Online-Banking ist leicht zu knacken

Der Sicherheitstester Mitja Kolsek hat auf der Deepsec 2011 Techniken vorgestellt, mit denen es ihm im Auftrag von Banken gelungen ist, in die Systeme einzudringen. Bei einzelnen Banken konnte er sogar mittels Manipulation der URL auf fremde Nutzer-Konten zugreifen. Jedoch erweisen sich diese Versuche Geld zu stehlen als nicht besonders lohnenswert. Dafür eignen sich laut Kolsek eher Angriffe auf Nutzer in Firmenumgebungen. Zum einen wird dort keine Bank misstrauisch, wenn größere Geld-Beträge transferiert werden. Zum anderen können über öffentlich zugängliche Verzeichnisse (LDAP) Nutzer ermittelt werden, die von der Bank Zertifikate und E-Mail-Adressen für Bankaktivitäten erhalten haben. Kolsek hat solche Angriffe bereits beobachtet. Sie setzen allerdings Methoden des Social Engineering voraus. Das kann ein Angreifer nur umgehen, wenn er direkt die Online-Banking-Server attackiert.

Kolsek demonstrierte auch Angriffsmöglichkeiten mit einem Spar- und Girokonto. Beide Konten wiesen einen Kontostand von 0 Euro auf. Nun ließ er vom Girokonto Minus 100 Euro auf das Sparkonto gutschreiben. Da ein Sparkonto keine negativen Beträge verbuchen kann, bleibt das Sparkonto auf Null. Dann buchte er 100 Euro auf das Girokonto zurück. Mit dieser Methode kann ein Betrüger quasi Geld aus dem Nichts generieren.

Weiter bemängelt Kolsek die unzureichende Kontrolle von Parametern. Startet ein Kontoinhaber einen Transfer und schickt diesen zur Bank, muss er ihn nach Versenden noch einmal bestätigen. In manchen Banken ist es möglich, bei der Bestätigung der Transaktion die Eingaben zu verändern. Da der Server in dieser Phase des Onlinebankings dem Nutzer ungeprüft vertraut, kann der jetzt nachträglich aus einem positiven Betrag ein negativer machen. Normalerweise prüft der Server auf negative Beträge. Diese Kontrollinstanz wird somit aber umgangen.

Der Sicherheitsprüfer fand heraus, dass in manchen Banken auch HTTP-Parameter-Pollution (HPP) möglich ist. Dabei handelt es sich im Wesentlichen um die Angabe von Parametern in GET- und POST-Requests, die in ungewöhnlicher Form, Reihenfolge oder Trennung zueinander stehen. So konnte Kolsek den Wert des Geldes negativ verändern oder ein wenig über das Überweisungslimit hinausgehen.

Kolsek zeigte auch, wie man zu einer zusätzlichen Rente kommen kann. Dank eines Rundungsfehlers beim Umrechnen von Kursen generierte er bei seiner Bank einen Cent. Dazu ließ er 0,01 US-Cent in Euro wechseln. Mit dieser Methode könnten theoretisch täglich 2.300 Euro erschwindelt werden.

Kolsek geht davon aus, dass auch Backend-Server künftig im Visier von Angreifern sein werden. Sie vertrauen den Online-Banking-Servern und ermöglichen die Generierung von Geld, ohne das andere Kunden geschädigt werden müssen. Laut Kolsek gibt es jede Menge Möglichkeiten, Geld abzugreifen, ohne Spuren zu hinterlassen. Kriminelle benutzen bereits Banken, die kaum Spuren hinterlassen, indem sie ahnungslose Nutzer gegen Provision baten, Geld für sie zu überweisen. Eine weitere große Gefahr sieht er darin, dass immer mehr Banken ihre Verfahren automatisieren. Das ermöglicht ganz neue Angriffstechniken.