Verschlüsselung: schützt nicht vor Online-Klau (Foto: Antje Delater, pixelio.de)

Hallbergmoos (pte016/22.07.2014/13:59) –

Mobile Transaktionsnummern (mTANs) für das Online-Banking sind nicht so
sicher, wie Finanzinstitute gern behaupten. Das zeigt ein komplexer
Angriff, den der Sicherheitsspezialist Trend Micro http://trendmicro.de entdeckt hat. Die "Operation Emmental" manipuliert den PC von Usern und
ist dort kaum nachweisbar, dann jubelt sie Opfern auch noch eine
schädliche App unter. Die Cybercrime-Kampagne hat Nutzer von insgesamt
34 Bank-Webseiten ins Visier genommen, darunter 16 schweizerische sowie
sechs österreichische. Bei manchen davon werden noch nicht einmal mTANs,
sondern gar nur per SMS verschickte Einmalpasswörter ausgehebelt.

"Uns hat erstaunt, dass es gerade in der Schweiz Banken
gibt, die so einfache Verfahren nutzen", meint Rainer Link, Senior
Threat Researcher bei Trend Micro, im Gespräch mit pressetext. Freilich
macht es für die Operation Emmental keinen wirklichen Unterschied. Denn
ist der Angriff erfolgreich, könnten die Hintermänner praktisch nach
belieben SMS abfangen – beispielsweise auch, wenn für jede Überweisung
eine eigene mTAN nötig ist. Wichtig ist nur, Nutzer dazu zu bekommen,
erst auf ihrem PC und dann auf dem Android-Smartphone die nötige Malware
laufen zu lassen. Auf dem Computer ist die Manipulation danach kaum
nachzuweisen.

Täuschend echte Phishing-Server

Der Angriff beginnt klassisch mit einer E-Mail, die
vielfach von einem bekannten Online-Händler zu stammen scheint. Sie
fordert den Nutzer auf, einen Anhang zu öffnen und eine Datei
auszuführen. Geschieht das, folgt der Download eines angeblichen
Windows-Update-Tools. Stimmt der User dem zu, manipuliert die Malware
die DNS-Einstellungen seines Systems. Dadurch können die Angreifer
bestimmen, wie der Rechner Web-Adressen auflöst. Zudem installiert der
Schädling ein SSL-Zertifikat, dank dem sich ein Server der Kriminellen
unbemerkt als der einer Bank ausgeben kann. Die eigentliche Malware
löscht sich dann, denn ihre Arbeit ist getan. Dadurch ist eine Infektion
allenfalls durch die verbleibenden Manipulationen und somit schwer
erkennbar.

Die zweite Phase des Angriffs beginnt, wenn der Nutzer
versucht, beispielsweise durch direkte Eingabe der URL eine der
betroffenen Bank-Webseiten zu erreichen. Durch die Manipulationen an
seinem PC landet er auf einem Phishing-Server, den er von der echten,
auch SSL-verschlüsselten Bank-Webseite nicht unterscheiden kann.
Versucht der Nutzer sich einzuloggen, kennen die Angreifer seine
Zugangsdaten. Zudem wird er angeblich aus Sicherheitsgründen zum
Download einer Android-App angehalten. IT-Profis mögen da stutzig
werden, doch auf sie zielt der Angriff nicht unbedingt ab. "Ein
Durchschnitts-User denkt, er sei bei seiner Hausbank, und glaubt daher
leicht, das ist wirklich ein neues Sicherheitsfeature", meint Link. Lädt
er die App, haben die Cyberkriminellen gewonnen.

Volle mTAN-Kontrolle

Die App gaukelt dem User zwar weiter vor, durch
Bereitstellen angeblicher Einmalpasswörter, die auf der Phishing-Seite
auch funktionieren, für Sicherheit zu sorgen. Im Hintergrund allerdings
gibt sie den Angreifern die volle Kontrolle über SMS, die die Bank
selbst verschickt. "Diese SMS werden unterdrückt, an Server der
Angreifer weitergeleitet und gelöscht", erklärt Link. Somit kommen die
Kriminellen nach den Zugangsdaten für den Online-Banking-Account auch an
Sitzungstokens oder mTANs. Damit können sie Transaktionen durchführen,
die das Opfer wohl erst auf dem nächsten Kontoauszug bemerkt.

Unerfreulich für Betroffene ist, dass die
Manipulationen am PC ebenso schwer zu erkennen wie zu beheben sind.
Außer der Aufforderung zum Download der schädlichen App beim
Online-Banking gibt es keine für Durchschnitts-User erkennbaren Zeichen.
Eine automatische Reparatur der veränderten DNS-Einstellungen ist nicht
möglich, da dazu die regulären Werte bekannt sein müssten. Auch von
Hand ist die Reparatur schwierig, da selbst Profis oft nicht auf Anhieb
wissen, welche DNS-Server sie standardmäßig nutzen. Die App auf dem
Smartphone wirklich loszuwerden, scheint da deutlich leichter. Denn hier
sollten Antiviren-Lösungen Abhilfe schaffen.