OnlinebetrugZeus-Trojaner plündern Tausende Bankkonten

Mit einer kombinierten Attacke namens Eurograbber haben Betrüger von rund 30.000 Bankkonten Geld abgehoben. Sie infizierten PCs und Smartphones der Opfer mit Trojanern. von Nico Ernst

Der "Zitmo"-Trojaner kommt über ein gefälschtes Sicherheitsupdate aufs Smartphone.

Der "Zitmo"-Trojaner kommt über ein gefälschtes Sicherheitsupdate aufs Smartphone.  |  © Versafe / Check Point

Betrüger haben die Computer und Smartphones von mindestens 30.000 Menschen infiziert, um per SMS verschickte TANs abzufangen und selbst zu nutzen. Auf diese Weise konnten sie bis zu 36 Millionen Euro abbuchen.

In einer ausführlichen Fallstudie bezeichnen die Sicherheitsunternehmen Check Point und Versafe die Aktionen des Systems Eurograbber als "ausgefeilte, mehrdimensionale und gezielte Attacke" auf die Nutzer von Onlinebanking.

Anzeige

Die Täter setzten eine Kombination aus mehreren Verfahren ein: Zunächst muss der PC eines Opfers mit einer Abwandlung des Zeus-Trojaners infiziert werden. Das geschieht durch klassische Phishing-Mails oder auch das Ausnutzen von Sicherheitslücken in Komponenten wie Flash oder Java.

Wenn sich der Anwender das nächste Mal in sein Konto einloggt, wird die Bankseite per Java manipuliert, schreiben die Security-Forscher. Zu sehen ist dann eine vermeintlich von der Bank stammende Nachricht, die zur Eingabe der Handynummer für das mTAN-Verfahren auffordert. Wenn der Nutzer dem nachkommt, erhält er eine SMS mit einem Link zum Download eines Software-Updates auf dem Smartphone, das auch von der Bank stammen soll. Wird auch das in gutem Glauben erledigt, ist das Telefon ebenfalls infiziert.

Trojaner leitet mTAN an Betrüger weiter

Dabei kommt der schon länger bekannte "Zeus in the mobile"-Trojaner (Zitmo) zum Einsatz, den es zumindest für Android-Smartphones und Blackberry-Geräte geben soll. Ohne das ausdrücklich zu erwähnen, zeigt Check Point in seiner Fallstudie aber auch Screenshots eines iOS-Geräts. Ob der Trojaner auch für iPhones existiert, ist allerdings nicht belegt.

Bei der nächsten Transaktion über den PC schlagen beide Trojaner zu: Die Buchung wird nicht mit dem gewünschten Ziel und der richtigen Summe ausgeführt, sondern für ein Konto der Kriminellen vorbereitet. Dabei generiert die Bank dann eine mTAN, die auf das infizierte Smartphone geschickt wird. Dort leitet sie der Handy-Trojaner an das Botnetz der Betrüger weiter, also an kompromittierte Computer. Die bestätigen die Buchung bei der Bank, wiederum über den infizierten PC.

Das System des Onlinebankings wird damit also nicht direkt angegriffen, aus Sicht der Bank sind alle Daten in Ordnung. Sie wurden nur von den Trojanern so manipuliert, dass das Geld woanders ankommt.

