Thema: Trojaner klauen Bank-Kunden PINs und TANs

[SiLæncer]

Nach den ersten Meldungen von fast erfolgreichen Betrugsversuchen durch Phishing mit gefälschten Webseiten mehren sich nun auch die Hinweise, dass auch Trojaner unter Windows bereits aktiv PINs und TANs abfischen und anschließend an Betrüger weiterleiten -- dazu nutzen sie Schwachstellen im Internet Explorer. Die Zeitschrift Internet World berichtet in einer Mitteilung von einem Fall, in dem der Trojaner TR/small.az3 (alias Bizex-E) beim Versuch einer Online-Überweisung eines Dresdner-Bank-Kundens die PIN- und TAN-Eingabe weiterleitete und danach die Verbindung zum Bank-Server mit einer Fehlermeldung im Internet Explorer unterbrach. Anschließend überwiesen Betrüger 6.800 Euro auf ein Konto in Lettland. Erst nachdem der Kunde einen anderen Browser benutzte, gelang ihm der erneute Zugriff auf den Bank-Server -- vom dem bereits das Geld abgebucht worden war. Allerdings konnte die Dresdner Bank die Überweisung noch rechtzeitig rückgängig machen. Weitere Betrugsfälle seien der Bank bislang nicht bekannt, man habe aber Anzeige erstattet.  

Heise Security liegen mittlerweile Informationen eines Postbank-Kunden vor, dem eine größere Summe auf die gleiche Weise abhanden gekommen ist. Nach der Eingabe von PIN und TAN brach die Verbindung zum Server ebenfalls zusammen. Wenige Stunden später war das Konto um etliche tausend Euro erleichtert. Nach Angaben der Postbank konnte man auf Grund der schnellen Reaktion des Kunden auch diesen Betrag wieder zurückbuchen. Ein erster Virenscan des Systems durch das Opfer blieb ohne Befund, nach Angaben der Virenspezialisten von H+BEDV sei es auch schwierig, den Schädling zu identifzieren, da er in mehreren Teilen auf das System geladen wird. Zumindest Antivir würde aber mit den seit Montag verfügbaren Signaturen (6.27.00.47) den Trojaner als TR/small.az3 erkennen. Sophos und anderen Hersteller von Antivirensoftware führen einen ähnlichen Schädling unter der Bezeichnung Troj/Bizex-E.

Vor dem ersten Bizex-Trojaner warnte schon Kaspersky im Februar. Der Schädling suchte auf infizierten PCs nach Daten installierter Zahlungssysteme und sandte diese an Server ins Internet. Zudem war er in der Lage, HTTPS-Verkehr mitzulesen und diese Daten ebenfalls zu versenden. Damals sollen 50.000 Rechner infiziert worden sein. Obwohl meist Sicherheitslücken im Internet Explorer Ursache für das Eindringen eines Trojaners sind, muss dieser nicht unbedingt den Weg über einen Web-Server ins System finden. Auch das Öffnen manipulierter Phishing-Mails kann bei ungepatchten Browsern zur Infektion führen.

Neben Trojanern sind auch so genannte Browser Helper Objects (BHO) im Internet Explorer in der Lage, Tastatureingaben mitzulesen und weiterzusenden. Vor wenigen Monaten warnte das Internet Storm Center vor solchen Tricks.

Auch wenn bislang nur Einzelfälle zu PIN- und TAN-Klau durch Trojaner bekannt wurden, zeichnet sich doch ein klarer Trend ab: Der Anwender wird an allen Fronten von Betrügern und Trojanern angegriffen. Anwender können sich vor solchen Attacken durch das Installieren der für Windows verfügbaren Sicherheits-Updates schützen. Zudem kann ein Virenscanner in den meisten Fällen vor Trojaner-Infektionen bewahren, eine Personal Firewall ergänzt den Schutz. Seit Service Pack 2 für Windows XP kann der Anwender sich im Internet Explorer auch etwaige installierte BHOs mit dem Add-on-Manager anzeigen lassen und gegebenenfalls deaktivieren.

