info@PortalDerWirtschaft.de | 02635/9224-11
Suchmaschinenoptimierung
mit Content-Marketing - Ihre News
TREND MICRO Deutschland GmbH |

So löchrig wie Schweizer Käse

Bewerten Sie hier diesen Artikel:
0 Bewertungen (Durchschnitt: 0)


"Operation Emmental": Wie Angreifer Sicherheitsmechanismen für Online-Banking aushebeln


Die Schokolade, das Uhrenhandwerk, der Käse, das Bankgeheimnis: Es gibt viele Dinge, für die die Schweiz auf der ganzen Welt bekannt ist. Doch ausgerechnet beim Online-Banking könnte der gute Ruf Kratzer bekommen. Zwar haben Banken verschiedene Methoden...

Hallbergmoos, 22.07.2014 - Die Schokolade, das Uhrenhandwerk, der Käse, das Bankgeheimnis: Es gibt viele Dinge, für die die Schweiz auf der ganzen Welt bekannt ist. Doch ausgerechnet beim Online-Banking könnte der gute Ruf Kratzer bekommen. Zwar haben Banken verschiedene Methoden entwickelt, um Cyberkriminellen den Zugriff auf die Online-Konten ihrer Kunden zu verwehren. Doch ein von Forschern des japanischen IT-Sicherheitsanbieters Trend Micro nun aufgedeckter Angriff ("Operation Emmental") umgeht eine häufig genutzte Form der Zwei-Faktor-Authentifizierung und hebelt den Schutz durch Sitzungs-Token aus, die per SMS an die mobilen Endgeräte der Bankkunden gesendet werden. Hinter dem Angriff stecken aller Wahrscheinlichkeit nach Cyberkriminelle, die in einem russischsprachigen Land leben. Betroffen sind Bankkunden in der Schweiz und in Österreich. Trend Micro hat die betroffenen Banken und Unternehmen über den Angriff informiert.

Die Palette der Schutzmechanismen beim Online-Banking reicht von simplen Passwörtern über PIN- und TAN-Nummern bis hin zu Sitzungs-Token, die per SMS an die Mobilgeräte gesendet werden, so dass Anwender ihre Identität authentifizieren und die Banking-Sitzungen aktivieren können. Da die Token über einen separaten Kanal gesendet werden, wird diese Methode der Zwei-Faktor-Authentifizierung allgemein als sicher angesehen. Einige der untersuchten Banken nutzen beispielsweise auch Foto-TANs oder die Ausgabe physischer Kartenlesegeräte. Beim Großteil ihrer Kunden kommen jedoch Sitzungs-Token zum Einsatz, die per SMS übertragen werden.

Auf der Suche nach den Löchern: Vorbereitung des Angriffs

Dies machten sich die Cyberkriminellen zunutze und umgingen den Schutz auf komplexe Art und Weise: Der Angriff beginnt mit einer E-Mail, die vermeintlich von einem bekannten Online-Versandhändler oder einem ebenfalls weit verbreiteten Konsumgüterunternehmen stammt (siehe Abbildung 1 im Forschungsbericht). Sobald Anwender die Datei im E-Mail-Anhang öffnen, wird eine zweite Datei ("netupdater.exe") heruntergeladen und ausgeführt, die den Rechner infiziert.

Die Malware nimmt drei Änderungen vor:

- Sie ändert die DNS-Servereinstellungen (DNS = Domain Name System) des Systems und verweist auf einen Server, der unter der Kontrolle der Angreifer steht - ab diesem Punkt können die Angreifer steuern, wie das infizierte System Namen von Internet-Domains auflöst.

- Sie installiert ein neues SSL-Zertifikat einer Root-Certificate-Authority (SSL = Secure Sockets Layer) - hierdurch können die Angreifer Inhalte von SSL-verschlüsselten Phishing-Websites anzeigen, ohne eine Browser-Warnung auszulösen. SSL-Verschlüsselung wird vor allem mit dem https-Übertragungsprotokoll eingesetzt.

- Sie löscht sich selbst, ohne Spuren zu hinterlassen - dies erschwert es Anwendern, die Infektion nach der Installation zu entdecken. Die eigentliche Infektion ist nicht die Malware, sondern lediglich eine Konfigurationsänderung im System. Wenn der Infektionsversuch nicht sofort entdeckt wurde, wird bei darauf folgenden Malware-Suchen keine Bedrohung erkannt, da die Datei dann nicht mehr vorhanden ist (siehe Abbildung 5 im Forschungsbericht).

Löcher gibt es nicht nur im Käse: Ablauf des Angriffs

Anwender, deren Rechner infiziert wurden, werden bei jedem Versuch, Online-Banking zu betreiben, auf einen Phishing-Server umgeleitet und landen auf einer gefälschten Seite. Weil diese Kommunikation über eine sichere https-Verbindung erfolgt, können Anwender nicht erkennen, dass sie nicht mit ihrer Bank kommunizieren: Da auf dem System ein gefälschtes Zertifikat installiert ist, wird ihnen keine Browser-Warnung angezeigt.

