[English]Sicherheitsforscher von IBM Trusteer haben eine groß angelegte Betrugskampagne offen gelegt. Die Hintermänner konnten mit Handy-Emulator-Farmen Millionenbeträge von Banken in den USA und der EU stehlen.
Das Mobile-Security-Forschungsteam von IBM Security Trusteer hat vor kurzem eine große Betrugsoperation im Bereich Mobile Banking aufgedeckt, die innerhalb weniger Tage bei jedem Angriff Millionen von Dollar von Finanzinstituten in Europa und den USA stehlen konnte, bevor sie abgefangen und gestoppt wurde. Ich bin unter anderem über den nachfolgenden Tweet auf diesen Blog-Beitrag der IBM Trusteer gestoßen.
Per Handy-Emulator-Farmen Konten geleert
Die Cyber-Kriminellen betrieben dazu Handy-Emulator-Farmen, wobei in die emulierten Geräte die Zugangsdaten von geknackten Bankkonten eingespeist wurden. Es wird angenommen, dass die Zugangsdaten durch Phishing oder Malware von den Geräten der Opfer erbeutet wurden.
Die IBM-Sicherheitforscher schreiben, dass dies das Werk einer professionellen und organisierten Bande war, die eine solche Infrastruktur von Mobilgeräte-Emulatoren nutzen kann, um Tausende von gefälschten Geräten einzurichten, die auf Tausende von kompromittierten Konten zugriffen.
Mithilfe von Automatisierung, Skripten und möglicherweise Zugriff auf ein mobiles Malware-Botnet oder Phishing-Protokolle leiten die Angreifer, die über den Benutzernamen und das Kennwort des Opfers verfügen, betrügerische Transaktionen in großem Umfang ein und schließen sie ab.
In diesem automatischen Prozess sind die Betrüger wahrscheinlich in der Lage, die Bewertung der Kontostände der kompromittierten Benutzer zu skripten. Ziel ist es, eine große Anzahl von betrügerischen Geldüberweisungen automatisiert abzuwickeln. Dabei achten die Betrüger darauf, diese Tansaktionen unter den Beträgen zu halten, die eine weitere Überprüfung durch die Bank auslösen.
Nie dagewesenes Ausmaß
Die Sicherheitsforscher schreiben, dass das Ausmaß dieser Operation eine noch nie dagewesenes Größe erreicht habe. In einigen Fällen seien über 20 Emulatoren für das Spoofing von weit über 16.000 kompromittierten Geräten verwendet worden. Die Angreifer nutzen diese Emulatoren, um wiederholt auf Tausende von Kundenkonten zuzugreifen und am Ende jeweils innerhalb weniger Tage Millionen von Dollar zu stehlen. Nach dem digitalen Raubzug schalten die Angreifer den Betrieb der Emulator-Farm ab, löschen Spuren und bereiten sich auf den nächsten Angriff vor. Die IBM-Sicherheitsforscher haben daher diesen Blog-Beitrag veröffentlicht, um vor den Gefahren zu warnen. Im Beitrag lassen sich weitere Details nachlesen.
Die Banken sollten mit dem Unsinn alles übers Smartphone machen zu wollen, aufhören.
Ich denke mal, die hier im Blog und auch anderweitig IT-Nachrichten lesen, machen das auch gar nicht aber die Masse… Ist wie mit Corona, mich trifft das nicht… Es wurde auch in Tageszeitungen vor dem unsicheren Banking auf Handy und Tablet gewarnt, gleichzeitg die Bankingapp einiger Kassen beworben.
Fatalistisch sage ich dann nur, wer nicht hören will, muss halt fühlen oder Schaden haben.
Für die Banken sofort machbar aber der Kunde wird maulen. Vermutlich auch nicht zu Unrecht. Ein älterer heise.de-Artikel hat den schönen Titel „Open Source: Europa ganz vorne, Sicherheit ganz hinten“. Es geht einfach nur um die Wirtschaftlichkeit.