Weitere Hinweise zum Schutz vor Viren, Würmer und Trojaner gibt es auf den Antiviren-Seite von heise Security.

Wer sich nicht mehr sicher ist, ob sein System infiziert ist, sollte im Zweifelsfall lieber die Überweisung am Bankschalter abgeben und alsbald seinen Rechner genauestens untersuchen. Um den TAN-Klau zu erschweren, hat beispielsweise die Postbank seit November vergangenen Jahres die mobile TAN eingeführt, die für jede Transaktion auf das Handy gesendet wird und nur wenige Minuten gültig ist. Bei Problemen mit dem Online-Banking und vermuteten Betrugsversuchen sollten sich Kunden immer zuerst an ihre Bank wenden.

Quelle : www.heise.de

[SiLæncer]

Der PIN und TAN stehlende Trojaner Bizex-E dringt über die seit drei Wochen bekannte Drag&Drop-Sicherheitslücke im Internet Explorer in Windows-Systeme ein. Auch Windows-XP-Systeme mit installiertem Service Pack 2 sind für solche Angriffe anfällig -- einen Patch von Microsoft gibt es bislang nicht.  

Ausgangspunkt für den Trojaner war offenbar eine Anfang September kursierende Mail in holprigem Englisch und Deutsch, in der von einem angeblichen Attentat auf den US-Präsidenten George Bush die Rede war (George Bush sniper-rifle shot!). Der in der Mail enthaltene Link führte auf eine mittlerweile gesperrte chinesische Webseite, auf der eine Modifikation der bekannten Drag&Drop-Exploits dem Anwender beim Anklicken eines Bildes den Trojaner in den Startordner kopiert. Vom "Ziehen und Fallenlassen" merkt der Anwender nicht viel: Beim Anklicken wird das Bild gedragged (angehoben) und ein unsichtbares Fenster (shell:startup) wird per Skript unter das Bild platziert. Beim Loslassen der Maustaste fällt das Bild (drop) dann in das neue Fenster -- den Startordner. Der c't-Browsercheck demonstriert die Drag&Drop-Schwachstelle in einer vereinfachten Form.

Nach einem Neustart installiert sich der Trojaner im System und versucht, gängige Antivirenprogramme zu beenden -- was ihm auf einigen Systemen offenbar auch gelungen ist. Anschließend biegt er einige vom Internet Explorer benutze Funktionsaufrufe so um, das er in HTTP-Requests enthalten PINs und TANs mitlesen kann. Bizex-E arbeitet dabei bankenunabhängig, er filtert nur nach dem Stichwort "TAN". Hat er eine TAN erwischt, unterbricht er die Browser-Verbindung zum Bank-Server und sendet die gesammelten Daten per FTP an einen Server im Internet -- auch dieser ist inzwischen nicht mehr erreichbar.

Auch Anwender, die alle üblichen Maßnahmen zum Schutz vor Schädlingen ergriffen hatten, waren trotzdem verwundbar: Ein Patch ist nicht verfügbar und auch die Virenscanner einzelner Hersteller erkennen Bizex-E erst seit kurzem. Andreas Marx von AV-Test hat eine Statistik erstellt, aus der ersichtlich ist, ab wann welcher Hersteller den Schädling erkannte:

(Alle Zeiten GMT, Namensänderungen sind mit aufgeführt)

antivir 06.09.2004 06:44 TR/Small.AZ.1 (exact)
command 31.08.2004 22:07 W32/Chty.A@bd
fortinet 07.09.2004 22:28 W32/Bizex.E-tr
f-prot 31.08.2004 21:03 W32/Chty.A@bd
ikarus 02.09.2004 15:06 TrojanSpy.Win32.Small.AZ
inoculate-vet 01.09.2004 01:54 Win32.Reign.Z
kaspersky 30.08.2004 17:58 TrojanSpy.Win32.Small.az
mcafee 01.09.2004 17:35 New Malware.b
mcafee 08.09.2004 16:09 Uploader-S
mcafee-beta 30.08.2004 10:29 New Malware.b
mcafee-beta 02.09.2004 11:32 Uploader-S
norman 31.08.2004 11:56 W32/Malware (Sandbox)
norman 01.09.2004 14:45 W32/Downloader (Sandbox)
rav 09.09.2004 03:39 Trojan:Win32/Uveuh.A
symantec 31.08.2004 19:04 Backdoor.Trojan
trendmicro 08.09.2004 03:10 TROJ_BIZEX.E
trendmicro_beta 02.09.2004 18:57 TROJ_BIZEX.E
virusbuster 07.09.2004 13:47 TrojanSpy.Small.J

Bitdefender, InoculateIT (CA-Engine) und Panda hatten bis zum gestrigen Donnerstag 20 Uhr noch keine Updates bereitgestellt. Ob eine Personal Firewall zumindest das Versenden der Bankdaten hätte verhindert können, ist unklar -- weitere Testergebnisse dazu folgen. Anwender alternativer Browser wie Mozilla und Opera sollten von dem Angriff aber weitgehend verschont geblieben sein.

Indes mehren sich die Hinweise, dass weitaus mehr Anwender von dem Problem betroffen waren oder immer noch sind als nur in den bislang bekannten zwei Fällen. Einem dpa-Bericht zufolge soll bei mehreren Dutzend Bankkunden Geld vom Konto abgehoben worden sein. Ob sich die von den Banken immer wieder geäußerte Losung: "Online-Banking ist sicher" so noch halten lässt, darf man bezweifeln. Insbesondere verlagern die Banken die notwendigen Sicherheitsmaßnahmen immer mehr auf die Kunden. Diese hätten dafür zu sorgen, dass ihr System schädlingsfrei sei, beispielsweise durch den Einsatz von Virenscannern und das Einspielen von Patches. Dass dies leider offenkundig nicht ausreicht, zeigen die nun bekannt gewordenen Fälle. Zusätzliche Techniken, etwa HBCI, sind notwendig, um dem Kunden wieder das Vertrauen in sicheres Homebanking zurückzugeben.

Quelle : www.heise.de

[SiLæncer]

Auf neue Sicherheitsmethoden folgen neue Betrügereien: Mit dem Trojaner Banbra.DCY versuchen Internet-Ganoven an die begehrte Bankdaten von Online-Banking-Nutzern zu gelangen.

Virtuelle Keyboards

Der Banbra-Trojaner wurde speziell programmiert, um Online-Dienste von Bankinstituten auszuspionieren, die für die Eingabe von vertraulichen Daten "Virtual Keyboards" nutzen. Dabei geben die Bankkunden ihre Passwörter nicht über die Tastatur des Computers ein, sondern per Mausklick über eine grafische Abbildung der Tastatur auf dem Bildschirm.

Wenn der Nutzer die abgefragten Angaben zum Zugriff auf sein Online-Konto über die grafische Tastatur anklickt, fertigt der Trojaner einen Screenshot an und speichert ihn in einer Video-Datei im .avi Format ab. Die Video-Datei versendet der Trojaner im Anschluss weiter an die Betrüger, die sich mit den gespeicherten Daten nun Zugang zum betroffenen Konto verschaffen können.

Traditionelle Keylogger-Trojaner, die auf Diebstahl aus sind, fangen gewöhnlich die Tastaturanschläge des Users während der Eingabe im passwortgeschützten Bereich eines Online-Bankvorgangs ein und speichern sie in einer Text-Datei. Die Methode von Banbra.DCY ist nach Angaben der Sicherheitsexperten von Panda Software jedoch effektiver und die geklauten Daten für den Hacker einfacher zu entschlüsseln, da das Video-Protokoll den kompletten Anmelde-Vorgang abbildet.

Ziel: Brasilien

Banbra.DCY richtet sich an Bankkunden von brasilianischen Geldinstituten. In den Laboren von Panda Software geht man jedoch davon aus, dass diese neue Angriffstechnik auch in anderen Ländern zum Einsatz kommen wird.

