Die iTANs (indizierte TANs - wie von der Postbank jetzt eingeführt) sind auch nicht der Weisheit letzter Schluss gegen Phishing-Attacken. Der klassische Angriff wäre einfach beim Phishing den Benutzer auf eine eigene Site umzuleiten und dann parallel mit den Eingaben des Benutzers die Transaktion mit der Bank abzuwickeln - nur natürlich in anderer Form als dem Benutzer gezeigt wird. Statt einfach eine TAN abzufordern wird eben erst der Bankserver angesprochen und die von dort verlangte TAN dann vom Benutzer abgefordert. Mit dieser TAN kann dann problemlos eine Buchung vorgenommen werden wärend der Benutzer im vermeintlichen Sicherheitsupdate - oder was auch immer die Phishing-Attacke vorgegaukelt hat - verbringt.
Das RedTeam hat dazu ein Szenario zusammengestellt und mit den Banken gesprochen:
Laut Umfrage des RedTeams wurde das geschilderte Problem von den Banken zwar weitestgehend verstanden, allerdings nicht ganz ernst genommen. Man wolle an der Darstellung der sicheren iTANs weiterhin festhalten. Eine Bank argumentierte, dass der Angriff sehr schnell sein und innerhalb von sieben Minuten stattfinden müsse. Ein anderes Institut wolle erst dann von seinen Aussagen Abstand nehmen, wenn der erste Schadensfall bei einem Kunden eingetreten sei.
Die selbe arrogante Haltung die bei Banken schon immer gegen Missbrauch eingenommen wurde - anstell die Probleme selber anzugehen oder auch mal Sicherheitsprobleme aktiv zu beschreiben und so die Mündigkeit der Kunden ernstzunehmen wird abgewiegelt und gelogen. Und für so einen Mist müssen wir dann Buchungsgebühren bezahlen.