„Sicherheitsforscher von IBM Trusteer haben eine groß angelegte Betrugskampagne offen gelebt.“
Ich vermute mal einen Schreibfehler. Es muss bestimmt „offen geleGt“ heißen.
nene, das stimmt schon .. die feiern immer noch :-)
„…Dabei achten die Betrüger darauf, diese Tansaktionen unter den Beträgen zu halten, die eine weitere Überprüfung durch die Bank auslösen…“
Exakt davor habe ich eine Regionalbank in der Schweiz vor ein paar Jahren gewarnt. Eine Grossbank in der Schweiz verwendet meines Wissens dieselbe E-Banking Software. Ich habe denen mitgeteilt, dass der Algorithmus zwar schön und gut ist, aber nicht immer anschlägt. Es wäre besser, wenn man bei Auslandzahlungen wählen könnte, dass man immer eine zusätzlich Authentifizierung haben wolle. Man hatte kein Interesse daran.
Evt. ist es momentan so, dass bei jeder Auslandzahlung an einen Empfänger, der das erste Mal eine Zahlung erhält, eine 2. Authenifizierung nötig ist. Das würde das Problem lösen.
Kleiner Sciherheitshinweis zum E-Banking:
Angenommen, es sind eine bestimmte Anzahl an Bankkonten vom Benutzer bei 1 Bank unter derselben Kundennummer/E-Banking-Vetrags-Nummer am laufen. Dann sollten nur bei maximal 2 Konten die Überweisungs-Möglichkeit aktiviert und bei allen anderen deaktiviert werden.
Beim Konto, bei welchem man am Bankautomaten Geld beziehen will, wird die Möglichkeit automatisch aktiviert, und kann nicht deaktiviert werden. Darüber sollte man keine Zahlungen tätigen und nur immer einen möglichst kleinen Betrag drauf haben, z.B. 200 Eier.
Beim Konto, von welchem man Zahlungen tätigt, die Möglichkeit des Bezugs am Autoamten deaktivieren, und gar kein Geld dort drauf haben. Dort wird das Geld immer erst draufgebucht, wenn eine Zahlung gemacht werden muss.
Bei allen anderen Konten sollten die Überweisungs-Möglichkeiten deaktiviert werden!!! Bei einem allfäligen Angriff können nur die 200 Eier vom Bancomaten-Konto überwiesen werden. Beim Zahlungs-Konto ist nichts drauf und von den anderen Konti müsste zuerst ein Übertrag auf das Zahlungskonto gemacht werden, damit dort Geld überwiesen werden kann. ist zwar möglich, aber schwerfällig für die Hacker.
Für Otto Normalkunde völlig unpraktisch! Ich mache das für meine Paypal-Buchungen ebenso (separates Quellkonto ohne Überziehungsmöglichkeit), und es ist ein „pain in the ass“. Ich muss jedes mal vor einer Zahlung schauen, ob was drauf ist, huch, nicht genug, also schnell buchen. Hoffentlich ist das schneller als das Abbuchen, sonst klappt das nicht und kostet!
Otto Normalkunde will das nicht! Und oben stand schon irgendwo „Wirtschaflichkeit“: x Mio mal App ist für eine Bank einfach billiger als alles andere, da kann man schon mal ein paar Millionen versicherte Gelder verlieren. Dem Kunden ist es relativ schnuppe, da er sein Geld sowieso wiederbekommt.
Was ich nicht ganz verstanden habe: ich habe immer 2FA bei Buchungen. Ist das hier ausgehebelt worden? Oder ist das eine Besonderheit (amerikanischer Konten) gewesen, bei der solche Abfragen unterdrückt wurden?
ich habe gerade vorhin 2 Zahlungen erfasst.
Dann den Totalbetrag der beiden Zahlungen vom Sparkonto aufs Zahlungskonto übertragen.
Insgesamt sind es also 3 Zahlungen.
Es ist überhaupt kein Problem, und ganz einfach. Und es bietet eine zusätzlich Sicherheit.
„…Ich muss jedes mal vor einer Zahlung schauen, ob was drauf ist, huch, nicht genug, also schnell buchen…“ Genau, oder Du hast einen fixen und nicht zu hohen Betrag drauf.
„…Dem Kunden ist es relativ schnuppe, da er sein Geld sowieso wiederbekommt…“ Wenn Dein Konto von jemandem übernommen wird, weil er deine Zugangs-Daten hat, wird dir die Bank bestimmt nichts ersetzen.