Online Banking durch neuartigen Trojaner bedroht
Ein vom japanischen IT-Sicherheitsanbieters Trend Micro aufgedeckter Angriff umgeht eine häufig genutzte Form der Zwei-Faktor-Authentifizierung und hebelt so beispielsweise das beliebte mobile TAN (mTAN) Verfahren aus.
Die Palette der Schutzmechanismen beim Online-Banking reicht von simplen Passwörtern über PIN- und TAN-Nummern bis hin zu Sitzungs-Token, die per SMS an die Mobilgeräte gesendet werden. Da die sog. „Token“ über einen separaten Kanal gesendet werden, wird diese Methode der Zwei-Faktor-Authentifizierung allgemein als sicher angesehen.
Surftipp: Übersicht TAN-Verfahren
Der entdeckte Trojaner bzw. der dazugehörige Angriff hebelt nun genau diese zwei Stufen Authentifizierung aus, und ermöglicht den Angreifern einen beliebigen Zugriff auf das Online-Banking.
Ablauf des Angriffs
Wie sehr oft beginnt auch hier der Angriff mit einer E-Mail, die vermeintlich von einem bekannten Online-Versandhändler oder einem ebenfalls weit verbreiteten Konsumgüterunternehmen stammt und einen e-Mail Anhang aufweist. Sobald der Anwender diesen Anhang öffnet, wird eine zweite Datei heruntergeladen und ausgeführt. Der Rechner ist infiziert.
Das „geniale“ an diesem Trojaner ist nun, dass dieser sich nach seiner durchgeführten Aufgabe selbst löscht und es somit dem Nutzer erschwert die Infektion überhaupt festzustellen.
Infizierte Rechner leiten nun Online-Banking Anfragen auf einen Phishing-Server um und der Anwender landet auf einer entsprechend gefälschten Seite. Weil die Kommunikation über eine sichere https-Verbindung erfolgt, können Anwender nicht erkennen, dass sie nicht mit ihrer Bank kommunizieren und auch der Browser gibt keine Fehlermeldung aus.
Sobald die Anwender Benutzername, Konto- und PIN-Nummer eingeben, werden sie aufgefordert, eine App auf ihrem Smartphone zu installieren. Die angeblich ab sofort für Online-Banking erforderlich sei. Diese bösartige Android-App dient nun dazu, die SMS-Nachrichten der Bank abzufangen und sie an einen Befehls- und Kontroll-Server weiterzuleiten, um so den Angreifern die Kontrolle über die Transaktionen zu ermöglichen.
Laut Rainer Link, Mitglied des Bedrohungsforscher-Teams bei Trend Micro und einer der Autoren der Untersuchung, teilt auch mit, dass „Anders als bei mTAN-Verfahren, bei denen für jede Transaktion eine einzelne TAN-Nummer angefordert wird, können die Cyberkriminellen mithilfe des Sitzungs-Token unbemerkt mehrere Transaktionen während einer Sitzung ausführen. Sie können die Online-Banking-Sitzung selbst starten, während die Anwender davon erst beim aufmerksamen Durchlesen ihrer Kontoauszüge erfahren.“
Auch wenn dieser Angriff sehr raffiniert ist und es bisher wohl „nur“ auf Schweizer Banken abgesehen hat, kann man sich als Anwender durchaus wappnen. Denn nach wie vor muss der Anwender aktiv dem Trojaner den Zugang zum System verhelfen. Wenn der Anwender gegenüber ominösen e-Mails und deren Anhänge die notwendige Sorgfalt angedeihen lässt und zusätzlich bei seinem Android-Smartphone, die Installation von Apps mit „unbekannter Herkunft“ (unter Sicherheitseinstellungen) einen Riegel vorschiebt, kann auch in diesem Fall das Risiko auf ein Minimum reduziert werden.