Transaktionsautentiseringsnummer
Ett transaktionsautentiseringsnummer ( TAN ) används av vissa onlinebanktjänster som en form av engångslösenord (OTP) för att godkänna finansiella transaktioner . TAN är ett andra lager av säkerhet utöver den traditionella autentiseringen med ett lösenord .
TAN ger extra säkerhet eftersom de fungerar som en form av tvåfaktorsautentisering (2FA). Om det fysiska dokumentet eller token som innehåller TAN blir stulen, kommer det att vara värdelöst utan lösenordet. Omvänt, om inloggningsdata erhålls, kan inga transaktioner utföras utan ett giltigt TAN.
Klassisk TAN
TAN fungerar ofta enligt följande:
- Banken skapar en uppsättning unika TAN för användaren. Vanligtvis finns det 50 TAN utskrivna på en lista, tillräckligt för att hålla ett halvår för en normal användare; varje TAN är sex eller åtta tecken lång.
- Användaren hämtar listan från närmaste bankkontor (uppvisar pass , ID-kort eller liknande handling) eller skickas TAN-listan via post.
- Lösenordet (PIN) skickas separat.
- För att logga in på sitt konto måste användaren ange användarnamn (ofta kontonumret) och lösenord ( PIN ). Detta kan ge tillgång till kontoinformation men möjligheten att bearbeta transaktioner är inaktiverad.
- För att utföra en transaktion anger användaren begäran och auktoriserar transaktionen genom att ange ett oanvänt TAN. Banken verifierar TAN som skickats mot listan över TAN som de utfärdade till användaren. Om det är en matchning behandlas transaktionen. Om det inte är en matchning avvisas transaktionen.
- TAN har nu använts och kommer inte att redovisas för några ytterligare transaktioner.
- Om TAN-listan äventyras kan användaren avbryta den genom att meddela banken.
Men eftersom alla TAN kan användas för alla transaktioner, är TAN fortfarande benägna att nätfiskeattacker där offret luras att tillhandahålla både lösenord/PIN och en eller flera TAN. Vidare ger de inget skydd mot man-in-the-middle-attacker (där en angripare avlyssnar överföringen av TAN och använder den för en förfalskad transaktion). Särskilt när klientsystemet äventyras av någon form av skadlig programvara som möjliggör för en illvillig användare , är risken för en obehörig transaktion stor. Även om de återstående TAN:erna är kompromisslösa och kan användas säkert, rekommenderas användare i allmänhet att vidta lämpliga åtgärder så snart som möjligt.
Indexerad TAN (iTAN)
Indexerade TAN minskar risken för nätfiske. För att auktorisera en transaktion ombeds användaren inte att använda ett godtyckligt TAN från listan utan att ange ett specifikt TAN som identifieras av ett sekvensnummer (index). Eftersom indexet väljs slumpmässigt av banken, är ett godtyckligt TAN som förvärvats av en angripare vanligtvis värdelöst.
Men iTAN är fortfarande mottagliga för man-in-the-middle-attacker , inklusive nätfiske-attacker där angriparen lurar användaren att logga in på en förfalskad kopia av bankens webbplats och man-in-the-browser-attacker som tillåter angriparen att i hemlighet byt transaktionsdetaljer i bakgrunden av PC:n samt för att dölja de faktiska transaktionerna som utförs av angriparen i onlinekontoöversikten.
Europeiska unionens byrå för nätverks- och informationssäkerhet 2012 alla banker att överväga att deras användares datorsystem som standard är infekterade av skadlig programvara och använda säkerhetsprocesser där användaren kan korskontrollera transaktionsdata mot manipulationer som till exempel ( förutsatt att mobiltelefonens säkerhet håller uppe) mTAN- eller smartkortläsare med egen skärm inklusive transaktionsdata till TAN-genereringsprocessen samtidigt som de visas i förväg för användaren ( chipTAN ).
Indexerad TAN med CAPTCHA (iTANplus)
Innan användaren går in i iTAN presenteras en CAPTCHA , som i bakgrunden också visar transaktionsdata och data som anses vara okända för en potentiell angripare, såsom användarens födelsedatum. Detta är avsett att göra det svårt (men inte omöjligt) för en angripare att förfalska CAPTCHA.
Denna variant av iTAN-metoden som används av vissa tyska banker lägger till en CAPTCHA för att minska risken för man-in-the-middle-attacker. Vissa kinesiska banker har också implementerat en TAN-metod som liknar iTANplus. En färsk studie visar att dessa CAPTCHA-baserade TAN-scheman inte är säkra mot mer avancerade automatiserade attacker.
Mobil TAN (mTAN)
mTAN används av banker i Österrike, Bulgarien, Tjeckien, Tyskland, Ungern, Nederländerna, Polen, Ryssland, Singapore, Sydafrika, Spanien, Schweiz och vissa i Nya Zeeland, Australien och Ukraina. När användaren initierar en transaktion genereras ett TAN av banken och skickas till användarens mobiltelefon via SMS . SMS:et kan också innehålla transaktionsdata, vilket gör det möjligt för användaren att verifiera att transaktionen inte har ändrats i överföringen till banken.
