Seit einigen Wochen bietet PayPal einen zusätzlichen Sicherheitsmechanismus in Form eines Sicherheitsschlüssels an, der als kleiner und kompakter Schlüsselanhänger bestellt werden kann. Das dahinter steckende Prinzip ist ebenso einfach, wie genial. Der Konto-Inhaber logt sich zunächst ganz normal mit seinem Benutzernamen – also der E-Mail-Adresse - und seinem Passwort ein. Im nächsten Schritt wird er gebeten, einen Knopf auf seinem Sicherheitsschlüssen zu drücken. Auf diesem wird dann für 30 Sekunden eine sechsstellige Zahl angezeigt, die er eingeben muss, um endgültig für diese Sitzung an sein PayPal-Account zu gelangen. Der Schlüssel verfällt nach 30 Sekunden. Mit anderen Worten, selbst wenn jemand mit einer Phishing-Mail erfolgreich Benutzernamen und Passwort klaut, kommt er ohne das kleine graue Plastik-Ei nicht an das PayPal-Konto heran.
Die Idee ist also sehr gut, denn es müsste einem Angreifer gelingen, dem Konto-Inhaber diesen Sicherheitsschlüssel zu stehlen. Doch ein Sicherheitssystem ist leider immer nur so gut, wie dessen Implementierung. Und hier hat PayPal leider ein Problem übersehen oder unterschätzt und führt dieses eigentlich geniale System selbst teilweise ad absurdum.
Hintertür steht weit offen!
Die Sicherheitslücke klafft in der Gestalt der Hintertür, über die der eigentliche Kontobesitzer an sein Konto heran kommt, wenn der Sicherheitsschlüssen abhanden kommt, daheim vergessen wurde oder durch eine leere (nicht austauschbare) Batterie oder einen Defekt unbrauchbar ist. Für diesen Fall muss ja ein Weg ermöglicht werden, dass der Konto-Inhaber auch ohne den Sicherheitsschlüssel noch an sein Konto gelangen kann. Leider ist diese Hintertür derart einfach gestaltet, dass auch jeder Betrüger darüber sehr leicht das Konto knacken könnte.
Nach der Eingabe von Benutzer-E-Mail und Passwort kommt die Abfrage des Sicherheitscodes. Hier muss der Angreifer nur auf den Link „Ich habe keinen Zugriff auf meinen Sicherheitsschlüssel“ klicken. Damit klopft er sozusagen an die Hintertür!
In der nächsten Frage will PayPal wissen, ob der Schlüssel nur momentan nicht zur Verfügung steht (liegt zu Hause, etc.) oder ob er verloren wurde oder defekt ist. Unser Angreifer klickt nun die erste Auswahl an und behauptet, nur temporär keinen Zugriff zu haben.
Im nun folgenden Schritt wird er gefragt, ob er über die Angabe seines Bankkontos oder über die Beantwortung seiner Sicherheitsfrage seine Identität als angeblich berechtigter Kunde nachweisen möchte. Die Sicherheitsfrage wird er nicht kennen. Aber die Kontonummer ist nicht all zu schwer zu ermitteln. Er muss ja nur eine Auktion des Opfers zum Schein kaufen und nachschauen, ob in der Abwicklung alternativ zu PayPal auch die Zahlung per Überweisung angeboten wird, denn dabei werden in der Regel ja auch die Kontodaten wie die Kontonummer und die Bankleitzahl angezeigt. Und mancher Händler auf eBay hat seine Kontodaten sogar offen in der Artikelbeschreibung stehen! Mit anderen Worten es kostet mit unter kaum Mühe, diese hier abgefragten Kontodaten zu recherchieren! Er wählt hier also aus, dass er das Bankkonto angeben möchte.
Hat der echte Nutzer des PayPal-Accounts mehrere Konten hinterlegt, wird es unserem Anwender leider noch leichter gemacht, denn PayPal bietet ihm eine Dropdownliste mit dem Banknamen und den letzten beiden Ziffern des Kontos zur Auswahl. Er braucht diese Informationen nur mit seinen recherchierten Daten abzugleichen um zu sehen, ob er die richtige Kontonummer ermittelt hat. In dem Eingabefeld darunter trägt er jetzt die vollständige Kontonummer ein, klickt auf Senden ….
