Online-Banking: Betrüger verwischen neuerdings – fast – alle Spuren
Sicherheitsexperten sind einem groß angelegten Angriff auf Online-Banking-Kunden auf die Spur gekommen. Das Besondere an dieser Attacke: Den Kriminellen gelingt es, sehr viele Spuren ihrer Abzockerei zu verwischen – und ihre Opfer damit in Probleme zu bringen.
Betroffen sind – zumindest derzeit – vor allem Kunden von österreichischen und schweizer Banken. Der von Forschern des japanischen IT-Sicherheitsanbieters Trend Micro nun aufgedeckter Angriff umgeht eine häufig genutzte Form der Zwei-Faktor-Authentifizierung und hebelt den Schutz durch Sitzungs-Token aus, die per SMS an die mobilen Endgeräte der Bankkunden gesendet werden. „Hinter dem Angriff stecken aller Wahrscheinlichkeit nach Cyberkriminelle, die in einem russischsprachigen Land leben“, so das Unternehmen.
Im konkreten Fall beginnt der Angriff mit einer E-Mail, die vermeintlich von einem bekannten Online-Versandhändler oder einem weit verbreiteten Konsumgüterunternehmen stammt. Sobald Nutzer die Datei im E-Mail-Anhang öffnen, wird eine zweite Datei („netupdater.exe“) heruntergeladen und ausgeführt, die den Rechner infiziert.
Die Malware nimmt drei Änderungen vor:
- Sie ändert die DNS-Servereinstellungen (DNS = Domain Name System) des Systems und verweist auf einen Server, der unter der Kontrolle der Angreifer steht – ab diesem Punkt können die Angreifer steuern, wie das infizierte System Namen von Internet-Domains auflöst.
- Sie installiert ein neues SSL-Zertifikat einer Root-Certificate-Authority (SSL = Secure Sockets Layer) – hierdurch können die Angreifer Inhalte von SSL-verschlüsselten Phishing-Websites anzeigen, ohne eine Browser-Warnung auszulösen. SSL-Verschlüsselung wird vor allem mit dem https-Übertragungsprotokoll eingesetzt.
- Sie löscht sich selbst, ohne Spuren zu hinterlassen – dies erschwert es Anwendern, die Infektion nach der Installation zu entdecken. Die eigentliche Infektion ist nicht die Malware, sondern lediglich eine Konfigurationsänderung im System. Wenn der Infektionsversuch nicht sofort entdeckt wurde, wird bei darauf folgenden Malware-Suchen keine Bedrohung erkannt, da die Datei dann nicht mehr vorhanden ist.
Anwender, deren Rechner infiziert wurden, werden fortan bei jedem Versuch, Online-Banking zu betreiben, auf einen Phishing-Server umgeleitet und landen auf einer gefälschten Seite. Weil diese Kommunikation über eine sichere https-Verbindung erfolgt, können Anwender nicht erkennen, dass sie nicht mit ihrer Bank kommunizieren: Da auf dem System ein gefälschtes Zertifikat installiert ist, wird ihnen keine Browser-Warnung angezeigt.
Sobald die Anwender Benutzername, Konto- und PIN-Nummer eingeben, werden sie aufgefordert, eine App auf ihrem Smartphone zu installieren. Angeblich ist ohne die App in Zukunft kein Online-Banking mehr möglich. Diese bösartige Android-App gibt vor, ein Session-Token-Generator der Bank zu sein – in Wirklichkeit dient sie dazu, die SMS-Nachrichten der Bank abzufangen und sie an einen Befehls- und Kontroll-Server (C&C-Server) weiterzuleiten. Die Angreifer erhalten über die Phishing-Website sowohl die Anmeldeinformationen der Anwender zum Online-Banking als auch die für das Online-Banking nötigen Session-Token. Nun haben sie die volle Kontrolle über das Bankkonto der Anwender und können in deren Namen Online-Transaktionen ausführen.
Wie viele Opfer die Masche bereits gefordert hat, ist nicht bekannt. Immerhin leisten sich die Täter einen Fehler, an dem misstrauische Nutzer die Abzocke erkennen könnten: Die Anweisungen, denen die Opfer folgen sollen, seien, so Trend Micro, in „teilweise sehr umständlichen Deutsch“ geschrieben.