Leserkommentare
    • oidrom
    • 06. Dezember 2012 15:30 Uhr

    Nur ein klitzekleiner Teil der Leute versteht sein Smartphone oder seinen Computer. Wenn man bedenkt wieviele Leute immer noch Whats App nutzen. Stichwort: Medienkompetenz. Mir hat niemand beigebracht, wie ich mit meinen Daten im Internet umgehen soll, was ein Zertifikat ist, wie ich mich vor staatlicher Überwachung und/oder Phishing schützen kann etc. Wer weder das technische Verständnis, noch zuviel Zeit übrig hat sich mühsam das Netz nach Blogs o.ä. durchzuwühlen, die informativ UND verständlich für Jedermann sind, der kann gar kein benötigtes Wissen haben, um solche Gefahren eigenständig zu erkennen. Vielmehr wird von der Politik immer häufiger gezeigt, dass technischer Fortschritt unendlich toll ist, ohne dass die Risiken abgeschätzt werden. (Siehe elektronische Gesundheitskarte, der neue Personalausweis etc) Wer sich nicht auskennt vertraut dann der Bank ("ja, steigen sie jetzt auf mTan um, das ist super sicher") oder eben dem/der Beamten/in im Rathaus der kein Wort über die Risiken der Onlinefunktion des neuen Personalausweises verliert. Ich verstehe gerade noch, wovon netzpolitik.org o.a. sprechen, aber beim CCC hört es bei mir schon auf, obwohl ich in der Lage bin Linux zu benutzen und meinen Zugang ins Netz halbwegs zu verschlüsseln. Bildung, Staat und die Eigenverantworung der Unternehmen sind in diesem Punkt eindeutig gescheitert. Kriminelle Hacker lachen sich seit dem Erscheinen von Smartphones ins Fäustchen.

    26 Leserempfehlungen
    Reaktionen auf diesen Kommentar anzeigen

    sehr interessieren würde, und ich mittlerweile auch die Zeit dafür habe, vieles zu probieren, sähe es auf meinen Computern sicher auch nicht anders aus, als im Allgemeinen.
    Ich habe sehr viele Stunden gebraucht, endlos nach Ratschlägen gesucht, die dann auch verständlich waren, bis ich auf dem Andriod-Smartphone meiner Frau endlich ein Virenschutzprogramm installiert hatte, bei meinem iphone bin ich schon etwas nachlässiger und habe mehr Vertrauen zu apple.
    Es ist schon ziemlich aufwendig für einen Laien, einen vernünftigen Virenschutz auf den Computer zu bringen und dazu die Meldungen während der Installation richtig umzusetzen und auch später zu verstehen.
    Hier sind die Hersteller schon gefordert, es einfacher und verständlicher für Jedermann zu gestalten.

    • gorgo
    • 25. Oktober 2013 8:42 Uhr

    Medienkompetenz ist kein "Produkt" wie jedes andere, das die normale Konsumentin unbedingt haben möchte. Von jedem anderen Produkt verspreche ich mir einen sehr persönlichen positiven Nutzen; ich strenge mich an (gleich: Ich bin bereit, Geld-Zeit auszugeben), wenn ich mich besser fühle. "Medienkompetenz" in Ihrem Sinne ist aber rein defensiv, sie bleibt unspezifisch (ich kann A lernen oder auch B - was mich später vor aktuellen Angriffen schützt, kann leider auch C oder D sein...) - und kostet mich auch noch( Geld-) Zeit. Sie hat nicht nur keinen persönlichen Mehrwert, sie ist nicht zuletzt auch un-endlich: Denn wie entscheiden wir eigentlich, wann wir genug wissen, um uns zu schützen? Richtig: Das können wir nicht, denn die Angriffe werden immer ausgefeilter, basieren sie doch auf Innovation.

    In einem solchen Umfeld "Kompetenzen" zu erwerben, erfordert Dauer-Alertheit, Medienkompetenz setzt Dauerengagement voraus. Ihre Forderung läuft auf Syssiphos-Arbeit hinaus - die folglich kaum eine/r aufbringt. Da er/sie meist persönlich nicht mal handfeste Nachteile hat (wer interessiert sich für mich, ist mir egal, wenn anonyme mithörer da sind, Konsumspionage ist sowieso selbstverständlich...), sondern "nur" allgemeine Werte in Gefahr sind (immerhin Demokratie, Privatsphäre, Menschenrechte etc.) - ist es dennoch m.E. nahezu aussichtslos, "Medienkompetenz" zu fordern. Mehr als Promille der Bevölkerung wird sich das nicht antun - ein ganz anderer Ansatz wäre nötig!

    • GDH
    • 06. Dezember 2012 15:38 Uhr

    In diesem Fall mussten die Nutzer noch auf Phishing-Mails/SMS reinfallen. Da sowohl auf PCs als auch Smarphones aber i.d.R. echte Sicherheitslücken (der Kunde muss nicht dem falschen Programm vertrauen) existieren, dürfte das nur der Anfang sein. Es sollte sich mit MTANs also auch nicht sicher fühlen, wer auf diese konkrete Masche nicht reingefallen ist/wäre.

    Die einzige Lösung für Online-Banking, die technisch sicher zu sein scheint, sind sepparate TAN-Generatoren (wo der Nutzer auf dem Display die Überweisungsdatens sieht und die PIN händisch abtippt).

    2 Leserempfehlungen
    Reaktionen auf diesen Kommentar anzeigen

    Die separaten TAN-Generatoren wären sicher, wenn die Nutzer auch die (zur Kontrolle) angezeigen Eckdaten der Überweisung vor dem Generieren der TAN vergleichen würden, aber das machen viele nicht.

    Das einzig wirklich sichere Verfahren wäre ein völlig autarkes System mit online Verbindung und nur ROM Bausteinen.

    • brazzy
    • 06. Dezember 2012 17:25 Uhr

    Naja, das wirklich gefährliche ist hier dass auf PC *und* Handy Malware sizt die zusammenarbeitet. Nur dadurch kann das mTan-Verfahren ausgehebelt werden. Es ist aber ziemlich unwahrscheinlich, sich auf beiden Plattformen zufällig gleichzeitig was einzufangen.

    • oh.stv
    • 06. Dezember 2012 23:47 Uhr

    ist das Geld abheben und von Hand zu dem Empfänger tragen .... ach warte, da kann man ja auch überfallen werden.

    hmmm ... sieht wohl so aus, als wäre nichts 100% sicher.

  1. ...schon wieder ein Bug zu Lasten des Kunden !
    Ich weiss schon, warum ich keine Bankgeschäfte am Computer mache; schriftlicher Überweisungsträger, selbst eingeworfen, nicht zu fälschen (Apothekerhandschrift).

    6 Leserempfehlungen
    Reaktionen auf diesen Kommentar anzeigen

    Wenn ich keinen Virus oder Trojaner zulasse muss man auch nichts fürchten.
    Die Banken müssen in diesem Fall mal wieder nicht gegen die Hacker sondern gegen die Inkompetenz der Nutzer vorgehen.
    Schriftliche Überweisungsträger werden weit öfter gefälscht als elektronische Datensätze...

    "selbst eingeworfen, nicht zu fälschen (Apothekerhandschrift)."
    ---------------------------
    Das Wägen in falscher Sicherheit ist eines der Hauptprobleme

    Ich mache seit vielen Jahren Online-Banking, zwischendrin nutze ich auch immer mal wieder schriftliche Überweisungsträger. Ich hatte bisher ein einziges Mal mit Phishing zu tun: Jemand hatte einen Überweisungsträger aus dem Bank-Briefkasten geangelt und als Vorlage für eine Fälschung genommen (gleicher Betrag, anderer Empfänger). Gottseidank hat jemand bei der Bank die etwas krakelige Unterschrift bemerkt, sonst wären gut zweitausend Euro auf ein falsches Konto gegangen.

    Eine hunderprozentig idiotensichere Methode gibt es nicht, weder auf Papier noch digital.

    • footek
    • 06. Dezember 2012 15:54 Uhr

    Man kann Nicht das nötige Wissen haben? Aha seit wieviel Jahren wird darauf hingewiesen nicht auf Emails zu reagieren die Bankdaten abfragen, geschweige denn mit vertraulichen Daten auf solche Mails zu antworten?
    Ach echt es gibt wirklich Leute, die Sicherheitslücken von pc und Handy in betrügerischer Absicht ausnutzen? Sowas höre ich zum ersten mal.. Ironie aus

    via ZEIT ONLINE plus App

    9 Leserempfehlungen
    Reaktionen auf diesen Kommentar anzeigen
    • siar
    • 06. Dezember 2012 17:27 Uhr

    Ein PC ist ein Gebrauchsgegenstand,aber leider der einzige in meinem Haushalt, bei dem ich mich auch für das technische Innenleben interessieren muss. Warum kann man die Dinger nicht so konstruieren, dass sie wirklich benutzerfreundlich und sicher werden? Selbst wenn ich firewall und Anti-Virenprogramm installiert habe, kann es noch zu Infektionen kommen, da die ja nur die bekannten Formen kennen und nur reagieren, wenn es bereits zu Vorfällen kam.
    Ich wünsche mir einen PC der genauso einfach zu bedienen ist wie meine Waschmaschine und bei dem ich mich nicht permanent mit der Technik und Sicherheit beschäftigen muss.
    Ich denke, es gibt viele Menschen die das überfordert.

