Firmenkonten im Fadenkreuz
Von Uli Ries
Allein die Funktion zum Absaugen von Daten würde Citadel und seine Vorgänger ZeuS und SpyEye noch nicht so gefährlich machen. Das Besondere an der Crimeware-Familie – Urahn ist ZeuS, auf dessen Programmcodebasis dann später SpyEye und zuletzt Citadel entstanden – sind die speziellen Angriffsfunktionen auf Onlinebanking-Systeme weltweit.
Der Schädling bringt eine Sammlung sogenannter Webinjects mit. Dies sind auf die Website der jeweiligen Bank abgestimmte Module, die das Layout der Bankenseiten kennen und daher an der exakt passenden Stelle sowie in der korrekten Schriftart und -größe Hinweise oder neue Formularfelder einblenden können.
Teil 1 geht auf den Markt für Banking-Trojaner und startet die „Operation High Roller“ – das Anti Fraud Command Center holt zum Gegenschlag aus. Teil 2 erklärt, wie Citadel, ZeuS und SpyEye vorgehen und warum selbst die Zwei-Faktor-Athentifizierung nicht sicher ist.
Wie gut die Schädlinge inzwischen sind, lässt sich an der für die Operation High Roller verwendeten, angepassten Versionen der Onlinebanking-Trojaner ZeuS und SpyEye erläutern. Insgesamt wollen McAfee und Guardian Analytics über 420 bis dahin unentdeckte Varianten der Schadsoftware entdeckt haben. Infiziert wurden die Rechner der Opfer – in diesem Fall durchgängig Mitarbeiter in Unternehmen, da die Angriffe nur gut gefüllte Firmenkonten ins Visier nahmen – durch bösartig modifizierte Webseiten. Auf diese wurden die PC-Nutzer mittels Spear Phishing gelockt.
Nur für Sie persönlich
Beim Spear Phishing wird die Nachricht ganz gezielt nur an eine geringe Zahl von Empfängern oder sogar nur an eine einzige E-Mail-Adresse geschickt. Durch vorherige Recherche wissen die Betrüger, welche E-Mail-Inhalte der Empfänger als glaubwürdig einstuft und damit auf den in der Nachricht enthaltenen Link klickt. Spear Phishing bleibt in aller Regel selbst von Dienstleistern wie dem Anti Fraud Command Center unbemerkt, da die einzeln versandten E-Mails kein Aufsehen im Web erregen.
Meldet sich das Opfer mit dem verseuchten System zum ersten Mal bei der Onlinebanking-Website an, kundschaftet die High-Roller-Malware den Kontostand aus. Möglich ist dies, da sich Schädlinge wie SpyEye als Komponenten in den Browser einklinken und so sämtlichen Datenverkehr vom und zum Server der Bank mitlesen und auch verändern können. Die übliche Verschlüsselung durch SSL (Secure Sockets Layer) wird dabei ausgehebelt, da der sogenannte „Man in the Browser“ auf die vom Browser entschlüsselten Daten zugreifen kann.
RSA macht im Auftrag zahlreicher Kunden aus dem Finanzgewerbe Jagd auf Online-Betrüger (Bild: Uli Ries)
Der Mann im Browser
Erst bei der darauffolgenden Anmeldung durch den Banking-Anwender greift der Schädling dann ein und überweist einen zuvor von den Gaunern festgelegten Prozentsatz des auf dem Konto verfügbaren Betrags auf das Konto eines sogenannten Money Mules. Dies sind zumeist nichts ahnende, zuvor per Spam-Kampagne angeworbene Privatmenschen, deren Konten den wahren Empfänger der entwendeten Summen verschleiern sollen.
Um die betrügerische Abbuchung im Onlinebanking-System vor dem Opfer zu verbergen, manipuliert der Man in the Browser die Transaktionsliste und verbirgt seine Überweisung. Eventuell auf der Seite vorhandene Links, mit denen sich den Raubzug entlarvende Kontoauszüge ausdrucken lassen, werden ebenfalls ausgeblendet.
Zwei-Faktor-Athentifizierung ausgehebelt
Von den Erkenntnissen der Operation High Roller erregt wohl am meisten Besorgnis, dass es den Gaunern mithilfe der Schädlinge gelungen ist, auch Zwei-Faktor-Authentifizierungen zu umgehen. Dieses Sicherheitsverfahren fußt auf etwas, was der Nutzer kennt (Passwort, PIN-Code, TAN-Code) und etwas, was er besitzt (damit sind z.B. Smartcards und die dazu gehörigen Lesegeräte gemeint). Ob auch das in Deutschland gängige HBCI-Verfahren (Home Banking Computer Interface) von der High-Roller-Malware ausgehebelt wurde, ist nicht bekannt.
Schon seit Längerem beobachtet wurden hingegen (erfolgreiche) Angriffe auf SMS-TAN (mTAN) durch SpyEye und Konsorten. Auch hier beginnt alles mit der Infektion des Windows-PCs des Onlinebanking-Nutzers. Der Man in the Browser schleust per Webinject in die Webseite der Bank dann eine Meldung ein, dass z.B. neue Sicherheitszertifikate auf dem Smartphone des Kunden notwendig werden.
Diese vermeintlich die Sicherheit erhöhenden Zertifikate müssen vom Anwender entweder selbst über den entsprechenden Link installiert werden oder kommen per MMS aufs Smartphone. Die eigene Handynummer gibt das Opfer in das vom Schädling in die Bankenseite eingeschleuste Feld ein.
