info@PortalDerWirtschaft.de | 02635/9224-11
Suchmaschinenoptimierung
mit Content-Marketing - Ihre News
TREND MICRO Deutschland GmbH |

So löchrig wie Schweizer Käse

Bewerten Sie hier diesen Artikel:
0 Bewertungen (Durchschnitt: 0)


"Operation Emmental": Wie Angreifer Sicherheitsmechanismen für Online-Banking aushebeln


Die Schokolade, das Uhrenhandwerk, der Käse, das Bankgeheimnis: Es gibt viele Dinge, für die die Schweiz auf der ganzen Welt bekannt ist. Doch ausgerechnet beim Online-Banking könnte der gute Ruf Kratzer bekommen. Zwar haben Banken verschiedene Methoden...

Hallbergmoos, 22.07.2014 - Die Schokolade, das Uhrenhandwerk, der Käse, das Bankgeheimnis: Es gibt viele Dinge, für die die Schweiz auf der ganzen Welt bekannt ist. Doch ausgerechnet beim Online-Banking könnte der gute Ruf Kratzer bekommen. Zwar haben Banken verschiedene Methoden entwickelt, um Cyberkriminellen den Zugriff auf die Online-Konten ihrer Kunden zu verwehren. Doch ein von Forschern des japanischen IT-Sicherheitsanbieters Trend Micro nun aufgedeckter Angriff ("Operation Emmental") umgeht eine häufig genutzte Form der Zwei-Faktor-Authentifizierung und hebelt den Schutz durch Sitzungs-Token aus, die per SMS an die mobilen Endgeräte der Bankkunden gesendet werden. Hinter dem Angriff stecken aller Wahrscheinlichkeit nach Cyberkriminelle, die in einem russischsprachigen Land leben. Betroffen sind Bankkunden in der Schweiz und in Österreich. Trend Micro hat die betroffenen Banken und Unternehmen über den Angriff informiert.

Die Palette der Schutzmechanismen beim Online-Banking reicht von simplen Passwörtern über PIN- und TAN-Nummern bis hin zu Sitzungs-Token, die per SMS an die Mobilgeräte gesendet werden, so dass Anwender ihre Identität authentifizieren und die Banking-Sitzungen aktivieren können. Da die Token über einen separaten Kanal gesendet werden, wird diese Methode der Zwei-Faktor-Authentifizierung allgemein als sicher angesehen. Einige der untersuchten Banken nutzen beispielsweise auch Foto-TANs oder die Ausgabe physischer Kartenlesegeräte. Beim Großteil ihrer Kunden kommen jedoch Sitzungs-Token zum Einsatz, die per SMS übertragen werden.

Auf der Suche nach den Löchern: Vorbereitung des Angriffs

Dies machten sich die Cyberkriminellen zunutze und umgingen den Schutz auf komplexe Art und Weise: Der Angriff beginnt mit einer E-Mail, die vermeintlich von einem bekannten Online-Versandhändler oder einem ebenfalls weit verbreiteten Konsumgüterunternehmen stammt (siehe Abbildung 1 im Forschungsbericht). Sobald Anwender die Datei im E-Mail-Anhang öffnen, wird eine zweite Datei ("netupdater.exe") heruntergeladen und ausgeführt, die den Rechner infiziert.

Die Malware nimmt drei Änderungen vor:

- Sie ändert die DNS-Servereinstellungen (DNS = Domain Name System) des Systems und verweist auf einen Server, der unter der Kontrolle der Angreifer steht - ab diesem Punkt können die Angreifer steuern, wie das infizierte System Namen von Internet-Domains auflöst.

- Sie installiert ein neues SSL-Zertifikat einer Root-Certificate-Authority (SSL = Secure Sockets Layer) - hierdurch können die Angreifer Inhalte von SSL-verschlüsselten Phishing-Websites anzeigen, ohne eine Browser-Warnung auszulösen. SSL-Verschlüsselung wird vor allem mit dem https-Übertragungsprotokoll eingesetzt.

- Sie löscht sich selbst, ohne Spuren zu hinterlassen - dies erschwert es Anwendern, die Infektion nach der Installation zu entdecken. Die eigentliche Infektion ist nicht die Malware, sondern lediglich eine Konfigurationsänderung im System. Wenn der Infektionsversuch nicht sofort entdeckt wurde, wird bei darauf folgenden Malware-Suchen keine Bedrohung erkannt, da die Datei dann nicht mehr vorhanden ist (siehe Abbildung 5 im Forschungsbericht).

Löcher gibt es nicht nur im Käse: Ablauf des Angriffs

Anwender, deren Rechner infiziert wurden, werden bei jedem Versuch, Online-Banking zu betreiben, auf einen Phishing-Server umgeleitet und landen auf einer gefälschten Seite. Weil diese Kommunikation über eine sichere https-Verbindung erfolgt, können Anwender nicht erkennen, dass sie nicht mit ihrer Bank kommunizieren: Da auf dem System ein gefälschtes Zertifikat installiert ist, wird ihnen keine Browser-Warnung angezeigt.

