Unsicheres Onlinebanking: Wie Banking-Malware die Kontostände manipuliert

Durchschnittlich 4000–5000 Euro erbeuten Kriminelle pro Onlinebanking-Angriff, vermutlich sogar weit mehr. Sie kapern dabei sowohl den PC als auch das Handy. Denn dort greifen sie die nötigen mTAN-Informationen ab. Die abgefeimtesten Trojaner laden nach Belieben passgenaue „Banken-Webseiten“ nach.

Trojaner reizen den Dispo aus

Von Uli Ries

Onlinebanking lohnt sich. Genauer gesagt: Fremder Leute Bankkonten übers Internet abzuräumen, lohnt sich. 16,4 Mio. Euro Schaden richteten Online-Kriminelle 2013 in Deutschland auf diese Weise an. Die Summe klingt zunächst zwar gar nicht so beeindruckend, wenn man sie mit anderen Cybercrime-Schadzahlen vergleicht. Aber: Man muss sie mit dem Faktor elf multiplizieren, wie das Bundeskriminalamt in seinem nach wie vor aktuellen Bundeslagebild 2013 „Cybercrime“ schreibt. Und schon stehen 180 Mio. Euro auf der Rechnung. Denn einer amtlichen Schätzung nach werden weniger als 10 % der Fälle überhaupt angezeigt – und was nicht auf dem Tisch der Strafverfolger landet, landet auch in keiner Statistik.

Bankenverband-Umfrage.png
Tendenz steigend: Deutsche Bürger schätzen Onlinebanking zunehmen als sicher ein – die Vorsicht sinkt entsprechend. (Bild: Bankenverband)

Bedrohlicher klingt da schon eine andere Angabe aus dem Bericht: Im Schnitt erbeuten Kriminelle 4000 Euro pro Onlinebanking-Angriff, das LKA Bayern spricht sogar von 5000 Euro. Für viele der Opfer dürften diese Summen nicht leicht zu verkraften sein. Exakte Angaben zur Zahl der erfolgreichen Attacken und der jeweiligen Schadenshöhe gibt es aber nur bei den betroffenen Banken. Typischerweise sind diese aber nicht eben auskunftsfreudig. Sie hätten zwar präzises Datenmaterial, wollen aber das Konzept Onlinebanking nicht in Verruf bringen. Kein Wunder, wickeln die elektronischen Systeme doch täglich millionenfach legale, von allen Beteiligten erwünschte Transaktionen ab.

Acht Mann machen eine Million

Wie schnell unerwünschte Transaktionen ein beträchtliches Volumen erreichen, war im Herbst 2014 vor dem Landgericht Osnabrück zu bestaunen: Eine Bande aus acht Kriminellen soll in der zweiten Jahreshälfte 2013 gut 1 Mio. Euro von Konten bei der Postbank geholt haben. Neben dem Geldinstitut ist allen Opfern gemeinsam, dass sie zum Onlinebanking das als vermeintlich sicher geltende Verfahren SMS-TAN (mTAN) nutzten und mindestens 50.000 Euro auf Giro- oder Festgeldkonten hatten.

Ans Geld kamen die Kriminellen sehr wahrscheinlich durch einen Mix aus Technik und Social Engineering: Sie griffen zuerst per Banking-Trojaner auf die PCs der Opfer zu, um die Kontostände abzufragen. Infiziert wurden die Rechner zuvor von Unbekannten, die den Zugang dann an die acht in Deutschland ansässigen Digitaldiebe weitergaben. Mittels der vom Trojaner gelieferten Informationen konnten sich die Kriminellen anschließend Dual-SIM-Karten der Karten ihrer Opfer zuschicken lassen. Damit fingen sie dann die TANs ab. Mit diesen konnten sie dann die vom Trojaner auf dem PC ausgelösten Überweisungen freischalten.

MittelstandsWiki 16.jpg

Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserem Magazin zur CeBIT 2015. Einen Über­blick mit freien Down­load-Links zu sämt­lichen Einzel­heften bekommen Sie online im Presse­zentrum des MittelstandsWiki.

