Mitgliedern der Arbeitsgruppe Identitätsschutz im Internet (AI3) der Ruhr-Universität Bochum ist es nach eigenen Angaben gelungen, das iTAN-Verfahren zu knacken. Bei diesem Verfahren benutzt der Kunde nicht eine beliebige TAN (Transaktionsnummer) aus seiner Liste, sondern eine bestimmte TAN wird von der Bank anhand ihrer Indexnummer vorgegeben.

Den Uni-Experten ist es gelungen, mithilfe eines "Man-in-the-Middle"-Angriffs über eine gefälschte Website den symbolischen Betrag von einem Euro auf ein beliebiges anderes Konto transferieren.

Beim "Man-in-the-Middle"-Angriff sendet der Angreifer eine Phishing-Mail an das Opfer. Dieses wird mit einer falschen, aber plausiblen Begründung dazu gebracht, auf einen in der E-Mail enthaltenen Hyperlink zu klicken und wird so mit der Website des Angreifers verbunden. Die aufgerufene Website sieht einer echten Website einer Bank zum Verwechseln ähnlich. Die gefälschte Webseite fordert das Opfer zunächst auf, Kontonummer und PIN einzugeben. Sobald diese Daten beim Server des Angreifers eingetroffen sind, baut dieser eine Verbindung zum echten Bankserver auf.

Die bei einer Transaktion gestellte Frage nach einer bestimmten iTAN wird dann automatisch an das Opfer weitergeleitet. So erhält der Angreifer genau die von der Bank gewünschte iTAN und kann zum Beispiel eine Überweisung tätigen.

Bei korrekter Überprüfung der SSL-Verbindung sind sowohl das TAN als auch das iTAN-Verfahren sicher, betonen die Experten. Allerdings haben bisherige Phishing-Angriffe gezeigt, dass die Betroffenen den Schutzmechanismus SSL schlichtweg ignorieren oder ihn einfach nicht verstehen. Das iTAN-Verfahren könne kein Ersatz für SSL sein, sondern dieses Verfahren nur ergänzen.

Die Bochumer Arbeitsgruppe hat das iTAN-Verfahren mit einem nicht spezialisierten Programmierer binnen eines Tages überwunden.