Trend Micro warnt vor neuem Online-Banking-Angriff

Die auf den Namen "Operation Emmental" getaufte Attacke erfolgt in mehreren Phasen und kann eine gängige Form der Zwei-Faktor-Authentifizierung aushebeln. Bisher zielte sie auf Bankkunden aus Österreich und der Schweiz. Die Hintermänner stammen vermutlich aus Russland.

Sicherheitsexperten von Trend Micro haben eine neue Angriffsmethode von Cyberkriminellen entdeckt, die eine beim Online-Banking gängige Form der Zwei-Faktor-Authentifizierung aushebelt. Hinter den von Trend Micro „Operation Emmental“ getauften Attacken stecken wahrscheinlich russische Muttersprachler. Bisher trafen sie ausschließlich Bankkunden aus Österreich und der Schweiz, doch auch bei vielen deutschen Banken könnten die Kriminellen damit Erfolg haben.

Operation Emmental zielt auf Kunden von Banken, deren Schutzmechanismen Sitzungs-Token vorsehen, die per SMS an die Kunden gesendet werden. Üblicherweise wird diese Methode als recht sicher erachtet: Da die Token über einen separaten Kanal (per SMS) übermittelt werden, müsste ein Angreifer nicht nur den Rechner, sondern auch das Mobiltelefon des Opfers kompromittieren oder in Händen halten.

Operation Emmental (Bild: Trend Micro)

Also mussten sich die russischen Hintermänner von Operation Emmental einen raffinierteren Weg ausdenken. Ihr Angriff beginnt daher mit einer E-Mail, die vermeintlich von einem bekannten Online-Versandhändler oder einem Konsumgüterunternehmen stammt, mit dem ebenfalls viele Verbraucher etwas anfangen können. Öffnet der Empfänger die Datei im E-Mail-Anhang, wird eine zweite Datei namens netupdater.exe heruntergeladen und ausgeführt, die den Rechner infiziert.

Das ist dann schon die halbe Miete, denn die Malware nimmt drei Änderungen vor: Zuerst ändert sie die DNS-Servereinstellungen und verweist dann auf einen Server, den die Angreifer kontrollieren. Sie können somit steuern, wie das infizierte System Namen von Internet-Domains auflöst. Dann installiert netupdater.exe ein neues SSL-Zertifikat einer Root-Certificate-Authority. So können die Angreifer Inhalte ihrer Phishing-Websites SSL-verschlüsselt anzeigen, ohne dass die Anwender unter Umständen durch eine Browser-Warnung stutzig werden. Drittens löscht sich die Malware im Anschluss selbst, ohne Spuren zu hinterlassen. Wird der Angriff also nicht bereits beim Infektionsversuch erkannt, ist eine spätere Suche nach Malware oder ein routinemäßiger Scan nicht mehr erfolgreich, da nur Konfigurationsänderungen zurückbleiben – und die sind durch die von privaten Nutzern verwendete Sicherheitssoftware in der Regel nicht als Gefahr zu erkennen.

„Bei ‚Operation Emmental‘ handelt es sich um einen komplexen Angriff mit mehreren Komponenten und einer umfangreichen Infrastruktur. Dass sich der markanteste Teil des Angriffs – die PC-Malware – selbst löscht, ohne Spuren zu hinterlassen, half den Angreifern vermutlich, sich relativ bedeckt zu halten“, so Martin Rösler, Leiter des Bedrohungsforscherteams bei Trend Micro, in einer Pressemitteilung.

Ruft ein Anwender mit einem infizierten Rechner anschließend eine Online-Banking-Site auf, wird er vom manipulierten DNS-Server auf einen Phishing-Server mit einer gefälschten Seite umgeleitet. Nachdem die Anwender Benutzername, Konto- und PIN-Nummer eingegeben haben, werden sie aufgefordert, eine App auf ihrem Smartphone zu installieren, ohne die in Zukunft kein Online-Banking mehr möglich sei.

Die Android-App ist angeblich ein Session-Token-Generator der Bank, dient aber tatsächlich dazu, SMS-Nachrichten der Bank abzufangen und sie an die Angreifer weiterzuleiten. Da die Kriminellen über die Phishing-Website sowohl die Anmeldeinformationen zum Online-Banking als auch die für das Online-Banking nötigen Session-Token erhalten haben, können sie nun über das Bankkonto im Namen dessen Inhabers Online-Transaktionen ausführen.

„Anders als bei mTAN-Verfahren, bei denen für jede Transaktion eine einzelne TAN-Nummer angefordert wird, können die Cyberkriminellen mithilfe des Sitzungs-Token unbemerkt mehrere Transaktionen während einer Sitzung ausführen. Sie können die Online-Banking-Sitzung selbst starten, während die Anwender davon erst beim aufmerksamen Durchlesen ihrer Kontoauszüge erfahren“, erläutert Rainer Link, einer der Autoren des Berichts zur Operation Emmental, die Gefahr.

Der Forschungsbericht von Trend Micro zeigt, dass zwar auch bei diesem Angriff wieder eine aktive Mithilfe der Opfer erforderlich ist (indem sie die E-Mail öffnen und später die Android App installieren müssen), die Methoden der Angreifer, Nutzer dazu zu bewegen, aber lange nicht mehr so ungeschickt und plump sind wie früher. Damit nimmt auch die Gefahr für Anwender zu, die sich aufgrund ihrer Kenntnisse bisher in Sicherheit wähnten. Auch sie sollten künftig noch aufmerksamer sein.

[mit Material von Peter Marwan, ITespresso.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

7 Kommentare zu Trend Micro warnt vor neuem Online-Banking-Angriff

Kommentar hinzufügen
  • Am 24. Juli 2014 um 1:27 von Van der Waals

    Was sind denn Token?

  • Am 24. Juli 2014 um 8:47 von Herr eaple

    Tja da sieht man es mal wieder: Android.
    Brauche ich mehr zu sagen – ich glaube nicht.

    Schönen Tag noch

    • Am 24. Juli 2014 um 17:18 von Mr. Dexter

      Ich hoffe sie verschonen uns mit weiteren Aussagen dieser Art …

      Nein, sie solltn dazu nichts mehr sagen …

  • Am 24. Juli 2014 um 12:37 von Exe?

    was war exe nochmal für ein Dateityp? Achso, windows…

  • Am 24. Juli 2014 um 13:29 von Moby

    Viren gibt es schon lange, wer irgendwelche Mailanhänge öffnet und dann auch noch als Admin mit seinem System unterwegs ist, dem ist nicht zu helfen. Die neue Gefahr sind APPS, die jeder freiwillig ohne nachzudenken installiert und die Millionen von dumpfen Smartphone Usern noch sehr viel Geld kosten werden….

  • Am 24. Juli 2014 um 14:47 von punisher

    Wer apps und Programme von unbekannten Quellen installiert ist selbst schuld. Standardmäßig ist das nicht umsonst ausgeschaltet.

    Ja „exe?“, Windows genießt mit seiner Verbreitung halt etwas mehr Aufmerksamkeit als Linux und andere Betriebssysteme

  • Am 24. Juli 2014 um 15:49 von Harry

    Was hindert eigentlich die deutschen Provider daran, solchen offensichtlichen Datenmüll schon beim Transfer auf deutsche Server herauszufiltern? Btw. Linux und Android sind erst einmal, sofern ausschließlich genutzt eine relativ sichere Alternative.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *