Mit SMS gegen Phisher

100.000 Rechner, die für Online-Banking genützt werden, hängen in Österreich völlig ungeschützt am Netz. Gegen die erwartete Welle von raffinierten "Man in the Browser"-Attacken setzt die BA-CA auf mobile TANs: Transaktionscodes und Überweisungsbestätigungen direkt aufs Handy.

Die wohl alarmierendste Zahl, die Robert Zadrazil, Vorstandsmitglied der Bank Austria Creditanstalt [BA-CA], am Dienstag präsentierte, war: "vier Prozent". So hoch ist nämlich der Anteil der österreichischen Internet-Benutzer, die Internet-Banking ohne regelmäßige Updates des Betriebssystems, ohne Virenschutz und Firewall verwenden.

Auf Zahlen umgelegt bedeutet dies, dass alleine hier zu Lande 100.000 Rechner online sind, die nicht nur selbst leicht angreifbar sind, sondern auch für Phishing bei anderen Kunden missbraucht werden können.

Spam-Mails, "Finanzagenten"....

Bekanntlich wird jeder neue Phishingangriff von einer Welle von Spam-Mails eingeleitet. Erstens, um so genannte "Finanzagenten" als Helfershelfer anzuheuern, die ihr Konto für das ergaunerte Geld zur Verfügung stellen und es in Bar-Überweisungen außer Landes schaffen.

Zum Zweiten werden Kontoinhaber im Anschluss mit gefälschten Aufforderungen ihrer Bank bombardiert, Tranaktionscodes in ebenso gefälschte Web-Formulare einzugeben. Dafür werden von den Phishern weitere, ungesicherte Rechner gebraucht.

... und 450 gesperrte Konten

Die Bilanz der BA-CA, deren 500.000 Telebanking-Kunden 2006 in vier unterschiedlich dimensionierten Wellen von Phishing-Attacken heimgesucht wurden, verzeichnet für 2006 insgesamt 450 gesperrte Kundenkonten mit der Gesamtschadensbilanz "einer sechsstelligen Summe", also irgendetwas unter einer Million Euro.

Dabei konnten die BA-CA-Banker acht von zehn betrügerischen Überweisungen zurückholen, manchmal wurden die der Bank als Kunden natürlich namentlich bekannten "Finanzagenten" noch telefonisch erreicht, bevor sie das bereits behobene Geld bar ins Ausland überweisen konnten.

Die neuesten Fälle in Österreich

• Phishing-Attacke gegen Volksbank-Kunden

• Phishing-Angriff auf BA-CA-Kunden

• Phishing mit "Ehrlichkeit und Fleiß"

70 bis 90 Tätergruppen

Während diese Mittäter also in der Regel "binnen Minuten" ausgeforscht sind, wird von den eigentlichen Drahtziehern äußerst selten jemand erwischt.

Weltweit sind es etwa 70 bis 90 Tätergruppen, die zumeist noch "manuell" mit Spam-Mails und falschen Webformularen versuchen, die immer noch hohe Zahl der Ahnungslosen auszunehmen.

Noch - denn über die Natur der nächste Phishing-Welle machen sich die Sicherheitsexperten der BA-CA keinerlei Illusionen.

Der Mann im Browser...

Vom Typus her werden es "Man in the Browser"-Angriffe sein, die wesentlich raffinierter gestrickt sind als die bis jetzt gängigen, "manuellen" Attacken.

Mit Hilfe einer auf den Rechner geschmuggelten Schadsoftware, die wie ein Plug-in im Browser funktioniert, wird direkt in den Buchungsvorgang eingegriffen. Transaktionscodes können so abgefangen und Buchungen durchgeführt werden, ohne dass der Benutzer überhaupt wahrnimmt, dass Böses auf seiner Maschine passiert.

...und was man gegen ihn tut

Derartige Attacken existieren bis jetzt nur als "Proof of Concept" - Beweis, dass es funktioniert - und wurden noch nicht in freier Wildbahn gesichtet. Dass sie kommen werden, daran besteht kein Zweifel. Was aber dagegen tun?

An sich würde die Kombination von digitaler Signaturkarte und Kartenlesegerät Online-Banking generell sehr gut absichern, allein die bisher mangelnde Akzeptanz der Signatur sogar bei Firmenkunden verunmöglicht das.

Mobile TANs

Die BA-CA setzt daher auf die Kombination von zwei Kommunikationstechnologien, die zusammen auch künftige "Man in the Browser"-Attacken sofort sichtbar werden lassen.

Der Kunde erhält dabei den Transaktionscode jeweils per SMS aufs Handy zugeschickt, nach Abschluss des Vorgangs dokumentiert ein weiteres SMS alle Überweisungen.

Anders als im Browser eines befallenen Systems, der dem Kunden alles mögliche vorspiegeln kann, zeigen diese SMS die tatsächlich getätigten Überweisungen an, jede Manipulation fällt daher sofort auf.

• Die Arbeitsweise der "Trojaner-Gang"

• Warnung vor dem Super-Trojaner

Fehlende Gesetze

Anders als die "Finanzagenten", die im Schnitt zu nicht mehr als einer Überweisung kommen, bevor sie geschnappt und wegen Hehlerei und anderen Delikten verfolgt werden, haben Festnahmen der Phisher selbst absoluten Ausnahmecharakter.

Hauptgrund dafür ist schlicht der Umstand, dass in vielen Ländern - Russland ist das wichtigste Beispiel - keine Gesetze gegen diese Betrugsform existieren.

(futurezone | Erich Moechel)