Zwar haben die Banken verschiedenste
Methoden entwickelt, um Cyberkriminellen den Online-Zugriff auf die Konten
ihrer Kunden zu verwehren. Doch ein von Forschern des japanischen IT-Sicherheitsanbieters
Trend Micro nun aufgedeckter Angriff mit dem harmlosen Namen “Operation
Emmental“ hebelt diesen Schutz aus. Hinter dem Angriff stecken wahrscheinlich
nach Kriminelle, die in einem russischsprachigen Land leben. Betroffen sind
Bankkunden in der Schweiz und in Österreich. Trend Micro hat die betroffenen
Banken und Unternehmen über den Angriff informiert.
Operation Emmental: Kein Käse, sondern eine Bedrohung für viele Online-Banking- Kunden in der Schweiz. Trend Micro |
Die Palette der Schutzmechanismen beim
Online-Banking reicht von simplen Passwörtern über PIN- und TAN-Nummern bis hin
zu Sitzungs-Token, die per SMS an die Mobilgeräte gesendet werden, so dass
Anwender ihre Identität authentifizieren und die Banking-Sitzungen aktivieren
können. Da die Token über einen separaten Kanal gesendet werden, wird diese
Methode der Zwei-Faktor-Authentifizierung allgemein als sehr sicher angesehen. Dies machten sich die Cyberkriminellen
zunutze und umgingen den Schutz auf komplexe Art und Weise: Der Angriff beginnt
mit einer E-Mail, die vermeintlich von einem bekannten Online-Versandhändler
oder einem ebenfalls weit verbreiteten Konsumgüterunternehmen stammt. Sobald
die Datei im E-Mail-Anhang geöffnet wird, lädt sich eine zweite Datei
(„netupdater.exe“) herunter, die ausgeführt wird und den Rechner infiziert.
Zitat aus der Mitteilung von trendmicro.ch:
“Die Malware nimmt drei Änderungen vor:
Sie ändert die DNS-Servereinstellungen des Systems und verweist auf einen Server, der unter der Kontrolle der Angreifer steht – ab diesem Punkt können die Angreifer steuern, wie das infizierte System Namen von Internet-Domains auflöst.Sie installiert ein neues SSL-Zertifikat einer Root-Certificate-Authority (SSL = Secure Sockets Layer) – hierdurch können die Angreifer Inhalte von SSL-verschlüsselten Phishing-Websites anzeigen, ohne eine Browser-Warnung auszulösen. SSL-Verschlüsselung wird vor allem mit dem https-Übertragungsprotokoll eingesetzt.Sie löscht sich selbst, ohne Spuren zu hinterlassen – dies erschwert es Anwendern, die Infektion nach der Installation zu entdecken. Die eigentliche Infektion ist nicht die Malware, sondern lediglich eine Konfigurationsänderung im System. Wenn der Infektionsversuch nicht sofort entdeckt wurde, wird bei darauf folgenden Malware-Suchen keine Bedrohung erkannt, da die Datei dann nicht mehr vorhanden ist.“
Anwender, deren Rechner infiziert wurden,
werden bei jedem Versuch, Online-Banking zu betreiben, auf einen
Phishing-Server umgeleitet und landen auf einer gefälschten Seite. Sobald die Anwender Benutzername, Konto-
und PIN-Nummer eingeben, werden sie aufgefordert, eine App auf ihrem Smartphone
zu installieren. Angeblich ist ohne diese App in Zukunft kein Online-Banking mehr
möglich. Diese bösartige Android-App gibt vor, ein Session-Token-Generator der
Bank zu sein – in Wirklichkeit dient sie dazu, die SMS-Nachrichten der Bank
abzufangen und sie an einen Befehls- und Kontroll-Server weiterzuleiten. Die Angreifer erhalten über die Phishing-Website sowohl die
Anmeldeinformationen der Anwender zum Online-Banking als auch die für das
Online-Banking nötigen Session-Token. Nun haben sie die volle Kontrolle über
das Bankkonto der Anwender und können in deren Namen Online-Transaktionen
ausführen.
Der ausführliche Bericht zu "Operation
Emmental“ kann hier heruntergeladen werden (Name und E-Mail-Adresse erforderlich.
PS: Es hilft nicht, wenn in der
Berichterstattung über derartige Bedrohungen unzulässig verkürzt und vereinfacht
wird. Ein Beispiel bietet die Handelszeitung in ihrem Bericht zum Thema:
“Der Bankkunde öffnet eine Spam-Mail, diese
manipuliert den Rechner. Das Programm löscht sich nach erfolgreicher Infektion
selbst…“
Das stimmt so nicht. Geöffnet werden muss
eine Datei, die einem E-Mail angehängt ist. Wer keine unerwarteten und unbekannten
Anhänge öffnet, wird auch nicht infiziert.
Jedem Nutzer sollte klar sein, dass hier keine absolute Sicherheit geboten werden kann. Wer E-Banking also nutzt, muss damit rechnen, dass Häcker an die Daten kommen.
AntwortenLöschen