Onlinebetrug : Zeus-Trojaner plündern Tausende Bankkonten

Mit einer kombinierten Attacke namens Eurograbber haben Betrüger von rund 30.000 Bankkonten Geld abgehoben. Sie infizierten PCs und Smartphones der Opfer mit Trojanern.
Der "Zitmo"-Trojaner kommt über ein gefälschtes Sicherheitsupdate aufs Smartphone. © Versafe / Check Point

Betrüger haben die Computer und Smartphones von mindestens 30.000 Menschen infiziert, um per SMS verschickte TANs abzufangen und selbst zu nutzen. Auf diese Weise konnten sie bis zu 36 Millionen Euro abbuchen.

In einer ausführlichen Fallstudie bezeichnen die Sicherheitsunternehmen Check Point und Versafe die Aktionen des Systems Eurograbber als "ausgefeilte, mehrdimensionale und gezielte Attacke" auf die Nutzer von Onlinebanking.

Die Täter setzten eine Kombination aus mehreren Verfahren ein: Zunächst muss der PC eines Opfers mit einer Abwandlung des Zeus-Trojaners infiziert werden. Das geschieht durch klassische Phishing-Mails oder auch das Ausnutzen von Sicherheitslücken in Komponenten wie Flash oder Java.

Wenn sich der Anwender das nächste Mal in sein Konto einloggt, wird die Bankseite per Java manipuliert, schreiben die Security-Forscher. Zu sehen ist dann eine vermeintlich von der Bank stammende Nachricht, die zur Eingabe der Handynummer für das mTAN-Verfahren auffordert. Wenn der Nutzer dem nachkommt, erhält er eine SMS mit einem Link zum Download eines Software-Updates auf dem Smartphone, das auch von der Bank stammen soll. Wird auch das in gutem Glauben erledigt, ist das Telefon ebenfalls infiziert.

Trojaner leitet mTAN an Betrüger weiter

Dabei kommt der schon länger bekannte "Zeus in the mobile"-Trojaner (Zitmo) zum Einsatz, den es zumindest für Android-Smartphones und Blackberry-Geräte geben soll. Ohne das ausdrücklich zu erwähnen, zeigt Check Point in seiner Fallstudie aber auch Screenshots eines iOS-Geräts. Ob der Trojaner auch für iPhones existiert, ist allerdings nicht belegt.

Bei der nächsten Transaktion über den PC schlagen beide Trojaner zu: Die Buchung wird nicht mit dem gewünschten Ziel und der richtigen Summe ausgeführt, sondern für ein Konto der Kriminellen vorbereitet. Dabei generiert die Bank dann eine mTAN, die auf das infizierte Smartphone geschickt wird. Dort leitet sie der Handy-Trojaner an das Botnetz der Betrüger weiter, also an kompromittierte Computer. Die bestätigen die Buchung bei der Bank, wiederum über den infizierten PC.

Das System des Onlinebankings wird damit also nicht direkt angegriffen, aus Sicht der Bank sind alle Daten in Ordnung. Sie wurden nur von den Trojanern so manipuliert, dass das Geld woanders ankommt.

Verlagsangebot

Entdecken Sie mehr.

Lernen Sie DIE ZEIT 4 Wochen lang im Digital-Paket zum Probepreis kennen.

Hier testen

Kommentare

55 Kommentare Seite 1 von 7 Kommentieren

Ich kann dem nur zustimmen, und wenn es mich nicht so

sehr interessieren würde, und ich mittlerweile auch die Zeit dafür habe, vieles zu probieren, sähe es auf meinen Computern sicher auch nicht anders aus, als im Allgemeinen.
Ich habe sehr viele Stunden gebraucht, endlos nach Ratschlägen gesucht, die dann auch verständlich waren, bis ich auf dem Andriod-Smartphone meiner Frau endlich ein Virenschutzprogramm installiert hatte, bei meinem iphone bin ich schon etwas nachlässiger und habe mehr Vertrauen zu apple.
Es ist schon ziemlich aufwendig für einen Laien, einen vernünftigen Virenschutz auf den Computer zu bringen und dazu die Meldungen während der Installation richtig umzusetzen und auch später zu verstehen.
Hier sind die Hersteller schon gefordert, es einfacher und verständlicher für Jedermann zu gestalten.

Medienkompetenz einfordern ist einfach...

Medienkompetenz ist kein "Produkt" wie jedes andere, das die normale Konsumentin unbedingt haben möchte. Von jedem anderen Produkt verspreche ich mir einen sehr persönlichen positiven Nutzen; ich strenge mich an (gleich: Ich bin bereit, Geld-Zeit auszugeben), wenn ich mich besser fühle. "Medienkompetenz" in Ihrem Sinne ist aber rein defensiv, sie bleibt unspezifisch (ich kann A lernen oder auch B - was mich später vor aktuellen Angriffen schützt, kann leider auch C oder D sein...) - und kostet mich auch noch( Geld-) Zeit. Sie hat nicht nur keinen persönlichen Mehrwert, sie ist nicht zuletzt auch un-endlich: Denn wie entscheiden wir eigentlich, wann wir genug wissen, um uns zu schützen? Richtig: Das können wir nicht, denn die Angriffe werden immer ausgefeilter, basieren sie doch auf Innovation.