Quelle : www.onlinekosten.de

[SiLæncer]

Schädlicher Code kann per E-Mail kommen, aber auch auf Websites lauern. Vor allem die Zahl der Trojaner nimmt zu, leider auch beim Online-Banking. So waren im vergangenen Jahr die so genannten Banking-Schädlinge an jeder fünften Trojaner-Infektion beteiligt und bilden damit die am häufigsten vertretene Trojaner-Art.

Log-In-Daten werden ausspioniert

Banking-Trojaner fangen die Zugangsdaten zu Online-Banking-Diensten ab und beschaffen sich die Informationen, die der Kunde auf den entsprechenden Websites eintippt. Dies kann per Umleitung auf eine manipulierte Website geschehen. Andere Trojaner hingegen überwachen den Nutzer bei der Dateneingabe auf der Original-Website und können auch Informationen aus seinem E-Mail-Account entwenden. Die Schadprogramme stehlen so Konto- oder Kreditkartennummern, PINs oder Passwörter. Diese Daten werden an den Programmierer der Malware gesendet, der sich damit am Konto des ahnungslosen Users bedienen kann.

"Banker" und "Banbra"

Beim Online-Banking stößt man vor allem auf die Trojaner-Familien "Banker" und "Banbra". Erstere sind für jeden zweiten Angriff verantwortlich und die "Banbra"-Exemplare haben rund 40 Prozent der Infektionen auf dem Gewissen. "Goldun", "Bancos" und "Banking" sind weitere Schädlinge, die nach Zugangsdaten zu Bankkonten fahnden.

Quelle : www.onlinekosten.de
EDIT: Titel von Ballast befreit - Jürgen

[SiLæncer]

Der im Herbst letzten Jahres aufgetauchte Trojaner-Baukasten Carberp wird offenbar rasant weiter entwickelt, berichtet unter anderem der Sicherheitsdienstleister Seculert. F-Secure-Analyst Toni Koivunen bezeichnet ihn bereits als aufsteigenden Stern der Banking-Trojaner-Szene.

Waren die ersten Carberp-Versionen noch recht einfach gestrickt, kann der Trojaner mittlerweile mit einer beeindruckenden Feature-Liste aufwarten. So läuft er auf allen Windows-Versionen einschließlich Windows 7 und kommt dort laut TrustDefender sogar ohne Admin-Rechte aus. Technisch ist das nicht weiter verwunderlich, genügen diese Rechte doch, um sich etwa als Browser-Erweiterung zu registrieren. Damit kann ein Trojaner als so genannter Man-in-the-Browser auch verschlüsselt übertragene Online-Banking-Daten mitlesen und sogar manipulieren.

Außerdem kann Carberp mittlerweile ein befallenes System säubern und so der Konkurrenz entreißen. Die neueste Version verschlüsselt die ausspionierten Daten vor der Übertragung mit einem zufälligen Schlüssel, den der Client beim Kontroll-Server registriert. Bisherige Bots verwendeten für diesen Zweck statische Keys, die fest in das Programm einkodiert sind, was Antiviren-Spezialisten natürlich die Arbeit erleichtert.

Interessant ist dabei vor allem, dass diese Funktionen innerhalb weniger Monate nachgerüstet wurden. Derzeit gibt es in der Szene der Online-Banking-Betrüger einen Nachfolge-Kampf um die Kundschaft des anscheinend nicht mehr weiterentwickelten Zeus-Baukastens. Ob dabei Carberp, SpyEye oder ein Anderer die Oberhand gewinnt, ist noch nicht klar. Es wird aber zunehmend deutlich, dass diese Auseinandersetzung unter anderem über die Features geführt wird und somit in Zukunft mit noch weiter ausgefeilten Trojaner-Versionen zu rechnen ist.

Quelle : www.heise.de

[SiLæncer]

Microsofts "Tool zum Entfernen bösartiger Software" entfernt seit dem letzten Update am vergangenen Dienstag auch den Online-Banking-Trojaner SpyEye, wie das Malware Protection Center des Unternehmens in seinem Blog bekanntgegeben hat. SpyEye gilt neben ZeuS als einer der verbreitetsten Schädlinge. Das Microsoft-Tool wird kostenlos über Windows-Update verteilt und kommt auf Rund 600 Millionen Rechnern weltweit zum Einsatz. In der Regel wird es automatisch im Hintergrund nach der Nutzung von Windows Update ausgeführt.

