist, technisch funktioniert es nach wie vor einwandfrei und sicher. Stattdessen bedienen sich die Angreifer bei diesem Man-in-the-middle-Angriff abermals der Unwissenheit und Unvorsichtigkeit des Nutzers.