Manipulation des PCs für Durschnittsuser schwerlich erkennbar

«Operation Emmental» hebelt mobile TANs aus

publiziert: Dienstag, 22. Jul 2014 / 17:53 Uhr
Der Angriff beginnt mit einer E-Mail und endet mit der Installation einer mobilen App.
Der Angriff beginnt mit einer E-Mail und endet mit der Installation einer mobilen App.

Hallbergmoos - Mobile Transaktionsnummern (mTANs) für das Online-Banking sind nicht so sicher, wie Finanzinstitute gern behaupten. Das zeigt ein komplexer Angriff, den der Sicherheitsspezialist Trend Micro entdeckt hat.

5 Meldungen im Zusammenhang
Die «Operation Emmental» manipuliert den PC von Usern und ist dort kaum nachweisbar, dann jubelt sie Opfern auch noch eine schädliche App unter. Die Cybercrime-Kampagne hat Nutzer von insgesamt 34 Bank-Webseiten ins Visier genommen, darunter 16 schweizerische sowie sechs österreichische. Bei manchen davon werden noch nicht einmal mTANs, sondern gar nur per SMS verschickte Einmalpasswörter ausgehebelt.

«Uns hat erstaunt, dass es gerade in der Schweiz Banken gibt, die so einfache Verfahren nutzen», meint Rainer Link, Senior Threat Researcher bei Trend Micro, im Gespräch mit pressetext. Freilich macht es für die Operation Emmental keinen wirklichen Unterschied. Denn ist der Angriff erfolgreich, könnten die Hintermänner praktisch nach belieben SMS abfangen - beispielsweise auch, wenn für jede Überweisung eine eigene mTAN nötig ist. Wichtig ist nur, Nutzer dazu zu bekommen, erst auf ihrem PC und dann auf dem Android-Smartphone die nötige Malware laufen zu lassen. Auf dem Computer ist die Manipulation danach kaum nachzuweisen.

Täuschend echte Phishing-Server

Der Angriff beginnt klassisch mit einer E-Mail, die vielfach von einem bekannten Online-Händler zu stammen scheint. Sie fordert den Nutzer auf, einen Anhang zu öffnen und eine Datei auszuführen. Geschieht das, folgt der Download eines angeblichen Windows-Update-Tools. Stimmt der User dem zu, manipuliert die Malware die DNS-Einstellungen seines Systems. Dadurch können die Angreifer bestimmen, wie der Rechner Web-Adressen auflöst. Zudem installiert der Schädling ein SSL-Zertifikat, dank dem sich ein Server der Kriminellen unbemerkt als der einer Bank ausgeben kann. Die eigentliche Malware löscht sich dann, denn ihre Arbeit ist getan. Dadurch ist eine Infektion allenfalls durch die verbleibenden Manipulationen und somit schwer erkennbar.

Die zweite Phase des Angriffs beginnt, wenn der Nutzer versucht, beispielsweise durch direkte Eingabe der URL eine der betroffenen Bank-Webseiten zu erreichen. Durch die Manipulationen an seinem PC landet er auf einem Phishing-Server, den er von der echten, auch SSL-verschlüsselten Bank-Webseite nicht unterscheiden kann. Versucht der Nutzer sich einzuloggen, kennen die Angreifer seine Zugangsdaten. Zudem wird er angeblich aus Sicherheitsgründen zum Download einer Android-App angehalten. IT-Profis mögen da stutzig werden, doch auf sie zielt der Angriff nicht unbedingt ab. «Ein Durchschnitts-User denkt, er sei bei seiner Hausbank, und glaubt daher leicht, das ist wirklich ein neues Sicherheitsfeature», meint Link. Lädt er die App, haben die Cyberkriminellen gewonnen.

Volle mTAN-Kontrolle

Die App gaukelt dem User zwar weiter vor, durch Bereitstellen angeblicher Einmalpasswörter, die auf der Phishing-Seite auch funktionieren, für Sicherheit zu sorgen. Im Hintergrund allerdings gibt sie den Angreifern die volle Kontrolle über SMS, die die Bank selbst verschickt. «Diese SMS werden unterdrückt, an Server der Angreifer weitergeleitet und gelöscht», erklärt Link. Somit kommen die Kriminellen nach den Zugangsdaten für den Online-Banking-Account auch an Sitzungstokens oder mTANs. Damit können sie Transaktionen durchführen, die das Opfer wohl erst auf dem nächsten Kontoauszug bemerkt.

Unerfreulich für Betroffene ist, dass die Manipulationen am PC ebenso schwer zu erkennen wie zu beheben sind. Ausser der Aufforderung zum Download der schädlichen App beim Online-Banking gibt es keine für Durchschnitts-User erkennbaren Zeichen. Eine automatische Reparatur der veränderten DNS-Einstellungen ist nicht möglich, da dazu die regulären Werte bekannt sein müssten. Auch von Hand ist die Reparatur schwierig, da selbst Profis oft nicht auf Anhieb wissen, welche DNS-Server sie standardmässig nutzen. Die App auf dem Smartphone wirklich loszuwerden, scheint da deutlich leichter. Denn hier sollten Antiviren-Lösungen Abhilfe schaffen.