Bei der SpyEye-Erkennung setzt Microsoft auf den Überraschungseffekt: Der rein signaturbasierte Scan kann nur bereits bekannte Mutationen des Schädlings erkennen – also solche, die vor der Veröffentlichung des Tools verbreitet wurden. Wird das Tool zeitnah nach der Veröffentlichung ausgeführt, kann es aktive SpyEye-Instanzen entfernen, ehe die Virenschreiber reagieren können.

Bereits eine minimale Veränderung des Schädlings genügt, um den Microsoft-Scanner auszutricksen. Da SpyEye in der Lage ist, sich selbst zu aktualisieren, dürfte dies nur eine Frage von Stunden sein, bis die Kriminellen diese Chance nutzen. Wird Windows Update also erst Tage nach Veröffentlichung des Tools auf einem infizierten System ausgeführt, profitiert man sehr wahrscheinlich nicht mehr von dem Überraschungseffekt.

Ebenfalls neu ist die Erkennung des kostenlosen "Remote Administration Tools" Poison Ivy. Die Backdoor-Software ist bereits seit über 6 Jahren im Umlauf und in seiner Grundversion leicht zu erkennen. Das scheint seiner Popularität jedoch anscheinend keinen Abbruch zu tun: Das Spionage-Tool kam beim Angriff auf den Sicherheitsspezialisten RSA zum Einsatz. Warum Microsoft sein Tool ausgerechnet jetzt um die Erkennung von Poison Ivy ergänzt hat, ist unklar.

Quelle : www.heise.de

[SiLæncer]

In Moskau wurden am gestrigen Dienstag acht Männer verhaftet, die über einen Banking-Trojaner bis zu 3,3 Millionen Euro erbeutet haben sollen. Der als Carberp bekannte Trojanerbaukasten trat erstmals im Herbst 2010 in Erscheinung und ist darauf spezialisiert, Bankdaten auszuspähen und an einen Kontroll-Server zu übermitteln. Dabei konnte der Trojaner sich auch an der mit Windows Vista eingeführten Benutzerkontensteuerung vorbeimogeln.

Der russische Geheimdienst FSB verhaftete die Männer in Zusammenarbeit mit dem russischen Sicherheitsdienstleister Group-IB und dem russischen Innenministerium MVD. Einer Mitteilung des MVD zufolge (Google-Übersetzung) erbeuteten die Hacker mit ihrem Trojaner über 60 Millionen Rubel – ca. 1,5 Millionen Euro. Die an den Ermittlungen beteiligten Sicherheitsexperten nennen sogar einen deutlich größeren Betrag: Einer Stellungnahme von Group-IB zufolge betrug die Carberp-Beute allein im vorigen Quartal 130 Millionen Rubel (3,3 Millionen Euro).

Die Hackergruppe soll in Moskau sogar Büros angemietet haben, wofür sie sich als legitimes IT-Unternehmen ausgab. Bei der gestrigen Razzia beschlagnahmten die Beamten zahlreiche Bankautomatenkarten, gefälschte Dokumente und 7,5 Millionen Rubel in bar (knapp 200 000 Euro).

Dem MVD zufolge gelangte Carberp über Drive-by-Downloads von infizierten Websites auf die Rechner seiner Opfer. Neben dem eigentlichen Banking-Trojaner wurde auf den befallenen Rechnern zusätzlich die Hintertür RDPdoor installiert (auch als "Antavmu" bekannt), die das kompromittierte System in ein Botnet einband. Carberp griff die Bankdaten der Opfer im Browser ab, um sie an die Kriminellen weiterzuleiten. Diese überwiesen daraufhin Beträge auf ihre eigenen Konten, um sie dort über Geldautomaten von Kurieren abholen zu lassen.

