Online-Banking-Malware umgeht Zwei-Schritt-Authentifizierung

Cyberkriminelle stehlen einem kalifornischen Bauunternehmen 447.000 Dollar, indem sie ein Schadprogramm auf den Computer eines Buchhalters einschleusen. Die Malware fing im Zwei-Schritt-Verfahren erstellte einmalige Passwörter ab.

Moderne, auf Online-Banking ausgerichtete Malware kann laut einem Bericht von Technology Review aktuelle Zwei-Schritt-Verfahren zur Authentifizierung umgehen. Mittels einer sogenannten Crimeware soll es Cyberkriminellen nun gelungen sein, einem kalifornischen Bauunternehmen 447.000 Dollar zu stehlen.

Eine forensische Analyse habe ergeben, dass Hacker über eine manipulierte Website ein Schadprogramm auf einen Rechner des Bauunternehmens eingeschleust hätten, heißt es in dem Bericht. Während ein Buchhalter der Firma legitime Online-Überweisungen ausgestellt habe, habe die Malware 27 Transaktionen zu verschiedenen Bankkonten durchgeführt und in wenigen Minuten einen Betrag von fast 450.000 Dollar eingesammelt.

„Sie sind nicht nur in unser System eingedrungen, sie haben sogar die Limits für Überweisungen herausgefunden und vollständig ausgenutzt“, sagte Firmenchef Roy Ferrari. Die Authentifizierung der Zahlungen erfolgte über einmalig vergebene sechsstellige Passwörter, die ein elektronisches Gerät alle 30 oder 60 Sekunden neu generiert. Die Schadsoftware war in der Lage, diese Passwörter abzufangen und für eigene Überweisungen zu nutzen.

Einer Untersuchung von Trusteer zufolge ist auch eine aktuelle Antivirensoftware kein zuverlässiger Schutz vor Malware. Am Beispiel des Trojaners „Zeus“, der Daten für Online-Banking sammelt, hat das Sicherheitsunternehmen ermittelt, dass eine Schutzsoftware eine Infektion mit Zeus nur um 23 Prozent reduziert. Laut Trusteer war auf 55 Prozent aller mit Zeus infizierten Computer ein aktueller Virenschutz installiert.

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

3 Kommentare zu Online-Banking-Malware umgeht Zwei-Schritt-Authentifizierung

Kommentar hinzufügen
  • Am 24. September 2009 um 19:46 von Fritz

    Schadprogramme werden nicht eingeschleust, sondern runtergeladen
    Statt über die Schadsoftware selbst zu reden, sollte eher thematisiert werden, auf welche Weise es geschehen konnte, dass der Benutzer sie runterlud und installierte.

  • Am 24. September 2009 um 12:22 von Shardan

    Es wäre einfach….
    Jedes kennwort- und verschlüsselungsbasierte System ist knackbar. Die Frage nach dem "ob" stellt sich nicht, nur die Frage nach dem "Wann".

    Die Rechenleistung normaler PC’s steigt, mit der CUDA von NVidia lässt sich die Rechenleistung leicht noch verfielfachen. Diese Rechenleistungen waren vor kurzer Zeit, sagen wir mal 2 – 3 Jahren noch ein Traum. Wann hat Ihre Bank das letzte mal das Verfahren geändert?

    Dabei wäre es einfach, die Sicherheit ganz erheblich zu erhöhen.

    Onlineüberweisungen werden nicht mehr direkt ausgeführt, sondern nur bei der Bank abgespeichert. Aus dieser Speicherung wird eine Mail/SMS erstellt und dem Absender der Überweisung zugestellt. Erst nach Freigabe auf Grundlage dieser Mail/SMS wird die Überweisung getätigt.

    Man könnte die Mail noch signieren, macht es noch etwas schwieriger.

    In so einem Scenario müsste ein Hacker entweder die bei der Bank gespeicherte Üebrweisung nachträglich ändern, oder ein Trojaner müsste die zurückkommende Mail wiederum passend "fälschen". Bei einer signierten Mail zwar auch nicht unmöglich, aber da wird es schon sher aufwändig. bei einer SMS müsste ein hacker die passende SMS schicken udn die Meldung der bank unterdrücken – auch nicht so einfach.

    Es ginge schon eine Menge – es wird nur nicht getan.

    • Am 7. März 2010 um 11:43 von smsTAN

      AW: Es wäre einfach….
      Inzwischen werden sie von immer mehr Banken eingesetzt: chipTAN und smsTAN. In beiden Fällen ist die TAN auftragsbezogen. TAN und Auftragsdaten werden im TAN-Generator bzw. in der SMS angezeigt. Nun müssen die Daten "nur" noch kontrolliert werden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *