Warnung vor dem Super-Trojaner
Sicherheitsexperten gehen davon aus, dass "Phisher"-Banden ihre Methoden technisch stark verfeinern werden, um Nutzer von Online-Banking um ihr Geld zu bringen. Bereits jetzt werden über "Phishing"-Mails nicht nur Log-in-Daten ausspioniert, sondern Österreicher gegen Provision als Mittelsleute für Geldtransaktionen angeheuert.
Im österreichischen Online-Banking- und Security-Bereich kursieren derzeit neue Szenarien für Angriffe, die noch weit mehr Schaden anrichten könnten als bisher bekannte Betrugsformen. Das Bundeskriminalamt [BK] spricht von einem "Paradigmenwechsel im Bereich organisierter Kriminalität".
Die neue Generation von Schadprogrammen [so genannten Trojanern] unterschiedet sich von den bekannten Vorgängern vor allem durch technische Raffinesse.
Statt wie bisher nach erfolgtem Abfangen eines TAN-Codes ["TAN-Phishing"] Überweisungen zu tätigen, die von einem Täter manuell durchgeführt werden mussten, werden die unsichtbaren Schädlinge der nahen Zukunft automatisch während einer laufenden Online-Banking-Sitzung eingreifen. Der Trojaner ändert einfach die Zielkontonummer vom Benutzer unbemerkt im Hintergrund.
Windows-Systeme betroffen
Ziel der Angriffsmethode sind wie bei den Vorgängern wie Torpig Online-Transaktionen mit allen Browsern unter einem Windows-Betriebssystem.
Gerüchte, wonach die neuen Super-Trojaner bereits in Umlauf gebracht wurden, konnten bis jetzt nicht bestätigt werden. Die Logik dieses Angriffskonzepts wird aber auch seitens der Bank-Sicherheitsexperten etwa von BAWAG und BA-CA nicht in Abrede gestellt.
Was ist Phishing?
"Phishing" beschreibt eine Form des Trickbetrugs im Internet. In gefälschten Nachrichten, die offiziellen E-Mails der Unternehmen oft zum Verwechseln ähnlich sehen, werden die Anwender aufgefordert ihre Bank-Zugangsdaten einzugeben. Werden diese im guten Glauben übermittelt, führt der Trickbetrüger damit Geldgeschäfte im Namen des Opfers durch.
Verhält sich wie Browser-Plug-in
In Anlehnung an "Man-in-the-Middle-Attacks" laufen die neuen Worst-Case-Szenarien unter dem Begriff "Man-in-the-Browser"-Angriffe. Verkürzt dargestellt: Die Malware verhält sich wie ein Plug-in im Browser und wird nur bei aktuellen Konto-Transaktionen aktiv und damit sichtbar.
Mittelsmänner für Geldtransaktionen
Die Weitergabe des Geldes bleibt aber wie gehabt: Mit Spam und neuerdings auch mit Kleinanzeigen in Gratis-Anzeigenblättern phishen Pseudofirmen, die sich z. B. RapidMoney nennen, nach Gutgläubigen bzw. Kleinkriminellen in Spanien, Italien, Deutschland und Österreich, die gegen "schnelles Geld" ihre Konten bei heimischen Banken für die umgeleiteten Geldtransfers zur Verfügung stellen.
Dieser Zwischenschritt über ein österreichisches Konto ist für die Betrüger deshalb notwendig, weil die Banken mittlerweile für Telebanking-Überweisungen ins Ausland Kontrollmechanismen eingerichtet haben.
Ab Anwerbung des "Finanzagenten" erfolgen die Kontakte zu den Drahtziehern per Telefon und wenig später reisen "Wäscher" zum Einkassieren des Geldes ins Zielland. Es sind auch Fälle bekannt, in denen die österreichischen "Finanzagenten" Bargeld-Überweisungen via Western-Union in Drittländer vorgenommen haben.
Infektion über Pornosites
Als Vertriebswege der Trojaner der ersten Generation ["Torpiq", "trojan.small" und "Goldun"] wurden bisher Porno-Websites und solche, die Cracks für Spiele anbieten, ausgemacht, also eher "traditionelle" Wege, einen Trojaner zu verbreiten, der "nach Hause telefoniert". In mehreren Fällen waren das Websites unter der Länder-Domain ".ru". Es ist auch anzunehmen, dass die neuen Schädlinge dort in Umlauf gebracht werden.
Geld auf dem Weg nach Kasachstan
Wie oesterreich.ORF.at vor wenigen Tagen berichtete, konnte ein mutmaßlicher Betrüger, der aus Kasachstan stammen soll, unlängst festgenommen werden, eine ebenfalls angeheuerte und identifizierte "Wäscherin" konnte flüchten.
Bei dem Mann wurden Belege gefunden, auf Grund derer allein 39 Fälle mit einer Schadenssumme von 234.000 Euro zugeordnet werden konnten, 30.000 Euro davon wurden in Österreich, der Großteil jedoch in Deutschland mittels des bekannten TAN-Phishings ergaunert.
Wie viele "Wäscher" für ein- und dieselbe Gang in Europa unterwegs sind, ist nicht bekannt. Aus einer großen österreichischen Bank ist zu hören, dass zeitweise gut zehn Konten bei verschiedenen österreichischen Banken als "Zwischenlager" zur Verfügung standen.
Die Wäscher waschen ...
Aufgefallen sind diese "Wäscher" nicht durch Überwachung der Telefonnetze bzw. des Internets, sondern auf herkömmlichem Weg. Einen der Angeworbenen überkamen angesichts des offerierten Anteils doch Bedenken und er wandte sich an die Polizei.
Unter Regie des Bundeskriminalamtes wurde die Geldtransaktion verzögert, worauf die "Zentrale" einen Boten entsandte, der den Ermittlern des BK dann in die Arme lief.
... aber sie sagen nichts
Auskünfte über die Auftraggeber sind freilich Mangelware, denn die verkehren mit den unteren Ebenen der Bande wiederum nur über Mittelsleute.
Ebenso zugeknöpft zeigt sich das Bundeskriminalamt im selben Fall. Dem BK sei längst klar, hieß es auf Anfrage von futurezone.ORF.at lediglich, dass sich ein Paradigmenwechsel von "Script-Kiddies" zu Kriminalität von hohem Organisationsgrad vollzogen habe.
Mehr über die Organisationsstruktur der "Trojaner-Gang" samt Reaktionen aus dem Bankenbereich lesen Sie im nächsten Teil dieser Serie.
(futurezone | Erich Moechel)