eTAN nennt sich das neue System, mit dem die GE Money Bank (Link 1) in Deutschland seine Kunden besser vor Phishing-Attacken schützen will.
eTAN ist ein kleines elektronisches Kontrollgerät, dass die bisherigen Transaktionsnummern (TAN (Link 2)) ersetzen soll. Während der Kunde bisher eine Liste mit Transaktionsnummern hatte, die er einmalig vergeben konnte, werden über eTAN (Link 3) die Transaktionsnummern in Echtzeit immer wieder neu generiert. Der Kunde gibt dabei wie gewohnt die Daten bei einer Online-Transaktion ein. Während der Eingabe generiert die Internet-Seite der Bank eine Kontrollnummer, die der Kunde in seine eTAN-Box eingibt. Die eTAN-Box erstellt darauf eine Antwort-Nummer, mit der der Kunde die Transaktion durchführen kann.
Der Pressesprecher von der GE Money Bank gab bekannt, dass alle PC-Banking-Kunden der Bank mit sofortiger Wirkung auf eTAN umgestellt werden. Danach wird Online-Banking ohne eTAN nicht mehr möglich sein. Dem Kunden werden für die eTAN-Box einmalig 15,00 Euro in Rechnung gestellt. Alle übrigen Installations- und Folgekosten werden von der Bank getragen. Monatliche (nutzungsabhängige) Kosten sollen nicht entstehen.
Mit diesem neuen Verfahren sollen vor allem Phishing-Attacken wirkungslos werden. "Durch den elektronischen Dialog von eTAN und Internetseite und das dahinter stehende Sicherheitskonzept können Online-Transaktionen jetzt mit einem Höchstmaß an Sicherheit durchgeführt werden; die Sicherheit unserer Kunden beim Online-Banking hat für uns oberste Priorität. Wir sind sicher, dass die Einführung der neuen Technologie im deutschen Markt Maßstäbe setzen wird", hieß es von Bank-Chef Bobert Law bei der Präsentation.
So genannte Phishing-Mails ("Fishing" ausgesprochen) täuschen eine seriöse Herkunft vor --meist von Banken, Kreditkarteninstituten, Online-Auktionshäusern- und Bezahldiensten -- und fordern den Empfänger zur Eingabe persönlicher Daten, Passwörter, Kreditkartennummern und PIN-Codes auf. Dazu wird der Anwender entweder auf eine präparierte Webseite geleitet oder ein entsprechendes HTML-Formular in der Mail nimmt die Daten auf.
Zur Tarnung bedienen sich die Betrüger unter anderem diverser Schwachstellen in Browsern, etwa dem URL-Spoofing oder speziellen JavaScripten. Die eingegebenen Daten landen dann natürlich nicht bei der Bank, sondern bei Kriminellen, die mit den Informationen auf Kosten des Opfers einkaufen gehen.
|