Zu den Verhafteten gehörten zwei Brüder, von denen der ältere bereits auf Kaution wieder freigelassen wurde. Der jüngere Bruder verbleibt aufgrund einer Vorstrafe wegen Immobilienbetrugs in Haft; die sechs weiteren Angeschuldigten stehen unter Hausarrest. Die Anklage lautet auf Herstellung und Verbreitung von Schadprogrammen sowie den Diebstahl und illegalem Zugang zu Computerdaten. Für diese Taten gilt in Russland ein Strafmaß von 10 Jahren Haft.

Quelle : www.heise.de

[SiLæncer]

Abzocker versuchen hierzulande derzeit mit einer neuen Betrugsmasche Online-Banking-Nutzern das Geld aus der Tasche zu ziehen: Sie verbreiten eine Malware namens Tatanga, die den Nutzer des infizierten Systems beim Besuch der Bankenseite dazu auffordert, den Rechner durch die Eingabe einer mTan zu verifizieren. Dies haben die Sicherheitsexperten von Trusteer beobachtet.

Die mTan wird dem Nutzer wie gewohnt per SMS zugeschickt. Die SMS enthält Details zu einer Überweisung, die der Nutzer nicht angestoßen hat. Doch darauf wird das Opfer bereits vorbereitet. Es handelt sich angeblich um "experimentelle Daten", die man getrost ignorieren könne, heißt es im gebrochenen Deutsch verfassten Meldung des Trojaners.

Kommt der Nutzer der Aufforderung nach, wandert Geld vom Nutzerkonto auf ein Konto der Betrüger. Sind einem Online-Baking-Zugang mehrere Konten zugeordnet, wählt Tatanga das Konto, auf dem sich am meisten Geld befindet. Damit das Opfer die betrügerische Abbuchung nicht bemerkt, entfernt sie der Trojaner im weiteren Verlauf der Online-Baking-Sitzung aus der Transaktionsliste und manipuliert zudem den Kontostand.

Zwar dürfte die offensichtlich maschinell ins Deutsche übersetzte Hinweismeldung bei den meisten Nutzern noch die Alarmglocken schrillen lassen, einen professionell formulierten Text könnten die Kriminellen jedoch mit geringem Aufwand einbauen.

Quelle : www.heise.de

[SiLæncer]

Die Sicherheitsexperten von Kaspersky haben eine neue Variante des Online-Banking-Trojaners SpyEye gesichtet, die seinem Namen alle Ehre macht: Der Bot bringt ein Plug-in mit, das zur Beobachtung des Opfers per Webcam dient.

Auf dem infizierten System manipuliert flashcamcontrol.dll die Einstellungen des Flash-Players so, dass ausgewählte Webseiten ohne Rückfrage auf Kamera und Mikrofon zugreifen dürfen. Bei den betroffenen Seiten handelt es sich laut Kaspersky pikanterweise um die Internetpräsenzen deutscher Banken.

Ruft der Nutzer eine der betroffenen Bankenseiten auf, bettet SpyEye ein Flash-Applet in den HTML-Code ein. Dieses überträgt das aufgezeichnete Video samt Ton ungefragt per Real Time Messaging Protocol an einen Server der Botnetz-Betreiber. Wofür er das tut, ist derzeit noch unklar. Kaspersky-Sicherheitsexperte Dmitry Tarakanov zufolge könnte es Teil eines umfassenderen Angriffs sein – beispielsweise ließen sich damit telefonische PIN-Bestätigungen mitschneiden.

Der Flash Player bietet Entwicklern eine Schnittstelle, um auf Kamera und Mikrofon eines Rechners zuzugreifen. Will eine Seite diese Funktion zum ersten Mal benutzen, fragt Flash normalerweise beim Benutzer nach, ob er dies erlauben will. Das SpyEye-Plug-in manipuliert die Flash-Einstellungen auf dem infizierten Rechner und unterbindet damit die Rückfrage.

Bei den seit Jahresbeginn analysierten SpyEye-Varianten hat Kaspersky bislang 35 Plug-ins protokolliert. Diese rüsten den Trojaner laufend mit neuen Funktionen nach. Die Entwicklung des eigentlichen Bots scheint hingegen still zu stehen: Dem Bericht zufolge wurden seit der im Herbst vergangenen Jahres veröffentlichten Version 1.3.48 keine Updates mehr aufgetaucht.

Quelle : www.heise.de

[ritschibie]

Die Sicherheitsexperten von CSIS haben den nach eigenen Angaben bislang kompaktesten Online-Banking-Trojaner entdeckt. Der Tiny Banker (Tinba) getaufte Schädling misst einschließlich seiner Konfigurationsdateien gerade einmal 20 KByte.

Vergleichbar mit ZeuS manipuliert Tinba als Man-in-the-Browser die Bankenseiten mit Hilfe leicht erweiterbarer Konfigurationsdateien (Webinjects). Durch Webinjects können beim Onlinebanking etwa zusätzliche Eingabefelder für TANs erscheinen, welche von den Abzockern zur Autorisierung betrügerischer Zahlungen genutzt werden. Darüber hinaus kann Tinba Passwörter ausspionieren und den Netzwerkverkehr überwachen.

Tinba ist ein klassischer Bot, der die gesammelten Daten über eine verschlüsselte Verbindung bei einem Kommandoserver abliefert, der ihm auch neue Befehle erteilt. Laut CSIS hat es Tinba bislang nur auf sehr wenige Bankenseiten abgesehen. Aufgrund des modularen Aufbaus dürfte es für die Kriminellen jedoch ein Leichtes sein, die Liste beliebig auszubauen.

Quelle: www.heise.de

[SiLæncer]

Der Antiviren-Hersteller Kaspersky hat neue Exemplare der Zeus-Trojaner-Apps für Android und Blackberry gesichtet, die es vor allem auf eines abgesehen haben: mobile TANs fürs Online-Banking. Ziel der Attacken sind vor allem Anwender in Deutschland, Spanien und Italien.

Die Vorgehensweise ist grundsätzlich immer noch die gleiche wie bei den Vorgängern: Ausgangspunkt einer Infektion des Smartphones ist ein mit dem Zeus-Trojaner infizierter (Windows-)PC. Der schleust in die zum Online-Banking geöffneten Web-Seiten beispielsweise eine Meldung ein, dass für die Sicherung des Smartphones dort neue Zertifikate installiert werden müssten. Die angeblichen Zertifikate oder Sicherheits-Updates werden dann via Download bereitgestellt oder sogar direkt via MMS an die vom Anwender eingegebene Handynummer geschickt. Nach der Installation auf dem Handy leitet die Trojaner-App jedoch heimlich die SMSe mit den mTANs an eine Nummer im Ausland weiter; bei den aktuellen Versionen in Schweden.

Die neuen Trojaner-Versionen für Android und Blackberry – Kaspersky spricht von "Zeus in the Mobile", kurz ZitMo – dienen offenbar im Wesentlichen der systematischen Weiterentwicklung des Funktionsumfangs. Noch immer hinkt dabei die Android-Version etwas hinter denen für Windows Mobile, Symbian und Blackberry hinterher (ein iPhone-Pendant wurde bislang nicht gesichtet). So leitet sie anscheinend nicht selektiv nur die mTAN-Nachrichten der Bank, sondern alle SMS an den Herrn und Meister weiter.

Quelle : www.heise.de

[SiLæncer]

Das IT-Sicherheitsunternehmen Trusteer hat einen Angriff gegen die von einigen deutschen Banken für Online-Transaktionen verwendeten chipTAN-Systeme dokumentiert. Bei chipTAN-Systemen muss eine Smart-Card in eine spezielles Lesegerät eingeschoben werden, um eine Transaktionsnummer (TAN) zu generieren. Der Angriff basiert auf der bereits bekannten "Tatanga"-Malware.

Der Trojaner überprüft die hinterlegten Konten. Dabei wird unter anderem ermittelt, wie viele Konten der Nutzer besitzt, welche Währungen dabei unterstützt werden, wo das Dispo-Limit ist. Der Trojaner wählt anschließend das Konto, von dem der höchste Betrag entwendet werden kann.

