Online-Banking-Risiko: Trojaner und mTAN-Betrugsmasche

Mal wieder ein paar Hiobsbotschaften für Nutzer von Online-Banking. Die Telekom bestätigt eine Betrugsserie beim Online-Banking und ESET weist darauf hin, dass Cyberangriffe auf Banken und ihre Kunden zunehmen.

Telekom bestätigt erfolgreichen Angriff auf mTAN

Gestern erschien der Artikel Betrugsserie beim Online-Banking in der Süddeutsche Zeitung. In einer mittleren zweistelligen Fallzahl ist es Tätern gelungen, das mTAN-Verfahren auszuhebeln und meist fünfstellige Beträge abzubuchen. Der geschätzte Schaden beträgt mehr als 1 Million Euro. Laut ComputerWoche bestätigte die Telekom diesen Bericht – bei einem Postbank-Kunden wurden alleine mehr als 30.000 Euro abgebucht.

Betroffen sind Kunden mit Handyverträgen bei der Telekom, die das mTAN-Verfahren verwenden. Dabei wird eine TAN auf das Mobilgerät geschickt und zur Freigabe der Transaktion im Browser genutzt.


(Beispiel eines Phishing-Formulars, nicht im aktuellen Fall verwendet)

Laut dem Bericht der Süddeutsche Zeitung haben die Betrüger die Angriffsmethode verfeinert und konnten so die Sicherheitsmaßnahmen der Branche umgehen. Zuerst wurde der Computer des Kunden, der zum Online-Banking verwendet wird, kompromittiert, um die Zugangsdaten zum Online-Konto sowie die Mobilfunknummer abzugreifen. Mit den Daten gaben sich die Täter gegenüber der Telekom als Mitarbeiter eines Mobilfunk-Shops aus und meldeten den Verlust der SIM-Karte zu dieser Nummer. Anschließend ließen Sie von der Telekom eine Ersatz-Karte aktivieren. Damit konnten dann Transaktionen auf dem Bankkonto mittels mTAN durchgeführt werden.

Nun hat die Telekom die Maßnahmen “zur Händleridentifikation” verschärft. Ich frage mich jetzt, was man sich vorher bei der Aktivierung auf Zuruf gedacht hatte? Dass mTAN unsicher ist, hatte ich drüben im Blog für die Zielgruppe 50Plus im Artikel Online-Banking: mTAN und Banking-Apps unsicher thematisiert. Ein paar Infos finden sich auch hier bei heise.de. Auch bei Golem weist man hier darauf hin, dass SMS-TANs als unsicher beschrieben sind. Zumindest beim Postbank-Kunden, schreibt die Süddeutsche Zeitung, will die Bank den Schaden regulieren.

ESET: Virtuelle Bankräuber und ihre Türöffner

Der Anbieter von Sicherheitssoftware, ESET, macht in einem Artikel “Virtuelle Bankräuber und ihre Türöffner: So  machen Banking-Trojaner den Weg frei für Kontoplünderungen” darauf aufmerksam, dass Angriffe auf Banken und ihre Kunden zunehmen. Die Täter nutzen, wie in obigem Fall, oft Kombination mehrerer Instrumente.

Banking-Trojaner, einmal auf den Rechner des Opfers gelangt, können erhebliche Schäden anrichten und Online Banking zu einem Hochrisiko-Unternehmen machen. Laut ESET greifen Banking-Trojaner auf verschiedene Helfershelfer wie entsprechende Downloader oder Webinject-Dateien zurück, um ins jeweilige System vordringen zu können.

Cybercrime-as-a-Service

Mithilfe von Webinjects manipulieren Cyberkriminelle Webseiten so geschickt, dass dies der Nutzer beim Ansurfen der Seite nicht bemerkt. Webinjects sind inzwischen zu regelrechten Standardprodukten auf dem Cybercrime-Markt geworden, die für immer kleineres Geld zu haben sind. Diese Entwicklung macht den Weg frei für anpassungsfähigere Versionen mit immer neuen Varianten – ein weiterer Schritt in Richtung „Cybercrime-as-a-Service“.

Waski: Gefahr tarnt sich als PDF-Datei

Ein augenblicklich sehr aktiver Schädling ist Waski. Hierbei handelt es sich um ein Schadprogramm, das den Download eines Banking-Trojaners auf dem System des Opfers erst ermöglicht. Waski wurde Ende 2013 erstmals entdeckt und von ESET als Win32/TrojanDownloader.Waski erkannt. Er ist seither auch in Deutschland aufgetaucht.

Die Spezialität von Waski ist das Herunterladen von Trojanern wie Dyre (oder Win32/Battil). Hierfür schleust er sich über Social Engineering oder Phishing ins System ein, wobei er sich als PDF-Datei einschließlich des Adobe-Symbols tarnt – jedoch mit der verräterischen exe-Endung. Beim Öffnen bestätigt Waski die IP-Adresse des betroffenen Rechners und erstellt eine einmalige ID-Nummer, die an den Command&Control Server (CRC) der Hintermänner gesendet wird. Die heruntergeladene Schadfunktion, auch Payload genannt, erscheint in Gestalt einer weiteren PDF-Datei, die den Banking-Trojaner enthält. Dyre kann dann Zugangsdaten von Online Banking-Webseiten anzapfen, die über die gängigen Browser aufgerufen werden.