Natürlich handelt es sich beim Download nicht um Zertifikate, sondern um eine weiteres Stück Malware. Einmal auf dem Smartphone installiert (Android, Windows Mobile, Symbian, Blackberry; iPhone-Varianten sind derzeit nicht bekannt), leitet der Schädling von der Bank stammende TAN-Codes an die Hintermänner weiter. Diese können dann die vom PC aus eingeleitete Überweisung mit Hilfe des echten, geklauten Codes auf eigene Konten umleiten.
Im Fall von High Roller war es offenbar noch nicht einmal mehr notwendig, dass die Gauner selbst vor dem PC saßen und quasi live im Hintergrund die Überweisungsdetails wie Betrag und Empfänger steuerten: Die Schadsoftware manipulierte die Anmeldeseite der Onlinebanking-Systeme so, dass die Opfer bereits an dieser Stelle alle notwendigen Daten an die Systeme der Betrüger übermitteln – inklusive des Einlegens einer eventuell notwendigen Smartcard. All das passiert vollkommen automatisch und ohne manuellen Eingriff durch die Kriminellen. Ihre Serversysteme – mehr als 60 verschiedene solcher Server entdeckte McAfee – kommunizieren mit den infizierten PCs und verzögern z.B. die Aktionen der Anwender entsprechend, um selbst im Hintergrund mithilfe der geklauten Codes Überweisungen auszuführen.
Schäden in Milliardenhöhe
Damit es gar nicht erst soweit kommt, dass potenzielle Opfer auf Phishing-Links klicken, durchforsten die 25-jährige Allesa Koll und ihre alten Kollegen das Web. Sie sagt: „Die Kreativität der Betrüger beim Abzocken ihrer Opfer ist faszinierend. Der Handel mit geklauten Login-Daten für Onlinebanking-Zugänge oder Kredikarteninformationen blüht.“
Daniel Cohen von RSA leitet das AFCC-Team, das Bankkunden vor Online-Dieben schützen soll. (Bild: Uli Ries)
Insgesamt will das Center allein in den ersten zehn Monaten des Jahres 2012 Schäden in Höhe von über 2,6 Mrd. US$ abgewendet haben. Diese Zahlen sind laut Daniel Cohen Hochrechnungen, da die Banken auch ihm keinen Einblick in die tatsächlich entstandenen Schäden gewähren. Die Kalkulation basiert u.a. auf der Anzahl unterbundener Phishing-Attacken – die international anerkannte Anti-Phishing Working Group (APWG) schätzt die pro Stunde und Kampagne entstandenen finanziellen Schäden auf 300 US$ –, auf abgefangenen Überweisungen oder den Verfügungsrahmen der aufgespürten Kreditkarten.
Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserem Magazin zur CeBIT. Einen Gesamtüberblick mit freien Download-Links zu sämtlichen PDF-Einzelheften gibt es online im Pressezentrum des MittelstandsWiki.
Man spricht russisch
Koll spricht mehrere Sprachen, wie alle ihre Kollegen. Auch einen deutschsprachigen Cyberjäger trifft man im AFCC. So kann das Center die gängigen internationalen Schwarzmärkte überwachen und reibungslos mit den Kriminellen kommunizieren. „Ich habe mir eine maskuline Sprache angewöhnt, um mit den Betrügern im Netz zu sprechen“, sagt die junge Frau, die während ihrer Militärzeit im Polizeidienst stand.
Koll weiter: „Russische Abzocker sind nicht nur cleverer beim Erdenken von Betrugsmaschen als Betrüger aus anderen Staaten. Sie stehen auch eher zu ihrem Wort als z.B. afrikanische Online-Kriminelle. Wenn mein Alter Ego auf einem Untergrundmarktplatz undercover mit einem Russen eine Testlieferung vereinbart hat, dann löst er sein Versprechen auch ein. Nigerianer z.B. prahlen oft, können aber kaum liefern. Sie wollen andere Betrüger übers Ohr hauen.“ Ein gewagtes Spiel, da laut RSA-Mann Cohen zumindest in Russland das organisierte Verbrechen hinter großen Teilen der illegalen Online-Deals steckt.
Der Banking-Trojaner Citadel infiziert keine russischen PCs – vermutlich wollen die Macher keinen Ärger mit den dortigen Strafverfolgern. (Bild: Uli Ries)
Fazit: Sicherheitshalber ungeschoren
Eine Extravaganz der russischen und ukrainischen Kriminellen: Sie schädigen Opfer weltweit – nur nicht in der Heimat. „Auf diese Art fliegen die Betrüger zumindest bislang unter dem Radar der heimischen Strafverfolger. Sie verlassen sich darauf, dass ausländische Polizisten und Staatsanwälte mit ihren Ersuchen gar nicht soweit kommen, Ermittlungen in Russland anzustoßen,“ sagt Daniel Cohen.
Die Vorsichtsmaßnahmen gehen so weit, dass sich Citadel gar nicht auf PCs mit russischer oder ukrainischer Tastaturbelegung installiert. So wollen die Betrüger einem Feind entgehen, vor dem selbst sie Respekt haben: den russischen Sicherheitsbehörden.
Uli Ries ist freier Journalist und Autor mit abgeschlossene journalistischer Ausbildung und langjähriger Erfahrung (u.a. bei CHIP, PC Professionell und www.notebookjournal.de). Seine Spezialgebiete sind Mobilität, IT-Sicherheit und Kommunikation – zu diesen Themen tritt er immer wieder auch als Moderator und Fachreferent auf.
Kontakt via Xing