Geknacktes Onlinebanking, Teil 1: Wie Gangster online Firmenkonten abräumen

Die spektakulären Banküberfälle per Geldautomat sind nur das jüngste Beispiel. Schadsoftware wie Citadel oder SpyEye hat es längst gezielt aufs Onlinebanking abgesehen. Selbst das SMS-TAN-Verfahren bietet keinen Schutz. Den Kampf gegen die Hintermänner soll daher ein Team israelischer Exsoldaten aufnehmen.

Auf dem Firmenkonto fehlen 100.000 Euro

Von Uli Ries

Einstiegspreis: 1500 US$. So viel müssen angehende Online-Kriminelle für Citadel ausgeben. Citadel ist die derzeit wohl perfideste und leistungsfähigste Schadsoftware zum Abzocken von Onlinebanking-Nutzern. Der Schädling ist nach wie vor quasi frei verkäuflich: Seine Macher preisen den digitalen Dieb in Untergrundforen an.

Neben der Basisvariante wurden auch Erweiterungsmodule verkauft, z.B. ein Tool zum Entfernen anderer Banking-Trojaner vom PC des Opfers (100 US$) oder ein Modul zum Aufzeichnen von Tastatureingaben in Banking-Software oder auf Online-Pokerwebseiten (100 US$). Wer das komplette Paket (VIP Extreme Edition) inklusive aller Erweiterungen will, muss 3000 US$ dafür bezahlen.

Operation High Roller

Das ist nicht viel Geld angesichts der zu erwartenden Beute: Laut einer Untersuchung, die im Jahr 2012 von den Antivirenspezialisten von McAfee zusammen mit dem Sicherheitsunternehmen Guardian Analytics umgesetzt wurde, wollte ein einzelner Ring von Online-Betrügern 60 Mio. Euro von den Bankkonten seiner Opfer per Schadsoftware abzweigen. Einzelne Überweisungen betrugen bis zu 100.000 Euro, allein 1 Mio. sollte von knapp 170 deutschen Konten stammen.

Die von den Forschern „Operation High Roller“ (so werden in Spielcasinos die Spieler bezeichnet, die sehr hohe Summen setzen) getaufte Untersuchung brachte zu Tage, dass theoretisch bis zu 2 Mrd. Euro in den Zugriff der Gauner bzw. deren Schadsoftware hätten gelangen können. Wie hoch der tatsächliche Schaden ist, vermochten die Unternehmen nicht zu sagen.

MittelstandsWiki 12.jpg

Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserem Magazin zur CeBIT. Einen Gesamtüberblick mit freien Download-Links zu sämtlichen PDF-Einzelheften gibt es online im Pressezentrum des MittelstandsWiki.

Dass die Schäden beträchtlich sind, ist jedoch unbestritten: „Jeden Tag sehe ich, wie Kriminelle sich um hunderttausende Euro, Dollar oder Pfund bereichern“, sagt beispielsweise Allesa Koll. Sie arbeitet beim IT-Sicherheitsunternehmen RSA und durchforstet Tag für Tag die Niederungen des Internets und ist in Kontakt mit Online-Betrügern.

Online undercover

Koll arbeitet in einem modern verglasten Bürogebäude im Zentrum der israelischen Stadt Herzlia. Niemand sieht dem Gebäude von außen an, dass in einem der Büros rund um die Uhr insgesamt 130 zumeist unter 30-Jährige im Schichtdienst die Niederungen des Internets durchforsten: Über 170 Untergrundforen, in denen alles gehandelt wird, von Schadsoftware über Waffen bis hin zu verschreibungspflichtigen Medikamenten; Chat-Kanäle, in denen zwielichtige Händler geklaute Kreditkartendaten in Hunderter- oder Tausenderpaketen feilbieten; Phishing-Webseiten, die den Originalen so täuschend ähnlich sehen, dass selbst gut informierte Zeitgenossen fatalerweise ihre Anmeldedaten dort eingeben – und sie damit sofort dem Cyber-Untergrund übereignen.

