Der AV-Hersteller McAfee hat nach eigenen Angaben zusammen mit dem Sicherheitsunternehmen Guardian Analytics einen Ring von Online-Banking-Betrügern entdeckt, die es gezielt auf prall gefüllte Firmenkonten abgesehen hatten. Laut dem Bericht (http://www.mcafee.com/us/resources/reports/rp-operation-high-roller.pdf) (PDF-Datei) der beiden Unternehmen sollen die Täter so versucht haben, mindestens 60 Millionen Euro zur erbeuten, davon rund 1 Million von deutschen Bankkunden. In den Niederlanden sollen sie sogar 35 Millionen Euro ins Visier genommen haben. Über den tatsächlich entstandenen Schaden machen die Unternehmen keine Angaben.
Darüber hinaus waren die Betrüger im Rahmen der von McAfee "Operation High Roller" getauften Aktion auch in Italien, Lateinamerika und Nordamerika aktiv. Einzelne Überweisungen beliefen sich auf bis zu 100.000 Euro – eine Transaktion, die auf einem Firmenkonto nicht unbedingt auffällt. Die Abzocker sollen auch Konten angezapft haben, die durch eine Zwei-Faktor-Authentifizierung geschützt sind.
Laut McAfee nutzten die Täter für ihren Coup stark angepasste Versionen der allseits bekannten Online-Banking-Trojaner ZeuS und SpyEye. Insgesamt hat das Unternehmen 426 bislang unbekannte Varianten der Spionageprogramme entdeckt, die durch Rootkit-Funktionen vor der Erkennung durch Virenscanner geschützt waren. Die Gauner haben unter anderem durch Recherchen im Netz herausgefunden, bei welchem Bankinstitut das ausgesuchte Opfer Kunde ist, um ihm anschließend den Link zu einer speziell präparierten Webseite zu schicken, die die Infektion vornahm.
(http://www.heise.de/imgs/18/8/8/1/1/4/5/ef9a4a4f714087c0.png)
Während die Opfer zum Warten angehalten wurde,
haben die Betrüger im Hintergrund bis zu 100.000 Euro
vom Konto abgeräumt.Bild vergrössern (http://www.heise.de/newsticker/meldung/Operation-High-Roller-Online-Banking-Betrug-im-ganz-grossen-Stil-1626317.html?view=zoom;zoom=1)
Wenn sich das Opfer mit dem infizierten System beim Online-Banking eingeloggt hat, wurde zunächst einmal als Man-in-the-Browser die finanzielle Situation ausspioniert. Erst beim nächsten Login wurde der Schädling aktiv: In der Regel hat die Malware vollautomatisch einen festen Prozentsatz (etwa 10 Prozent) von dem Konto mit dem höchsten Guthaben auf das Konto eines Finanzagenten transferiert. In Einzelfällen sollen die Betrüger auch manuell eingegriffen haben, um höhere Summen abzubuchen.
Damit das Opfer nichts von den betrügerischen Aktivitäten merkt, hat der Schädling die Abbuchung von der Transaktionsliste ausgeblendet und sämtliche Links zu online ausdruckbaren Kontoauszügen entfernt. Laut McAfee konnte die eingesetzten Malware auch Zwei-Faktor-Authentifizierungen umgehen, indem sie dem Opfer vorgegaukelt hat, dass die Authentifizierung neuerdings schon während der Logins nötig ist. Den so generierten Token hat die Malware für die betrügerische Abbuchung eingesetzt.
McAfee erwähnt, dass so auch Bankkunden angegriffen wurden, die zum Login das EMV-Verfahren (Chip and PIN) einsetzen. In Deutschland ist im Privatkundenbereich jedoch nicht üblich, dort setzt man HBCI ein. Ob die Kriminellen ihre Malware auch an hierzulande verbreitete Zwei-Faktor-Verfahren wie mTAN oder chipTAN angepasst haben, ist bislang noch unklar.
Die eigentliche Überweisung hat die Malware für das Opfer unsichtbar in einem iFrame durchgeführt. In späteren Fällen waren jedoch auch 60 Server im Spiel, die die Online-Banking-Sitzung des Opfers übernommen und auf denen die Transaktion dann durchgeführt wurde. Die Transaktionsserver zogen mehrfach um, um ein Entdecken zu erschweren. Die Sicherheitsexperten haben nach eigenen Angaben Hinweise gefunden, dass bei einer Transaktion der Zugriff eines Täters auf einen dieser Server aus Moskau erfolgte.
Die im McAfee-Bericht geschilderten Vorfälle haben sich seit Jahresbeginn abgespielt. Insgesamt sind Kunden von mehr als 60 Banken betroffen. Um welche genau es sich handelt, wollte das Unternehmen gegenüber heise Security nicht preisgeben. Der AV-Hersteller arbeitet seit März mit den Ermittlungsbehörden zusammen, um den Abzockerring den Garaus zu machen.
Quelle : www.heise.de
Experten warnen vor verstärkten Infektionen mit dem Android-Trojaner FakeToken. Die Software kopiert empfangene SMS, die TANs enthalten. Ganoven können dann das Konto des Opfers leer räumen.
(http://2.f.ix.de/imgs/18/1/2/2/2/8/0/9/kaspersky-mobile-threats-8ff1b6c27d34e911.jpeg)
Der Antivirus-Hersteller Kaspersky berichtet, dass Smartphone-Trojaner verstärkt mTANs abgreifen, um die Konten der Handy-Besitzer leer zu räumen. Besonders Infektionen mit dem Android-Trojaner FakeToken hätten sich seit Anfang des Jahres deutlich vermehrt. Mittlerweile soll der Trojaner weltweit für fast fünf Prozent aller Angriffe auf Mobilgeräte verantwortlich sein. Beim mTAN-Verfahren muss der Kunde zusätzlich zu seinem Passwort einen Code eingeben, der ihm per SMS auf sein Handy geschickt wird – und genau diesen Code können Trojaner auf Android-Geräten relativ einfach abfangen.