Täuschend echte Banking-Malware

Unter allen Schädlingen gehören Banking-Trojaner zu den leistungsfähigsten und damit auch zu den teuersten Angeboten auf den Untergrundmarktplätzen. Für Kronos z.B. verlangen dessen Macher rund 7000 US$, für Carberp wurden 2010 bis zu 15.000 US$ aufgerufen – wobei es inzwischen kaum noch reinrassige Banking-Trojaner gibt. Die meisten der auf digitalen Bankraub spezialisierten Schädlinge bringen noch weitere Schadkomponenten mit, quasi als Kollateralschaden.

Serie: Banking-Trojaner
Teil 1 sagt, warum sich Onlinebanking für Cyberkriminelle lohnt: Es ist gar nicht so schwer, Überweisungen von fremden Konten freizuschalten. Teil 2 schildert, wie sich die Banking-Trojaner einschleichen und warum Money Mules so schwer zu finden sind. Ein Sonderbeitrag erklärt genauer, wie die Gangster per Dual-SIM-Karte die SMS mit der mTAN abfischen.

Eines eint die Bankräuber, egal, ob Urvater ZeuS oder moderne Varianten wie Qadars, Torpig oder Citadel: Die Trojaner lassen sich durch Erweiterungen, sogenannte Web Injects, an beliebige Bankenwebseiten anpassen. Die Injects funktionieren mit allen gängigen Browsern: Google Chrome, Microsoft Internet Explorer, Mozilla Firefox oder Opera. Daher hat diese Art Angriff auch die Bezeichnung „Man in the Browser“ (MitB). Daher kennen sie auch das exakte Layout der Bankenseite inklusive Cascading Style Sheets. Ein weiterer Vorteil des Einklinkens in den Browser: Die für die Kommunikation mit dem Bankserver verwendete Transportverschlüsselung (SSL/TLS) ist wirkungslos. Die Injects modifizieren die Daten vor oder nach deren Entschlüsselung durch den Browser.

Laut Candid Wüest, Malware-Fachmann bei Symantec, fanden sich in einem weitverbreiteten Banking-Trojaner Anpassungen für die Seiten von 44 deutschen Banken, darunter zahlreiche regionale Banken ebenso wie z.B. die Apotheker- und Ärztebank. In mehr als der Hälfte aller von Symantec untersuchten Banking-Schädlinge finden sich in deren Konfigurationsdateien Hinweise auf eine bestimmte deutsche Bank – bei der es sich aller Wahrscheinlichkeit nach um die Postbank handelt. Bestätigen wollte Wüest dies jedoch nicht.

Web Injects laden Schadextras nach

Indem sie sich an einzelne Bankenseiten anpassen, können die Web Injects z.B. ein zusätzliches Eingabefeld auf der Login-Seite zum Online-Konto platzieren. Dort müssen die Opfer ihre Mobiltelefonnummer eingeben, damit die Kriminellen einen Link zum Download eine „Sicherheitssoftware“ schicken können. Diese Software ist natürlich keine Sicherheitssoftware der Bank, sondern eine mobile Trojaner-Komponente wie ZitMo (Zeus in the Mobile).

Webinject eset.png
Malware-Commerce: Web Injects für Banking-Schädlinge werden in Untergrundforen als Baukästen für Kriminelle verkauft. (Bild: Eset)

Injects sind so populär, dass sie in den Untergrundforen inzwischen als eigene Baukästen verkauft werden, mit denen die Kriminellen fertige Code-Schnipsel für ihre diversen Trojaner erzeugen. (Die bekanntesten Inject-Baukästen heißen ATSEngine und Injeria.)

Die komplexeren unter den Web Injects können erheblich mehr als die Installation von weiteren Komponenten einleiten: Sie können ganz ohne Zutun des Opfers Überweisungen in dessen Namen ausführen. Die dazu notwendigen Login-Daten hat der Trojaner zuvor mitgeschnitten. Falls auch das Smartphone infiziert ist, läuft die ganze Überweisung sogar vollautomatisch ab.

Mit welch ausgefeilten Tricks die Cybergangster den Bankkunden Sand in die Augen streuen, schildert Teil 2 dieser Serie.
Uli-Ries.jpg

Uli Ries ist freier Journalist und Autor mit abgeschlossene journalistischer Ausbildung und langjähriger Erfahrung (u.a. bei CHIP, PC Professionell und www.notebookjournal.de). Seine Spezialgebiete sind Mobilität, IT-Sicherheit und Kommunikation – zu diesen Themen tritt er immer wieder auch als Moderator und Fachreferent auf.


Kontakt via Xing

Nützliche Links