So gut wie alle der leger gekleideten jungen Männer und Frauen – T-Shirts mit schrägen Sprüchen und Nerd-Motiven liegen hoch im Kurs – sind ehemalige Soldaten der israelischen Armee. Daniel Cohen weiß, was er an den zumeist beim militärischen Sicherheitsdienst ausgebildeten Spürhunden hat: „Beim Umgang und vor allem beim Austausch mit Kriminellen ist Menschenkenntnis unabdingbar“, sagt der Leiter des eigens für das Aufspüren der Online-Kriminellen geschaffenen Anti Fraud Command Centers (AFCC).

Söldner gegen Trojaner

Betrieben wird das 15 km nördlich von Tel Aviv angesiedelte AFCC vom Sicherheitsspezialisten RSA. Herzstück ist ein rund um die Uhr bemannter Kontrollraum, in dem auch bei Betrieb konzentrierte Ruhe herrscht. Die knapp 25 Arbeitsplätze haben allesamt freien Blick auf die vier riesigen Bildschirme an der vorderen Wand. Sie zeigen in Echtzeit alle momentan beobachteten Angriffe auf die AFCC-Kunden im Überblick – inklusive Herkunftsland und Internet-Provider, von dessen Netz die Attacke ausgeht.

Die RSA-Fachleute gehen im Auftrag der großen Namen der internationalen Finanzwelt undercover in den Untergrund: Barclays, Charles Schwab, HSBC, ING, Mastercard, Visa sind einige der Kunden. Obwohl ihre Logos gut sichtbar die Eingangstür zum AFCC zieren, wollen sich die RSA-Kunden nicht dazu äußern, warum man ein privates Unternehmen mit Aufgaben betraut, die üblicherweise von Strafverfolgungsbehörden erledigt werden. Auch das Bundeskriminalamt will keinen Kommentar abgeben.

Die digitalen Feinde der Banken sind zumeist Trojaner wie Citadel oder SpyEye. Letzterer ist einer von Microsoft veröffentlichten Statistik zufolge die in Deutschland am weitesten verbreitete Schadsoftware: Ende 2011 waren mehr als 20 % aller von Malware bereinigten PCs mit SpyEye verseucht.

SpyEye.jpg
Der Onlinebanking-Trojaner SpyEye wird bequem mit einem Builder-Programm konfiguriert und scharf gemacht. (Bild: Uli Ries)

Was erfährt der Kunde?

Die Schädlinge greifen auf den Maschinen alles ab, was sich im Untergrund später eventuell zu Geld machen lässt. Auf den düsteren Cybermarktplätzen sind die Gauner aber nicht unter sich – sondern stets unter Beobachtung, z.B. durch das AFCC.

Allesa Koll betont, dass die privaten Spürhunde die Kriminellen nicht anstiften: „Wir zahlen niemals für Konto- oder Kreditkartendaten. Die Informationen, die wir zum Sperren der Konten und Karten an die Banken weitergeben, stammen sämtlich aus Testlieferungen. Die Betrüger schicken sie uns, um die Qualität ihrer geklauten Datenbestände zu untermauern“, sagt die ehemalige Polizistin.

Serie: Geknacktes Onlinebanking
Teil 1 geht auf den Markt für Banking-Trojaner und startet die „Operation High Roller“ – das Anti Fraud Command Center holt zum Gegenschlag aus. Teil 2 erklärt, wie Citadel, ZeuS und SpyEye vorgehen und warum selbst die Zwei-Faktor-Athentifizierung nicht sicher ist.

Mehr als eine Million Kreditkartennummern will das AFCC bislang aufgespürt haben. Es obliegt nach Alarmierung durch das AFCC dann der jeweiligen Bank, den betroffenen Kunden darüber zu informieren, dass sein PC wahrscheinlich mit der gefährlichen Schadsoftware verseucht ist.

Wie die Cybergangster bei ihren Raubzügen vorgehen, erläutert Teil 2 dieser Serie.
Uli-Ries.jpg

Uli Ries ist freier Journalist und Autor mit abgeschlossene journalistischer Ausbildung und langjähriger Erfahrung (u.a. bei CHIP, PC Professionell und www.notebookjournal.de). Seine Spezialgebiete sind Mobilität, IT-Sicherheit und Kommunikation – zu diesen Themen tritt er immer wieder auch als Moderator und Fachreferent auf.


Kontakt via Xing

Nützliche Links