Sobald die Anwender Benutzername, Konto- und PIN-Nummer eingeben, werden sie aufgefordert, eine App auf ihrem Smartphone zu installieren (siehe Abbildung 10 im Forschungsbericht). Angeblich ist ohne die App in Zukunft kein Online-Banking mehr möglich. Diese bösartige Android-App gibt vor, ein Session-Token-Generator der Bank zu sein - in Wirklichkeit dient sie dazu, die SMS-Nachrichten der Bank abzufangen und sie an einen Befehls- und Kontroll-Server (C&C-Server) weiterzuleiten. Die Angreifer erhalten über die Phishing-Website sowohl die Anmeldeinformationen der Anwender zum Online-Banking als auch die für das Online-Banking nötigen Session-Token. Nun haben sie die volle Kontrolle über das Bankkonto der Anwender und können in deren Namen Online-Transaktionen ausführen.

So löchrig wie Schweizer Käse: Zusammenfassung des Angriffs

Martin Rösler, Leiter des Bedrohungsforscher-Teams bei Trend Micro, bilanziert: "Bei 'Operation Emmental' handelt es sich um einen komplexen Angriff mit mehreren Komponenten und einer umfangreichen Infrastruktur. Dass sich der markanteste Teil des Angriffs - die PC-Malware - selbst löscht, ohne Spuren zu hinterlassen, half den Angreifern vermutlich, sich relativ bedeckt zu halten."

Rainer Link, Mitglied des Bedrohungsforscher-Teams bei Trend Micro und einer der Autoren, ergänzt: "Anders als bei mTAN-Verfahren, bei denen für jede Transaktion eine einzelne TAN-Nummer angefordert wird, können die Cyberkriminellen mithilfe des Sitzungs-Token unbemerkt mehrere Transaktionen während einer Sitzung ausführen. Sie können die Online-Banking-Sitzung selbst starten, während die Anwender davon erst beim aufmerksamen Durchlesen ihrer Kontoauszüge erfahren. Das teilweise sehr umständliche Deutsch der Anweisungen heißt nicht zwangsweise, dass die Gefahr niedrig ist. Vielmehr ist es auch sehr gut möglich, dass die Cyberkriminellen hier Geldwäsche betreiben. Und sich dafür der Anwender bedienen, die weniger aufmerksam oder weniger versiert sind, was Online-Gefahren betrifft, und deshalb weniger auf die in einer Nachricht verwendete Sprache achten."

Weiterführende Informationen

Der Forschungsbericht zu "Operation Emmental" kann hier heruntergeladen werden.

Weitere Informationen zu Trend Micro sind verfügbar unter http://www.trendmicro.de.

Anwender informieren sich über aktuelle Bedrohungen unter http://blog.trendmicro.de.

Folgen Sie uns auch auf Twitter unter www.twitter.com/TrendMicroDE


Für den Inhalt der Pressemitteilung ist der Einsteller, PresseBox.de, verantwortlich.

Pressemitteilungstext: 789 Wörter, 6577 Zeichen. Als Spam melden

Unternehmensprofil: TREND MICRO Deutschland GmbH


Kommentare:

Es wurde noch kein Kommentar zu diesem Thema abgegeben.



Ihr Kommentar zum Thema





Weitere Pressemitteilungen von TREND MICRO Deutschland GmbH lesen:

TREND MICRO Deutschland GmbH | 06.12.2016

Die schlechten Vorsätze fürs neue Jahr: Was Cyberkriminelle 2017 vorhaben

Hallbergmoos, 06.12.2016 - Nachdem 2016 als das Jahr der Online-Erpressung in die Geschichte eingehen wird, wird sich Ransomware im kommenden Jahr in mehrere Richtungen weiterentwickeln. Zu den neuen Varianten zählt „Business Email Compromise“, ...
TREND MICRO Deutschland GmbH | 22.11.2016

IT-Entscheider und Ransomware: Fast ein Viertel unterschätzt noch immer die Gefahr

Hallbergmoos, 22.11.2016 - Fast ein Viertel (23 Prozent) der IT-Entscheider in deutschen Unternehmen mit mehr als 1.000 Mitarbeitern unterschätzt noch immer die Gefahr, die von Erpressersoftware ausgeht. Das hat eine vom japanischen IT-Sicherheitsan...
TREND MICRO Deutschland GmbH | 08.11.2016

Deutschland im Visier: Neues Exploit Kit verbreitet Erpressersoftware

Hallbergmoos, 08.11.2016 - Der japanische IT-Sicherheitsanbieter Trend Micro warnt vor einem neuen Exploit Kit, das die Erpressersoftware „Locky“ verbreitet: „Bizarro Sundown“. Mit fast zehn Prozent der Opfer rangiert Deutschland im internati...