TAN-Generatoren sollen sicherer sein
In einem Bericht des Spiegels kommt ein Bankenexperte des Bundesverbands der Verbraucherzentralen zu Wort, der vom mTAN-Verfahren abrät und Kunden empfiehlt, auf TAN-Generatoren umzusteigen. In Deutschland ist dieses System in der Regel mit zusätzlichen Kosten verbunden, da Kunden ein Gerät bei ihrer Bank bestellen müssen, das die EC-Karte ausliest und daraufhin eine TAN generiert. Der Spiegel zitiert allerdings auch einen Beamten des Bundeskriminalamtes (BKA), der zu Bedenken gibt, dass auch TAN-Generatoren in Zukunft angegriffen würden. Genau wie bei gedruckten TAN-Listen verleiten Kriminelle ihre Opfer oft mit psychologischen Tricks, ihnen die Anmeldecodes zu verraten.
Auf eine Anfrage von heise Security hin sagte eine Sprecherin des BKA, dass die Behörde nicht pauschal von der Benutzung des mTAN-Verfahrens abrate. Sie habe lediglich auf mögliche Angriffe hingewiesen.
Vor allem Android-Nutzer bedroht
Nach wie vor sind hauptsächlich Android-Benutzer in Gefahr. Die gängige Schadsoftware, darunter auch FakeToken, wird Smartphone-Nutzern oft unter einem Vorwand untergeschoben. Das ist nötig, da sie vom Nutzer selbst installiert werden muss. Meist muss dazu das Installieren von Software aus Drittquellen aktiviert sein, da Google seinen App-Store Google Play nach bekannter Schadsoftware durchforstet und diese schnell entfernt. Oft werden die Desktop-Rechner der Opfer ebenfalls mit Trojanern infiziert, um gleichzeitig an die Banking-Passwörter zu kommen.
Quelle : www.heise.de
Bislang urteilten Gerichte in Fällen von Online-Banking-Betrügereien häufig zugunsten des Opfers und sahen die Verantwortung primär bei den Banken. In einem aktuellen Fall bleibt das Opfer jedoch auf einem Schaden von 18.500 Euro sitzen.
Banken haften nicht, wenn das Opfer einen Online-Banking-Betrug hätte erkennen und verhindern können, urteilte das Landgericht Darmstadt. Es weist damit die Klage eines Betrugsopfers ab, dem offenbar durch einen Trojaner 18.500 Euro gestohlen wurden. Die Klägerin hatte auf Erstattung des Schadens durch die Bank geklagt.
(http://2.f.ix.de/imgs/18/1/3/2/3/5/4/8/213x259_Kartenleser_Kobila-8ab53a1cd67e4f35.jpeg)
Der Knackpunkt war, dass bei den fraglichen Transaktionen das sogenannte Smart-TAN-Plus-Verfahren zum Einsatz kam. Dabei zeigt ein TAN-Generator wie der abgebildete zunächst Betrag und Ziel der Überweisung an. Erst wenn der Anwender diese bestätigt, wird die zugehörige TAN dafür erzeugt. Diese muss der Anwender dann in das Online-Banking am PC übertragen und dann an die Bank senden. Mit diesem Vorgang sieht die Bank eine dem Anwender zuzurechnende Autorisierung der Überweisung als gegeben an.
Den im Urteil geschilderten Fakten lässt sich entnehmen, dass das Opfer wohl zunächst im Online-Banking auf dem PC Überweisungen an Geschäftspartner angestoßen hatte. Allerdings hat wohl ein Online-Banking-Trojaner oder ein Man-in-the-Middle diese Daten manipuliert und den Vorgang mit einem anderen Zielkonto und einem anderen Betrag versehen. Doch diese manipulierten Daten müssen danach auf dem Display des TAN-Generators angezeigt und somit von Anwender bestätigt worden sein, erklärte die beklagte Bank.
Das Gericht folgte dieser Argumentation offenbar und argumentierte "Aus technischer Sicht ist es nach derzeitigem Stand so gut wie ausgeschlossen, dass bei Verwendung dieses Verfahrens tatsächlich erfolgte Online-Überweisungen nicht von dem Bankkunden selbst vorgenommen wurden." Insbesondere hätte "die Klägerin den „Man-in-the-Middle-Angriff“ [..] erkennen und verhindern können" heißt es in dem Urteil vom 28.8.2014 (http://www.lareda.hessenrecht.hessen.de/jportal/portal/t/s15/page/bslaredaprod.psml?&doc.id=KORE220992014%3Ajuris-r01&showdoccase=1&doc.part=L) weiter.
Tatsächlich gilt SmartTAN Plus als sicheres Online-Banking-Verfahren – wenn der Anwender die auf dem Display präsentierten Überweisungsinformationen kontrolliert. Nach aktuellem Stand der Technik ist kein realistisches Angriffsszenario denkbar, bei dem der TAN-Generator nicht die Kontonummer und den Betrag der von der Bank tatsächlich durchgeführten Überweisung anzeigt. Denn beide gehen so in die erzeugte TAN ein, dass die Bank sie vor Durchführung der Transaktion prüfen kann.
Einfach gesagt sind TAN, Zielkonto und Betrag fest miteinander verkoppelt – technisch gewährleisten dies kryptografische Hash-Funktionen. Ändert man etwa nachträglich den Betrag, passt die TAN nicht mehr zu der Transaktion. Die wahrscheinlichste Erklärung des Betrugs ist somit, dass das Opfer diesen Informationen nicht genug Beachtung schenkte.
Quelle : www.heise.de