Dienstag, 22. Juli 2014

“Operation Emmental“: Wie E-Banking gefährlich werden kann

Zwar haben die Banken verschiedenste Methoden entwickelt, um Cyberkriminellen den Online-Zugriff auf die Konten ihrer Kunden zu verwehren. Doch ein von Forschern des japanischen IT-Sicherheitsanbieters Trend Micro nun aufgedeckter Angriff mit dem harmlosen Namen “Operation Emmental“ hebelt diesen Schutz aus. Hinter dem Angriff stecken wahrscheinlich nach Kriminelle, die in einem russischsprachigen Land leben. Betroffen sind Bankkunden in der Schweiz und in Österreich. Trend Micro hat die betroffenen Banken und Unternehmen über den Angriff informiert.

Operation Emmental: Kein Käse, sondern eine Bedrohung für viele Online-Banking-
Kunden in der Schweiz.                                                                                  Trend Micro
Die Palette der Schutzmechanismen beim Online-Banking reicht von simplen Passwörtern über PIN- und TAN-Nummern bis hin zu Sitzungs-Token, die per SMS an die Mobilgeräte gesendet werden, so dass Anwender ihre Identität authentifizieren und die Banking-Sitzungen aktivieren können. Da die Token über einen separaten Kanal gesendet werden, wird diese Methode der Zwei-Faktor-Authentifizierung allgemein als sehr sicher angesehen. Dies machten sich die Cyberkriminellen zunutze und umgingen den Schutz auf komplexe Art und Weise: Der Angriff beginnt mit einer E-Mail, die vermeintlich von einem bekannten Online-Versandhändler oder einem ebenfalls weit verbreiteten Konsumgüterunternehmen stammt. Sobald die Datei im E-Mail-Anhang geöffnet wird, lädt sich eine zweite Datei („netupdater.exe“) herunter, die ausgeführt wird und den Rechner infiziert.
Zitat aus der Mitteilung von trendmicro.ch:
“Die Malware nimmt drei Änderungen vor:
Sie ändert die DNS-Servereinstellungen  des Systems und verweist auf einen Server, der unter der Kontrolle der Angreifer steht – ab diesem Punkt können die Angreifer steuern, wie das infizierte System Namen von Internet-Domains auflöst.Sie installiert ein neues SSL-Zertifikat einer Root-Certificate-Authority (SSL = Secure Sockets Layer) – hierdurch können die Angreifer Inhalte von SSL-verschlüsselten Phishing-Websites anzeigen, ohne eine Browser-Warnung auszulösen. SSL-Verschlüsselung wird vor allem mit dem https-Übertragungsprotokoll eingesetzt.Sie löscht sich selbst, ohne Spuren zu hinterlassen – dies erschwert es Anwendern, die Infektion nach der Installation zu entdecken. Die eigentliche Infektion ist nicht die Malware, sondern lediglich eine Konfigurationsänderung im System. Wenn der Infektionsversuch nicht sofort entdeckt wurde, wird bei darauf folgenden Malware-Suchen keine Bedrohung erkannt, da die Datei dann nicht mehr vorhanden ist.“
Anwender, deren Rechner infiziert wurden, werden bei jedem Versuch, Online-Banking zu betreiben, auf einen Phishing-Server umgeleitet und landen auf einer gefälschten Seite. Sobald die Anwender Benutzername, Konto- und PIN-Nummer eingeben, werden sie aufgefordert, eine App auf ihrem Smartphone zu installieren. Angeblich ist ohne diese App in Zukunft kein Online-Banking mehr möglich. Diese bösartige Android-App gibt vor, ein Session-Token-Generator der Bank zu sein – in Wirklichkeit dient sie dazu, die SMS-Nachrichten der Bank abzufangen und sie an einen Befehls- und Kontroll-Server weiterzuleiten. Die Angreifer erhalten über die Phishing-Website sowohl die Anmeldeinformationen der Anwender zum Online-Banking als auch die für das Online-Banking nötigen Session-Token. Nun haben sie die volle Kontrolle über das Bankkonto der Anwender und können in deren Namen Online-Transaktionen ausführen.
Der ausführliche Bericht zu "Operation Emmental“ kann hier heruntergeladen werden (Name und E-Mail-Adresse erforderlich.

PS: Es hilft nicht, wenn in der Berichterstattung über derartige Bedrohungen unzulässig verkürzt und vereinfacht wird. Ein Beispiel bietet die Handelszeitung in ihrem Bericht zum Thema:
“Der Bankkunde öffnet eine Spam-Mail, diese manipuliert den Rechner. Das Programm löscht sich nach erfolgreicher Infektion selbst…“

Das stimmt so nicht. Geöffnet werden muss eine Datei, die einem E-Mail angehängt ist. Wer keine unerwarteten und unbekannten Anhänge öffnet, wird auch nicht infiziert. 


1 Kommentar:

  1. Jedem Nutzer sollte klar sein, dass hier keine absolute Sicherheit geboten werden kann. Wer E-Banking also nutzt, muss damit rechnen, dass Häcker an die Daten kommen.

    AntwortenLöschen