Säkerheten för detta system beror dock på säkerheten i mobiltelefonsystemet. I Sydafrika, där SMS-levererade TAN-koder är vanliga, har en ny attack dykt upp: SIM Swap Fraud. En vanlig attackvektor är att angriparen utger sig för att vara offret och skaffar ett ersättnings- SIM-kort för offrets telefon från mobilnätsoperatören . Offrets användarnamn och lösenord erhålls på andra sätt (som keylogging eller nätfiske ). Mellan att få det klonade/ersättnings-SIM och att offret märker att deras telefon inte längre fungerar, kan angriparen överföra/extrahera offrets pengar från sina konton. Under 2016 genomfördes en studie om SIM-bytesbedrägeri av en social ingenjör , som avslöjade svagheter i att utfärda porteringsnummer.
publicerades en svaghet i signalsystemet nr 7 som används för SMS-överföring, vilket möjliggör avlyssning av meddelanden. Det demonstrerades av Tobias Engel under den 31:a Chaos Communication Congress . I början av 2017 användes denna svaghet framgångsrikt i Tyskland för att avlyssna SMS och bedrägligt omdirigera fondöverföringar.
Också uppkomsten av smartphones ledde till skadliga attacker som samtidigt försökte infektera datorn och mobiltelefonen för att bryta mTAN-schemat.
pushTAN
pushTAN är ett app -baserat TAN-system av tyska Sparkassen banking group som minskar några av bristerna i mTAN -systemet. Det eliminerar kostnaderna för SMS och är inte mottagligt för SIM-kortsbedrägerier, eftersom meddelandena skickas via en speciell textmeddelandeapplikation till användarens smartphone med en krypterad internetanslutning. Precis som mTAN tillåter schemat användaren att krysskontrollera transaktionsdetaljerna mot dolda manipulationer utförda av trojaner på användarens PC genom att inkludera de faktiska transaktionsdetaljerna som banken fick i pushTAN-meddelandet. Även om det är analogt med att använda mTAN med en smartphone, finns det risk för en parallell infektion med skadlig kod på PC och smartphone. För att minska denna risk upphör pushTAN-appen att fungera om den mobila enheten är rootad eller jailbroken. I slutet av 2014 antog Deutsche Kreditbank (DKB) också pushTAN-systemet.
TAN generatorer
Enkla TAN-generatorer
Risken för att kompromissa med hela TAN-listan kan minskas genom att använda säkerhetstokens som genererar TAN i farten, baserat på en hemlighet som banken känner till och lagrad i token eller ett smartkort som sätts in i token.
Det genererade TAN är dock inte kopplat till detaljerna i en specifik transaktion. Eftersom TAN är giltigt för alla transaktioner som skickas med det, skyddar det inte mot nätfiskeattacker där TAN används direkt av angriparen, eller mot man-in-the-middle-attacker .
ChipTAN / Sm@rt-TAN / CardTAN
ChipTAN är ett TAN-system som används av många tyska och österrikiska banker. Det är känt som ChipTAN eller Sm@rt-TAN i Tyskland och som CardTAN i Österrike, medan cardTAN är en tekniskt oberoende standard.
En ChipTAN-generator är inte kopplad till ett visst konto; istället måste användaren sätta in sitt bankkort vid användning. Den genererade TAN är specifik för bankkortet såväl som för den aktuella transaktionsinformationen. Det finns två varianter: I den äldre varianten måste transaktionsuppgifterna (minst belopp och kontonummer) anges manuellt. I den moderna varianten anger användaren transaktionen online, sedan läser TAN-generatorn transaktionsdetaljerna via en flimrande streckkod på datorskärmen (med hjälp av fotodetektorer ). Den visar sedan transaktionsdetaljerna på sin egen skärm för användaren för bekräftelse innan TAN genereras.
Eftersom det är oberoende hårdvara, endast kopplad till en enkel kommunikationskanal, är TAN-generatorn inte känslig för attacker från användarens dator. Även om datorn undergrävs av en trojan , eller om en man-in-the-middle-attack inträffar, är det genererade TAN endast giltigt för transaktionen som bekräftats av användaren på skärmen på TAN-generatorn, därför skulle modifiering av en transaktion retroaktivt gör att TAN blir ogiltigt.
En ytterligare fördel med detta schema är att eftersom TAN-generatorn är generisk och kräver att ett kort sätts in, kan den användas med flera konton på olika banker, och att förlora generatorn är inte en säkerhetsrisk eftersom säkerhetskritiska data lagras på bankkortet.
Även om det erbjuder skydd mot teknisk manipulation är ChipTAN-systemet fortfarande sårbart för social ingenjörskonst . Angripare har försökt övertala användarna själva att godkänna en överföring under förevändning, till exempel genom att hävda att banken krävde en "testöverföring" eller att ett företag felaktigt hade överfört pengar till användarens konto och de borde "skicka tillbaka dem". Användare ska därför aldrig bekräfta banköverföringar de inte själva har initierat.
ChipTAN används också för att säkra batchöverföringar ( Sammelüberweisungen ) . Denna metod erbjuder dock betydligt mindre säkerhet än den för enskilda överföringar. Vid en batchöverföring kommer TAN-generatorn endast att visa antalet och det totala beloppet av alla överföringar kombinerat – så för batchöverföringar finns det lite skydd mot manipulation av en trojan. Denna sårbarhet rapporterades av RedTeam Pentesting i november 2009. Som ett svar, som en begränsning, ändrade vissa banker sin batchöverföringshantering så att batchöverföringar som bara innehåller en enda post behandlas som individuella överföringar.