Bankraub digital

Millionenschäden durch Angriffe aufs Online-Banking

Wissen | Reportage

Die Kreativität der Kriminellen scheint unerschöpflich: Mit einem Mix aus leistungsstarker Malware und Bauernfängerei räumen sie Konten ab. Oder auch mal mit roher Gewalt und Stemmeisen, wenn es sein muss.

Laut Bundeskriminalamt erbeuteten Online-Kriminelle 2013 in Deutschland mindestens 16,4 Millionen Euro, indem sie Bankkonten übers Internet abräumten. Man müsse aber eher von 180 Millionen ausgehen, da nach amtlichen Schätzungen allenfalls zehn Prozent der Fälle überhaupt angezeigt werden. Das BKA nennt aber noch eine weitere bedrohliche Zahl: Im Schnitt erbeuten Kriminelle 4000 Euro pro Angriff aufs Online-Banking, das LKA Bayern spricht sogar von 5000 Euro.

Video: Nachgehakt

Exaktere Zahlen zu erfolgreichen Attacken und den Schäden dadurch haben nur die Banken. Die sind aber nicht eben auskunftsfreudig. Sie wollen das Konzept „Online Banking“ nicht in Verruf bringen. Schließlich wickeln ihre Systeme täglich millionenfach legale Transaktionen ab, deren Beteiligte sich darauf verlassen, dass ihr Geld sicher ist.

Die SIM-Gang

Derzeit läuft vor dem Landgericht Osnabrück ein Strafverfahren gegen acht Angeklagte, die vor einem guten Jahr 945 000 Euro von Konten bei der Postbank abgeräumt haben sollen (Az. 15 KLs 12/14). Das Besondere daran: Sie hebelten das bis dahin als sicher geltende SMS-TAN-Verfahren (auch mobileTAN oder mTAN genannt) aus.

Die Angreifer kombinierten dabei Technik und Social Engineering. Das Ganze begann damit, dass die Computer der Opfer mit einem Banking-Trojaner infiziert wurden, der jedoch wegen SMS-TAN keinen Erfolg hatte. Unbekannte konnten darüber aber Kontostände einsehen. Sie erstellten eine Liste potenzieller Opfer: Postbankkunden, die mindestens 50 000 Euro auf Giro- und Tagesgeldkonten besaßen und SMS-TAN nutzten. Diese Liste gaben sie an Komplizen in Deutschland weiter.

Offenbar hatten die Trojaner auch Informationen zu den Mobilfunkverträgen gesammelt, mit denen die Angreifer beim Service der Provider Dual-SIM-Karten bestellen konnten. Sie überredeten die Servicemitarbeiter, die Karten an von der Rechnungsadresse abweichende Anschriften zu liefern. Mit den SIM-Karten konnten sie die TANs empfangen, die notwendig waren, um das Geld von den Tagesgeldkonten aufs Girokonto zu packen und dann weg zu überweisen.

In mindestens einem Fall, der uns bekannt ist, bemerkte das Opfer die Transaktionen und ließ den Online-Banking-Zugang sperren, ehe das Geld weg war. Die 16 Geschädigten aus dem Verfahren in Osnabrück hatten da weniger Glück. Und es gibt offenbar noch mehr Betroffene, denn im Ermittlungsverfahren ging man von einer Schadenssumme von 1,3 Millionen Euro aus. Die Postbanksprecherin Kerstin Lerch-Palm betont, dass es sich hier um eine Form des Identitätsdiebstahls handele, von der auch schon Kunden anderer Banken und Sparkassen betroffen waren.

Banking-Malware

Die Angriffe begannen mit einem Banking-Trojaner. Diese gehören zu den leistungsfähigsten Schädlingen und damit auch zu den teuersten Angeboten auf den Untergrundmarktplätzen. Für Kronos beispielsweise verlangen dessen Macher rund 7000 US-Dollar, für Carberp wurden im Jahr 2010 bis zu 15 000 US-Dollar aufgerufen.

Eines eint die digitalen Bankräuber, egal ob Ur-Vater ZeuS oder moderne Varianten wie Qadars, Torpig oder Citadel: Die Trojaner lassen sich durch Erweiterungen, sogenannte Web Injects, an beliebige Banken-Webseiten anpassen. Die Injects funktionieren mit allen gängigen Browsern wie Google Chrome, Microsoft Internet Explorer, Mozilla Firefox oder Opera – daher auch die Bezeichnung Man in the Browser (MitB) für diese Angriffe – und kennen das exakte Layout der Bankenseite inklusive Cascading Style Sheets. Einer der Vorteile des Einklinkens in den Browser: Die zwischen Browser und Bankserver verwendete Transportverschlüsselung (SSL/TLS) ist wirkungslos. Die Injects modifizieren die Daten vor oder nach deren Entschlüsselung.

Laut Candid Wüest, Malware-Fachmann bei Symantec, fanden sich in einem weitverbreiteten Banking-Trojaner Anpassungen für die Seiten von 44 deutschen Banken, darunter zahlreiche regionale oder auch die Apotheker- und Ärztebank. Bei mehr als der Hälfte aller von Symantec untersuchten Banking-Schädlinge finden sich in deren Konfigurationsdateien Hinweise auf eine bestimmte deutsche Bank, bei der es sich aller Wahrscheinlichkeit nach um die Postbank handelt. Bestätigen wollte Wüest dies jedoch nicht.

Durch die Anpassung an einzelne Bankenseiten können die Web Injects beispielsweise ein zusätzliches Eingabefeld auf der Login-Seite zum Online-Konto platzieren. In dieses sollen die Opfer ihre Mobiltelefonnummer eingeben, um den Link zum Download einer vermeintlichen Sicherheitssoftware zu erhalten. Dabei handelt es sich dann um eine mobile Trojaner-Komponente wie ZitMo (ZeuS in the Mobile). Lädt das Opfer diese, kontrollieren die Angreifer PC und das Telefon, auf dem die SMS-TAN ankommen. ...

Sie möchten wissen, wie es weitergeht?

Bankraub digital

1,49 €*

c't 25/2014, Seite 76 (ca. 4 redaktionelle Seiten)
Direkt nach dem Kauf steht Ihnen der Artikel als PDF zum Download zur Verfügung.

Artikel-Vorschau
  1. Die SIM-Gang
  2. Banking-Malware
  3. Gefährliche Injektionen
  4. Vertrauen bilden
  5. Mobile Schädlinge
  6. Riegel vorgeschoben
  7. Agenten gesucht
  8. Langwierige Aufarbeitung
  9. Sicheres Online-Banking

Lesen Sie hier die Verbraucherinformationen

* Alle Preise verstehen sich inklusive der gesetzlichen MwSt.

Als c't-Plus-Abonnent gratis lesen

Weitere Bilder

  • Die erste Android-Version von Zeus in the Mobile tarnte sich als vermeintliche Sicherheits-App, die nach dem Start lediglich einen angeblichen Sicherheits-Code anzeigte.
    Kaspersky

Kommentare

Infos zum Artikel

Artikelstrecke
Kapitel
  1. Die SIM-Gang
  2. Banking-Malware
  3. Gefährliche Injektionen
  4. Vertrauen bilden
  5. Mobile Schädlinge
  6. Riegel vorgeschoben
  7. Agenten gesucht
  8. Langwierige Aufarbeitung
  9. Sicheres Online-Banking
13Kommentare
Kommentare lesen (13 Beiträge)
  1. Avatar
  2. Avatar
  3. Avatar
Anzeige
Bilder
Videos

Anzeige

Artikel zum Thema
Anzeige