Der Android-Banking-Trojaner Acecard gibt sich auf infizierten Geräten nicht mehr mit dem Abziehen von Kreditkarten-Daten und Codes einer Zwei-Faktor-Authentifizierung zufrieden: Neuerdings fordert er seine Opfer auf, ein Selfie mit Personalausweis zu machen, berichten Sicherheitsforscher von McAfee.
Der Schädling soll den Sicherheitsforschern zufolge ausschließlich in App-Stores von Drittanbietern auftauchen und sich als Erotik-Video-App beziehungsweise als ein zum Abspielen nötiger Codec ausgeben. Damit er sein Schadenswerk anrichten kann, fordert er weitreichende Berechtigungen ein, die ein Opfer abnicken muss.
Der Banking-Trojaner Acecard soll ein Selfie inklusive Personalausweis einfordern.
Das auf die Spitze getriebene Social Engineering unterteilt sich in zwei Schritte: Zuerst soll man "saubere und lesbare" Fotos von der Vor- und Rückseite des Personalausweises hochladen. Anschließend fordert der Trojaner noch ein Selfie mit dem Dokument ein, erläutert McAfee.
Beim Interface haben sich die Betrüger viel Mühe gegeben: Die Phishing-Bildschirme mit den Eingabefeldern für Kreditkarten-Daten sehen legitim aus und tarnen sich als Google-Play-Aufforderung. Der Prozess zum Aufnehmen der Bilder kommt als Step-by-Step-Anleitung inklusive Bebilderung daher.
Kompletter Identitäts-Diebstahl?
Ob die Kriminellen mit den Selfies Online-Legitimationsverfahren überlisten können, ist fraglich. Etwa die Deutsche Post bietet Kunden im Zuge von Postident an, sich online via Video-Chat gegenüber einem Post-Mitarbeiter auszuweisen. Auch der IDnow-Service offeriert ein Video-basiertes Online-Legitimationsverfahren für verschiedene Banken – so kann man etwa ein Konto eröffnen. Mit Fotos kommt man da nicht weit, zudem stellen die Mitarbeiter am anderen Ende der Kamera Fragen.
Auch biometrische Legitimationsverfahren bei Online-Zahlungen lassen sich wahrscheinlich nicht über ein einfaches Selfie austricksen. Zwar bietet etwa Mastercard den Service, am Smartphone getätigte Online-Zahlungen mit einem Fingerabdruck oder Selfie zu bestätigen, doch entscheidet man sich für das Selfie, muss man zusätzlich noch in die Kamera blinzeln.
(des)
All you can read: Alle Magazine und zusätzliche exklusive Artikel wie Tests, Ratgeber und Hintergrundberichte auf heise online lesen. Nur für kurze Zeit!