In einem solchen Umfeld "Kompetenzen" zu erwerben, erfordert Dauer-Alertheit, Medienkompetenz setzt Dauerengagement voraus. Ihre Forderung läuft auf Syssiphos-Arbeit hinaus - die folglich kaum eine/r aufbringt. Da er/sie meist persönlich nicht mal handfeste Nachteile hat (wer interessiert sich für mich, ist mir egal, wenn anonyme mithörer da sind, Konsumspionage ist sowieso selbstverständlich...), sondern "nur" allgemeine Werte in Gefahr sind (immerhin Demokratie, Privatsphäre, Menschenrechte etc.) - ist es dennoch m.E. nahezu aussichtslos, "Medienkompetenz" zu fordern. Mehr als Promille der Bevölkerung wird sich das nicht antun - ein ganz anderer Ansatz wäre nötig!

Nach nichtmal der schlimmste Fall

In diesem Fall mussten die Nutzer noch auf Phishing-Mails/SMS reinfallen. Da sowohl auf PCs als auch Smarphones aber i.d.R. echte Sicherheitslücken (der Kunde muss nicht dem falschen Programm vertrauen) existieren, dürfte das nur der Anfang sein. Es sollte sich mit MTANs also auch nicht sicher fühlen, wer auf diese konkrete Masche nicht reingefallen ist/wäre.

Die einzige Lösung für Online-Banking, die technisch sicher zu sein scheint, sind sepparate TAN-Generatoren (wo der Nutzer auf dem Display die Überweisungsdatens sieht und die PIN händisch abtippt).

Wo sitzt der Bug?

Wenn in der Automobil-Branche jemand sagen würde, das Problem sitzt IM Auto, können sie sich wahrscheinlich schon denken, wie die Reaktion ausfallen würde. Audi hat das in den USA schon teuer bezahlen müssen!
Bei IT-Geräten darf man aber immer noch ungestraft vom DAU (dümmsten anzunehmenden USER) reden und andererseits fordern, dass intelligente IT-Technik doch noch mehr eingesetzt werden und den Alltag durchdringen soll. IT-Hersteller inkl. der Software-Entwickler müssen endlich von ihrem hohen Ross absteigen müssen und Geräte und Programme dann auch so gestalten, dass jeder Benutzer OHNE eine IT-Ausbildung sie gefahrlos und nutzbringend benutzen kann - oder sie lassen ihre Finger davon. Auch unbedienbare Fahrkartenautomaten o.ä. gehören in diese Rubrik.
Also: Der "Bug" sitzt in der IT-Firma!

von wegen "nicht zu fälschen"

Ich mache seit vielen Jahren Online-Banking, zwischendrin nutze ich auch immer mal wieder schriftliche Überweisungsträger. Ich hatte bisher ein einziges Mal mit Phishing zu tun: Jemand hatte einen Überweisungsträger aus dem Bank-Briefkasten geangelt und als Vorlage für eine Fälschung genommen (gleicher Betrag, anderer Empfänger). Gottseidank hat jemand bei der Bank die etwas krakelige Unterschrift bemerkt, sonst wären gut zweitausend Euro auf ein falsches Konto gegangen.

Eine hunderprozentig idiotensichere Methode gibt es nicht, weder auf Papier noch digital.

@1 wie bitte

Man kann Nicht das nötige Wissen haben? Aha seit wieviel Jahren wird darauf hingewiesen nicht auf Emails zu reagieren die Bankdaten abfragen, geschweige denn mit vertraulichen Daten auf solche Mails zu antworten?
Ach echt es gibt wirklich Leute, die Sicherheitslücken von pc und Handy in betrügerischer Absicht ausnutzen? Sowas höre ich zum ersten mal.. Ironie aus

via ZEIT ONLINE plus App

Warum so hochnäsig

Ein PC ist ein Gebrauchsgegenstand,aber leider der einzige in meinem Haushalt, bei dem ich mich auch für das technische Innenleben interessieren muss. Warum kann man die Dinger nicht so konstruieren, dass sie wirklich benutzerfreundlich und sicher werden? Selbst wenn ich firewall und Anti-Virenprogramm installiert habe, kann es noch zu Infektionen kommen, da die ja nur die bekannten Formen kennen und nur reagieren, wenn es bereits zu Vorfällen kam.
Ich wünsche mir einen PC der genauso einfach zu bedienen ist wie meine Waschmaschine und bei dem ich mich nicht permanent mit der Technik und Sicherheit beschäftigen muss.
Ich denke, es gibt viele Menschen die das überfordert.