Attacken weltweit

Im südamerikanischen Raum, vor allem in Brasilien, verbreiten sich derartige Programme derzeit rapide – aus gutem Grund, denn dort ist Online Banking noch gebräuchlicher als in Europa. Insbesondere CPL-Malware (steht für Schädlinge, die sich als CPL-Dateien für die Systemsteuerung von Windows tarnen) richtet dabei große Schäden an, indem sie die Nutzer zum Herunterladen von Trojanern verleitet. Diese Schadsoftware kann dabei als Zwischending aus Social Engineering und Phishing E-Mail definiert werden.

Operation Buhtrap verunsichert Anwender

In Russland wiederum sorgt spezielle Malware im Rahmen der so genannten Operation Buhtrap für Verunsicherung bei den Anwendern. Mithilfe der Malware konnten vertrauliche Daten – etwa von Smartcards – ausspioniert und entwendet werden. Möglich wurde diese Aktion durch eine Sicherheitslücke in Word sowie den Einsatz gefälschter Mobilfunk-Rechnungen.

Mehr Informationen finden sich auf dem ESET Blog WeLiveSecurity – wahrlich keine beruhigenden Aussicht für Online-Banking. Oder wie seht ihr das?

Ähnliche Artikel:
Online-Banking: mTAN und Banking-Apps unsicher
Desaströse Sicherheitsinfos zum Wochenstart
Neue Android-Malware BadNews

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

7 Antworten zu Online-Banking-Risiko: Trojaner und mTAN-Betrugsmasche

  1. Dekre sagt:

    @danke lieber Herr Born,
    ich habe mich bei einer Bank mal so gesperrt gegen dieses mTAN-Verfahren. Wie gesagt, die Bank machte sich lustig und schrieb mir doch „Der Kunde nutzt sein Handy zum telefonieren“.
    Unabhängig davon kann ich nur – wie auch hier schon öfters geschrieben – auf beide Produkte von Malwarebytes verweisen. Hier sollte man das dann auch kaufen. Es lohnt sich.
    UND zusätzlich AdBlocker und sonstiges.
    UND auch mal AdwCleaner.
    (Ohne etwas neues aufzumachen – CCleaner wäre sinnig eingesetzt dann sinnig. Bitte aber nicht auf CCleaner antworten).
    Das wäre für den täglichen Gebrauch. Da ich bewusst kein Smartphone / iPhone habe, sollte man gerade dort auch alles sicher machen, sofern man es für was Wichtiges verwendet, nicht nur Banking.
    Ergänzung -Die Post ist für Rechnungen immer noch besser und es kostet auch nichts ergänzendes.
    Grüße

  2. Marc sagt:

    dem Kunden selbst ist ja kein Schaden entstanden, da die Banken dies übernehmen.
    Des weiteren ist die Haftung auf 150 Euro begrenzt, was manche Banken noch in den Bedingungen haben, aber in der Regel garnicht einfordern.

    Lt. BKA waren 2013 ca. 4100 Versuche, Passwörter abzufangen und einzusetzen, bei ca. 2,5 Milliarden Überweisungen. (Quelle:faz)

    Des weiteren hab ich eine Papierüberweisung schneller gefälscht.

    welches ist ua. eine sichere Methode: ein separater TAN-Generator.

    • Dekre sagt:

      Zum Papier, also klassische Überweisung- Konto kein Online-Banking. Eine Bank hat sich geweigert aus „Sicherheitsgründen“ eine Papierüberweisung auszuführen, weil es die Unterschrift bemängelte. Es wurde aber immer mit dieser Unterschrift unterschrieben. Die Bank versucht immer Schäden und Fehler auf andere abzuwälzen.

  3. Thomas Bauer sagt:

    Die Sparkasse hat mich schon vor 1 Jahr wegen SMS und „Man-in-the-Middle“ Attaken gewarnt. Bin damals auf einen TAN Generator umgestiegen. Sind zwar einmalig 10 Euro spart aber SMS TAN Kosten. Das gilt bislang noch als sicher.

  4. Wolfgang Tintemann sagt:

    Oh G oh G oh G !
    „Zuerst wurde der Computer des Kunden, der zum Online-Banking verwendet wird, kompromittiert“
    Aha !

    Warum wird nicht mal in einem Experiment vorgefuehrt wie das auf einem Testrechner funktioniert und dann als halbstuendiges Video im Netz gezeigt ?

    Dann koennte man sich die Cyberkriminalisierungs-Propaganda der „Experten“ der SZ doch schenken !

    Waere das alles so leicht moeglich waere das Online-Banking schon lange tot.

  5. Günter Born sagt:

    Nachtrag: Bei Spiegel Online gibt es einen ergänzenden Artikel mit einer Art FAQ für Betroffene:

    http://www.spiegel.de/wirtschaft/service/deutsche-telekom-betrug-beim-online-banking-die-wichtigsten-antworten-a-1058840.html

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert