Die Arbeitsweise der "Trojaner-Gang"

Ein EU-weit agierendes Syndikat aus dem europäischen Osten hat sich auf Online-Banking-Betrug spezialisiert. Die Bande operiert in fünf voneinander abgeschotteten Ebenen, kommuniziert und abkassiert wird nur über Mittelsleute.

Nach mehreren "Phish"-Zügen beim Online-Banking in Österreich und anderen Ländern Europas seit Ende Dezember wird die Arbeitsweise der unbekannten Online-Betrüger zunehmend sichtbar.

Wenigstens vorläufig deutet alles auf eine einzige Organisation hin, die vom Gebiet der ehemaligen Sowjetunion aus eine erfolgreiche Betrugsmasche generalstabsmäßig durchzieht.

Online-Banking auf fremden Rechnern

Kerngeschäft dieser "Trojaner-Gang" ist das Manipulieren fremder Rechner mit Schadprogrammen, die sie vorher eingeschleust hat, um via Online-Banking dann Geld über ein Drittkonto ins Ausland zu transferieren.

Das letzte Jahr war nicht von großen Viren-Ausbrüchen geprägt, dafür von vielen kleinen, versteckten Online-Attacken. Während die Zahl der freigesetzten Würmer konstant blieb, legten vor allem Trojaner stark zu.

• 2005 war das Jahr der Trojaner

Hunderte Bankensysteme ausspioniert

Die Bande verfügt mittlerweile über umfassendes Know-how, was die Online-Sicherheitssysteme vieler europäischer Banken in einigen EU-Ländern betrifft.

Die Bertüger passen ihre Vorgangsweisen den laufenden Verbesserungen der Banken an, Hunderte Online-Banking-Systeme sind mehr oder weniger gut ausspioniert.

Organisationsstruktur auf fünf Ebenen

Polizei und Sicherheitsexperten gehen inzwischen von einer Organisationsstruktur auf fünf verschiedenen Ebenen aus, die jeweils mehr oder weniger stark voneinander abgeschottet sind.

Im Februar sorgte der Trojaner "Torpig.U" in Österreich für einige Aufregung bei den Banken und ihren Kunden.

• Phisher-Bande plündert EU-weit Konten

Trojaner auf Bestellung

Die Betrugsmasche stellt sich - auf das Nötigste verkürzt und vereinfacht - momentan folgendermaßen dar:

Die Programmierer der Gang produzieren im Auftrag der Planungsebene einen Trojaner. Dieses Schadprogramm wird von der "Webmaster"-Ebene auf diversen Wegen im Netz verbreitet.

Verbreitung über Porno-Websites

Bekannt sind bis jetzt Server, die freien Zugang zu Porno-Websites bzw. Cracks für PC-Spiele und teure Software anbieten, wahrscheinlich gibt es noch diverse weitere Verbreitungswege.

Methoden werden ständig verfeinert

Sicherheitsexperten gehen davon aus, dass diese und andere Banden ihre Methoden bald technisch stark verfeinern werden, um Nutzer von Online-Banking um ihr Geld zu bringen.

• Warnung vor dem Super-Trojaner

Trojaner und "Finanzagenten"

Die Trojaner melden IP-Adresse, Userdaten usw. des befallenen Rechners an die "Webmaster" der Organisation, verhalten sich sonst aber unauffällig.

Sobald in einem Land eine kritische Masse an befallenen Rechnern erreicht ist, senden die Webmaster über fremde Rechner, die sie kontrollieren, Spam-Mails aus.

Darin werden zukünftigen "Finanzagenten" im Zielland Anteile versprochen, wenn sie ihre österreichischen Konten als Zwischenlager zur Verfügung stellen. Auch Kleinanzeigen in Gratis-Blättern dienen bereits zum Rekrutieren dieser Mittelsmännner.

Diese Zwischenstationen auf heimischen Konten sind deshalb notwendig, weil die Banken längst Sicherheitsmechanismen bei Auslandsüberweisungen per Online-Banking eingerichtet haben.

Microsoft will "Phisher" jagen

Microsoft und die internationale Polizeiorganisation Interpol haben Anfang dieser Woche weltweit eine breit angelegte Initiative gegen Trickbetrüger im Internet gestartet.

• Microsoft und Interpol jagen "Phisher"

TAN wird abgefangen

Die befallenen Rechner sind längst nach Passwörtern und Zugangsdaten ausspioniert, sobald nun eine Online-Überweisung getätigt wird, fängt der Trojaner den Transaktionscode [TAN] ab.

Dieser Vorgang variiert je nach Banksystem und den drei verschiedenen Schadprogrammtypen, die im Einsatz sind. Er kann sich durchaus auch Tage vor der eigentlichen Straftat abgespielt haben.

Mittelsmänner leiten das Geld weiter

Gelingt das, werden vom Ausland aus Gelder des ahnungslosen Bankkunden auf Kommando innerhalb kürzester Zeit auf verschiedene österreichische Konten verschoben, die "Wäscher" kontaktieren die "Finanzagenten" und weisen sie an, diese Gelder sofort in bar abzuheben.

Abzüglich der Provision - die den "Finanzagenten" nicht lange bleiben und eine Menge Ärger mit der Polizei einbringen wird - werden die ergaunerten Gelder entweder an einen angereisten Geldboten ausgehändigt oder als Bargeldüberweisung via Western Union Richtung Osten transferiert.

Geldboten sind Kontakt zur Außenwelt

Einer dieser Geldboten wurde mittlerweile geschnappt, allerdings ohne Besonderes über die Organisationssturuktur sagen zu können. Ein Großteil der Kommunikation innerhalb der Gang spielt sich nur über Mittelsleute und wahrscheinlich auch in Chat-Rooms ab. Alleine in Österreich beträgt der Schaden seit Dezember mehrere 100.000 Euro.

• Die Verhaftung eines Mittelsmannes in Wien

Über Maßnahmen der Banken und Möglichkeiten, Ihre Online-Transaktionen zu schützen, lesen Sie im dritten Teil der Serie.

(futurezone | Erich Moechel)