Ist dies erledigt, startet "Tatanga" eine Überweisung. Um diese zu legitimieren, injiziert die Malware Anweisungen in den Webbrowser des Nutzers, die den Nutzer glauben lassen, seine Bank führe einen Test des chipTAN-Systems durch. Der Nutzer soll dabei eine TAN für den "Test" generieren und diese durch Drücken der Enter-Taste bestätigen. Die Anweisungen erscheinen auf Deutsch und lauten wie folgt:



    Stecken Sie Ihre Chipkarte in den TAN-Generator und drücken "F".

    Halten Sie den TAN-Generator vor die animierte Grafik. Dabei müssen die Markierungen (Dreiecke) von der Grafik mit denen auf Ihrem TAN-Generator übereinstimmen.

    Prüfen Sie die Anzeige auf dem Leserdisplay und drücken "OK".

    Prüfen Sie die Hinweise (Empfänger-Kontonummer (ohne führende Nullen), Bankleitzahl des Empfängers und Betrag) auf dem Leserdisplay und bestätigen diese dann jeweils mit "OK" auf Ihrem TAN-Generator.

    Hinweis: Überprüfen Sie die Anzeige des TAN-Generators immer anhand der Original-Transaktions-Daten - z.B. einer Rechnung.


Die generierte TAN wird anschließend vom Tatanga-Trojaner abgefangen und für die im Hintergrund laufende Transaktion verwendet. Die Malware manipuliert außerdem den Kontoauszug des Betroffenen, um die unerlaubte Überweisung zu verschleiern.

Normalerweise gilt das chipTAN-System als vergleichsweise sicher. Wie der nun dokumentierte Angriff jedoch zeigt, kann auch dieses System - hier durch eine Kombination von "Man-in-the-Browser-Angriff" und Social-Engineering-Techniken - ausgehebelt werden. Trusteer empfiehlt die Verwendung entsprechender Schutzsoftware, um eine Infektion mit Malware wie Tatanga oder auch dem ebenfalls auf das Auslesen von Banking-Informationen spezialisierten ZeuS-Trojaner zu verhindern. Auch entsprechende Verhaltensregeln und Aufklärungs-Kampagnen können helfen - ist ein Benutzer über entsprechende Angriffe aufgeklärt, ist das Risiko, auf den "Test" hereinzufallen, wesentlich geringer.

Quelle : www.gulli.com

[dvb_ss2]

Die Malware manipuliert außerdem den Kontoauszug des Betroffenen, um die unerlaubte Überweisung zu verschleiern.

Also ich frage mich ja, ob die intelligente Journaille zwischen einem Kontoauszug und dem Umsatzabruf im Onlinebanking unterscheiden kann.

Mich deucht, dass dies wohl nicht immer der Fall ist, denn den Kontoauszug kann man so mit Sicherheit nicht manipulieren.

dvb_ss2

[SiLæncer]

Stimmt natürlich ...aber trotzdem heftig ...

[Jürgen]

Stimmt nur teilweise.

Viele Online-Banking-Kunden erhalten längst keine Papier-Ausdrucke mehr (auch nicht mehr am Automaten), sondern nur noch PDF-Dateien, die über dieselbe Browser-Schnittstelle herunterzuladen sind, die auch dem Online-Zahlungsverkehr dient.
Wer es schafft, die Oberfläche der Webseite wie beschrieben zu manipulieren, der kriegt es möglicherweise auch hin, den Download-Link für Auszüge zu manipulieren und ein gefälschtes PDF zu übertragen.
Die Kontoauszugfunktion ist nämlich üblicherweise nicht noch extra abgesichert.

Außerdem werden Auszüge von vielen Nutzern ohnehin nicht oder nur oberflächlich kontrolliert, gerade weil sie es längst gewohnt sind, sich die Buchungen der letzten bis zu 100 Tage jederzeit direkt auf der Seite der Bank in Listenform anzusehen.
Wohl kaum jemand erwartet dazwischen überhaupt Differenzen...

Jürgen