 

 

(fest/pte)

Kommentieren Sie jetzt diese news.ch - Meldung.
Lesen Sie hier mehr zum Thema
Zürich - Die Lage der IT-Sicherheit ... mehr lesen
Wenig Online-Banking-Infektionen, doch viele globale Probleme.
Unsichere Websites entlarvt
Um gegen Apps und Webseiten anzukämpfen, die Daten unverschlüsselt und somit gerade in offenen WLAN-Netzen unsicher übertragen, stellt sie der Softwareentwickler Tony Webster an den ... mehr lesen
Wien - 80 Mrd. Bedrohungen wurden im Jahr 2013 vom Smart Protection Network ... mehr lesen
Malware, Ransomware und Co werden für Nutzer immer ausgefeilter.(Symbolbild)
Internetnutzer sollen alle Passwörter für die fraglichen Dienste ändern.
Bern - Internetuser dürfen sich ... mehr lesen 1
.
Digitaler Strukturwandel  Nach über 16 Jahren hat sich news.ch entschlossen, den Titel in seiner jetzigen Form einzustellen. Damit endet eine Ära medialer Pionierarbeit. mehr lesen 22
Berühmtes Deepfake: Papst Franziskus in fetter Daunenjacke.
Berühmtes Deepfake: Papst Franziskus in fetter Daunenjacke.
Um der steigenden Verbreitung manipulierter Inhalte entgegenzuwirken, haben sich Google, Meta und OpenAI der C2PA angeschlossen. Ihr Ziel ist es, Standards zu entwickeln, um authentische Inhalte von solchen zu unterscheiden, die mithilfe von Künstlicher Intelligenz erstellt wurden. mehr lesen 
Publinews Die Paysafecard ist ein elektronisches Zahlungsmittel, das auf dem Prepaid-Prinzip basiert. Es ermöglicht ... mehr lesen  
Die Paysafecard bietet eine Vielzahl von Vorteilen, die sie zu einer beliebten Wahl für Online-Zahlungen machen.
Cybersicherheit endet nicht beim Passwort
Publinews Die Zeit von 123456 als populärstem Passwort scheint vorbei zu sein. Laut der 2023er ... mehr lesen  
Der Bundesrat hat am ein Massnahmenpaket zur Förderung eines Schweizer Datenökosystems verabschiedet. Das Ziel des Datenökosystems ist es, das ... mehr lesen  
Das Datenökosystem besteht aus vertrauenswürdigen Datenräumen, die gemäss klaren Regeln miteinander vernetzt werden können.
Der Remoteserver hat einen Fehler zurückgegeben: (500) Interner Serverfehler.
Source: http://www.news.ch/ajax/top5.aspx?ID=861&col=COL_2_1
Die Ozlo Sleepbuds im Case.
eGadgets Die Kopfhörer für erholsamen Schlaf Schlafstörungen sind ein weit verbreitetes Problem. ...
Domain Namen registrieren
Domain Name Registration
Zur Domain Registration erhalten Sie: Weiterleitung auf bestehende Website, E-Mail Weiterleitung, Online Administration, freundlichen Support per Telefon oder E-Mail ...
Domainsuche starten:


 
Stellenmarkt.ch
Der Remoteserver hat einen Fehler zurückgegeben: (500) Interner Serverfehler.
Source: http://www.news.ch/ajax/top5.aspx?ID=0&col=COL_3_1
Kreditrechner
Wunschkredit in CHF
wetter.ch
Heute Sa So
Zürich 4°C 19°C freundlichleicht bewölkt, ueberwiegend sonnig wolkig, aber kaum Regen wechselnd bewölkt
Basel 7°C 19°C wechselnd bewölktleicht bewölkt, ueberwiegend sonnig gewitterhaft wechselnd bewölkt
St. Gallen 4°C 19°C freundlichleicht bewölkt, ueberwiegend sonnig wolkig, aber kaum Regen wechselnd bewölkt
Bern 4°C 19°C freundlichleicht bewölkt, ueberwiegend sonnig wechselnd bewölkt, Regen wolkig, aber kaum Regen
Luzern 6°C 19°C wechselnd bewölktleicht bewölkt, ueberwiegend sonnig wechselnd bewölkt, Regen wechselnd bewölkt
Genf 10°C 21°C wechselnd bewölktleicht bewölkt, ueberwiegend sonnig wolkig, aber kaum Regen trüb und nass
Lugano 8°C 12°C anhaltender Regenleicht bewölkt, ueberwiegend sonnig anhaltender Regen anhaltender Regen
mehr Wetter von über 8 Millionen Orten