Sobald die Anwender Benutzername, Konto- und PIN-Nummer eingeben, werden sie aufgefordert, eine App auf ihrem Smartphone zu installieren (siehe Abbildung 10 im Forschungsbericht). Angeblich ist ohne die App in Zukunft kein Online-Banking mehr möglich. Diese bösartige Android-App gibt vor, ein Session-Token-Generator der Bank zu sein - in Wirklichkeit dient sie dazu, die SMS-Nachrichten der Bank abzufangen und sie an einen Befehls- und Kontroll-Server (C&C-Server) weiterzuleiten. Die Angreifer erhalten über die Phishing-Website sowohl die Anmeldeinformationen der Anwender zum Online-Banking als auch die für das Online-Banking nötigen Session-Token. Nun haben sie die volle Kontrolle über das Bankkonto der Anwender und können in deren Namen Online-Transaktionen ausführen.

So löchrig wie Schweizer Käse: Zusammenfassung des Angriffs

Martin Rösler, Leiter des Bedrohungsforscher-Teams bei Trend Micro, bilanziert: "Bei 'Operation Emmental' handelt es sich um einen komplexen Angriff mit mehreren Komponenten und einer umfangreichen Infrastruktur. Dass sich der markanteste Teil des Angriffs - die PC-Malware - selbst löscht, ohne Spuren zu hinterlassen, half den Angreifern vermutlich, sich relativ bedeckt zu halten."

Rainer Link, Mitglied des Bedrohungsforscher-Teams bei Trend Micro und einer der Autoren, ergänzt: "Anders als bei mTAN-Verfahren, bei denen für jede Transaktion eine einzelne TAN-Nummer angefordert wird, können die Cyberkriminellen mithilfe des Sitzungs-Token unbemerkt mehrere Transaktionen während einer Sitzung ausführen. Sie können die Online-Banking-Sitzung selbst starten, während die Anwender davon erst beim aufmerksamen Durchlesen ihrer Kontoauszüge erfahren. Das teilweise sehr umständliche Deutsch der Anweisungen heißt nicht zwangsweise, dass die Gefahr niedrig ist. Vielmehr ist es auch sehr gut möglich, dass die Cyberkriminellen hier Geldwäsche betreiben. Und sich dafür der Anwender bedienen, die weniger aufmerksam oder weniger versiert sind, was Online-Gefahren betrifft, und deshalb weniger auf die in einer Nachricht verwendete Sprache achten."

Weiterführende Informationen

Der Forschungsbericht zu "Operation Emmental" kann hier heruntergeladen werden.

Weitere Informationen zu Trend Micro sind verfügbar unter http://www.trendmicro.de.

Anwender informieren sich über aktuelle Bedrohungen unter http://blog.trendmicro.de.

Folgen Sie uns auch auf Twitter unter www.twitter.com/TrendMicroDE


Für den Inhalt der Pressemitteilung ist der Einsteller, PresseBox.de, verantwortlich.

Pressemitteilungstext: 789 Wörter, 6577 Zeichen. Als Spam melden

Unternehmensprofil: TREND MICRO Deutschland GmbH


Kommentare:

Es wurde noch kein Kommentar zu diesem Thema abgegeben.



Ihr Kommentar zum Thema





Weitere Pressemitteilungen von TREND MICRO Deutschland GmbH lesen:

TREND MICRO Deutschland GmbH | 30.01.2017

Gartner Magic Quadrant: Trend Micro ist marktführender Anbieter bei "Intrusion Detection and Prevention Systems"

Hallbergmoos, 30.01.2017 - Das Analystenhaus Gartner hat das japanische IT-Sicherheitsunternehmen Trend Micro in seinem aktuellen magischen Quadranten für „Intrusion Detection and Prevention Systems (IDPS)“ [1] als marktführenden Anbieter einge...
TREND MICRO Deutschland GmbH | 17.01.2017

Ransomware in Deutschland: Die Gefahr bleibt akut

Hallbergmoos, 17.01.2017 - Das noch junge neue Jahr – oder Jahr 1 nach dem „Jahr der Cyber-Erpressung“ – wird zwar eine geringere Zunahme neuer Ransomware-Familien erfahren. Die Angriffsszenarien werden sich jedoch diversifizieren. Nur wenige...
TREND MICRO Deutschland GmbH | 13.01.2017

IDC MarketScape: Trend Micro ist marktführender Anbieter im Bereich E-Mail-Sicherheit

Hallbergmoos, 13.01.2017 - Das Analystenhaus IDC hat das japanische IT-Sicherheitsunternehmen Trend Micro in seinem Bericht „IDC MarketScape: Worldwide Email Security 2016 Vendor Assessment“ als marktführenden Anbieter eingestuft. Als Grund nenn...