… und ist drin! In dem Informationsfenster wird ihm noch erklärt, wie er die Nutzung des Sicherheitsschlüssels vollständig deaktivieren kann. Ein Angreifer wird das selbstverständlich sofort tun und auch das normale Passwort abändern. Schon ist der PayPal-Account erfolgreich gekidnapt und der tatsächliche Besitzer ausgesperrt. Der Angreifer kann jetzt das Konto plündern und weiteren missbrauch damit betreiben.
Fazit:
Mit dieser Hintertür führt PayPal seinen eigentlich sehr sinnvollen und guten Schutzmechanismus leider teilweise ad absurdum! Denn man muss kein Genie sein, sondern nur etwas recherchieren, um die Informationen zu bekommen, die man braucht, um über diese Hintertür in das Konto einzudringen. Natürlich muss ein Angreifer vorher dennoch über eine Phishing-Attacke oder anderweitig die als Benutzername verwendete E-Mail und das Passwort in die Finger bekommen. Aber wenn er diese Daten hat, ist dank dieser Hintertür der kleine graue Sicherheitsschlüssel kein zuverlässiger Abwehrmechanismus gegen den unberechtigten Zugriff auf den Account!
Was kann man tun?
Das wichtigste ist, dass man für seine PayPal-Zugangsdaten unbedingt das „Zahnbürstenprinzip“ anwendet! Was bedeutet das? Ganz einfach, man sollte mit seinem Benutzernamen und vor allem dem Passwort das gleiche machen, wie mit der Zahnbürste: Häufig benutzen, nirgendwo offen herum liegen lassen und vor allem mit niemand anderem teilen und regelmäßig wechseln! Wechseln Sie also in regelmäßigen Abständen das Passwort Ihres PayPal-Accounts und natürlich auch andere Zugänge beispielsweise zu eBay! Nutzen Sie immer Passworte, die nicht leicht zu erraten sind. Tabu sind Postleitzahlen, Geburtstage, der Name von Familienangehörigen oder Haustieren sowie leicht erratbare „echte“ Wörter. Am besten ist eine „wilde“ Kombination aus Zahlen, Buchstaben und Sonderzeichen. Passworte sollten weder auf Zetteln z.B. im Portemonai stehen oder auf Computern gespeichert werden, auch wenn diese Funktion angeboten wird! Und benutzen Sie verschiedene Passworte beispielsweise für eBay und PayPal und nicht das gleiche für mehrere Dienste!
eBay kann es besser!
Übrigens. eBay benutzt ebenfalls den PayPal-Sicherheitsschlüssel, denn Sie können diesen nicht nur für PayPal, sondern zusätzlich auch für Ihr eBay-Konto nutzen. Hier aber gibt es diese Sicherheitslücke nicht. Denn wenn man hier den kleinen Code-Generator nicht bei sich hat oder er defekt ist, dann werden nicht online leicht recherchierbare Informationen abgefragt. Stattdessen erfolgt ein Anruf auf einer Telefonnummer, die man im Account hinterlegen muss. In diesem Anruf bekommt man eine einmalige PIN mitgeteilt, mit der man die Eingabe des Sicherheitscodes ein einziges mal umgehen kann! Mehr dazu hier: http://pages.ebay.de/help/confidence/account-protection-security-key.html Nun stellt sich die berechtigte Frage, warum PayPal es nicht genau so macht, schließlich ist der Zahlungsdienstleister eine 100%-Tochter von eBay!
Eine vergleichbare Handymethode wird übrigens auch zunehmend von Banken für das TAN-System benutzt. Für einen Kontobewegungsvorgang (Online-Überweisung, etc.) bekommt man keine Liste mit Transaktionsnummern (TAN) mehr, sondern es wird vom System eine einmalige TAN per SMS an das Handy des Kontoinhabers gesendet, die zudem nach einer gewissen Zahl von Minuten verfällt. Wurde diese also nicht eingegeben, ist sie nach kurzer Zeit nutzlos.
Loading ...
Juni 24th, 2007 at 12:36
[…] 16. Mai berichtete Shop-und-Service unter dem Titel „REPORTAGE: PayPal-Sicherheitsschlüssel hat eine Sicherheitslücke!“ über die Tatsache, dass die Kenntnis der Bankkonto-Daten genügt, um den genialen […]