Der AV-Hersteller McAfee hat nach eigenen Angaben zusammen mit dem Sicherheitsunternehmen Guardian Analytics einen Ring von Online-Banking-Betrügern entdeckt, die es gezielt auf prall gefüllte Firmenkonten abgesehen hatten. Laut dem Bericht (PDF-Datei) der beiden Unternehmen sollen die Täter so versucht haben, mindestens 60 Millionen Euro zu erbeuten, davon rund 1 Million von deutschen Bankkunden. In den Niederlanden sollen sie sogar 35 Millionen Euro ins Visier genommen haben. Über den tatsächlich entstandenen Schaden machen die Unternehmen keine Angaben.

Darüber hinaus waren die Betrüger im Rahmen der von McAfee "Operation High Roller" getauften Aktion auch in Italien, Lateinamerika und Nordamerika aktiv. Einzelne Überweisungen beliefen sich auf bis zu 100.000 Euro – eine Transaktion, die auf einem Firmenkonto nicht unbedingt auffällt. Die Abzocker sollen auch Konten angezapft haben, die durch eine Zwei-Faktor-Authentifizierung geschützt sind.

Laut McAfee nutzten die Täter für ihren Coup stark angepasste Versionen der allseits bekannten Online-Banking-Trojaner ZeuS und SpyEye. Insgesamt hat das Unternehmen 426 bislang unbekannte Varianten der Spionageprogramme entdeckt, die durch Rootkit-Funktionen vor der Erkennung durch Virenscanner geschützt waren. Die Gauner haben unter anderem durch Recherchen im Netz herausgefunden, bei welchem Bankinstitut das ausgesuchte Opfer Kunde ist, um ihm anschließend den Link zu einer speziell präparierten Webseite zu schicken, die die Infektion vornahm.

Wenn sich das Opfer mit dem infizierten System beim Online-Banking eingeloggt hat, wurde zunächst einmal als Man-in-the-Browser die finanzielle Situation ausspioniert. Erst beim nächsten Login wurde der Schädling aktiv: In der Regel hat die Malware vollautomatisch einen festen Prozentsatz (etwa 10 Prozent) von dem Konto mit dem höchsten Guthaben auf das Konto eines Finanzagenten transferiert. In Einzelfällen sollen die Betrüger auch manuell eingegriffen haben, um höhere Summen abzubuchen.

Damit das Opfer nichts von den betrügerischen Aktivitäten merkt, hat der Schädling die Abbuchung von der Transaktionsliste ausgeblendet und sämtliche Links zu online ausdruckbaren Kontoauszügen entfernt. Laut McAfee konnte die eingesetzte Malware auch Zwei-Faktor-Authentifizierungen umgehen, indem sie dem Opfer vorgegaukelt hat, dass die Authentifizierung neuerdings schon während der Logins nötig ist. Den so generierten Token hat die Malware für die betrügerische Abbuchung eingesetzt.

McAfee erwähnt, dass so auch Bankkunden angegriffen wurden, die zum Login das EMV-Verfahren (Chip and PIN) einsetzen. In Deutschland ist dieses im Privatkundenbereich jedoch nicht üblich, dort setzt man HBCI ein. Ob die Kriminellen ihre Malware auch an hierzulande verbreitete Zwei-Faktor-Verfahren wie mTAN oder chipTAN angepasst haben, ist bislang noch unklar.

Die eigentliche Überweisung hat die Malware für das Opfer unsichtbar in einem iFrame durchgeführt. In späteren Fällen waren jedoch auch 60 Server im Spiel, die die Online-Banking-Sitzung des Opfers übernahmen und auf denen die Transaktion dann ablief. Die Transaktionsserver zogen mehrfach um, um ein Entdecken zu erschweren. Die Sicherheitsexperten haben nach eigenen Angaben Hinweise gefunden, dass bei einer Transaktion der Zugriff eines Täters auf einen dieser Server aus Moskau erfolgte.

Die im McAfee-Bericht geschilderten Vorfälle haben sich seit Jahresbeginn abgespielt. Insgesamt sind Kunden von mehr als 60 Banken betroffen. Um welche genau es sich handelt, wollte das Unternehmen gegenüber heise Security nicht preisgeben. Der AV-Hersteller arbeitet seit März mit den Ermittlungsbehörden zusammen, um dem Abzockerring den Garaus zu machen. (rei)