  2. Wenn ich keinen Virus oder Trojaner zulasse muss man auch nichts fürchten.
    Die Banken müssen in diesem Fall mal wieder nicht gegen die Hacker sondern gegen die Inkompetenz der Nutzer vorgehen.
    Schriftliche Überweisungsträger werden weit öfter gefälscht als elektronische Datensätze...

    5 Leserempfehlungen
    Antwort auf "Tja ..."
    Reaktionen auf diesen Kommentar anzeigen

    Wenn in der Automobil-Branche jemand sagen würde, das Problem sitzt IM Auto, können sie sich wahrscheinlich schon denken, wie die Reaktion ausfallen würde. Audi hat das in den USA schon teuer bezahlen müssen!
    Bei IT-Geräten darf man aber immer noch ungestraft vom DAU (dümmsten anzunehmenden USER) reden und andererseits fordern, dass intelligente IT-Technik doch noch mehr eingesetzt werden und den Alltag durchdringen soll. IT-Hersteller inkl. der Software-Entwickler müssen endlich von ihrem hohen Ross absteigen müssen und Geräte und Programme dann auch so gestalten, dass jeder Benutzer OHNE eine IT-Ausbildung sie gefahrlos und nutzbringend benutzen kann - oder sie lassen ihre Finger davon. Auch unbedienbare Fahrkartenautomaten o.ä. gehören in diese Rubrik.
    Also: Der "Bug" sitzt in der IT-Firma!

  3. Die separaten TAN-Generatoren wären sicher, wenn die Nutzer auch die (zur Kontrolle) angezeigen Eckdaten der Überweisung vor dem Generieren der TAN vergleichen würden, aber das machen viele nicht.

    Das einzig wirklich sichere Verfahren wäre ein völlig autarkes System mit online Verbindung und nur ROM Bausteinen.

    Eine Leserempfehlung
  4. "Wer solchen Hinweisen dennoch folgt, hat nur dann Glück, wenn sein Virenscanner die sich ständig verändernden Trojaner erkennt."

    Im aktuellen Betriebssystem mountain lion ist Java nicht mehr enthalten. In den älteren Versionen ist es (per update) deaktiviert.
    Das kann auch jeder Windows-User machen.

    Wenn man dann noch Mails von unbekanntem Absendern ungelesen löscht, kann einem diese (billige) Masche nichts anhaben.

    3 Leserempfehlungen
    Reaktionen auf diesen Kommentar anzeigen
    • y5rx
    • 06. Dezember 2012 17:19 Uhr

    Es gibt aber dummerweise Menschen, die Java-basierte Seiten einsetzen müssen. Weil sie sonst eben diese Seiten nicht nutzen können, können sie nicht mal eben Java deaktivieren.
    Ganz im Gegenteil hat das Abschalten von Java auf Apple, aber auch mit dem Firefox bei Windows zu vielen Suportanfragen geführt.
    Nicht jeder Internetnutzer surft da nur zum Spaß rum.....

    • brazzy
    • 06. Dezember 2012 17:27 Uhr

    Das Java-Plugin ist zwar ein großes Einfallstor für Schädlinge, aber beileibe nicht das Einzige.

    "Glück, oder Apple"
    --------------
    Ich würde mich auf beides nicht verlassen. Die Kombination "Wissen und Linux" halte ich z.B. für wesentlich sicherer.

  5. gesperrt wurde, wegen einer ungewöhnlichen Transaktion, die mein sofortiges Eingreifen erfordern würde.

    Daraufhin habe ich meine Daten auf der PayPal Seite eingegeben.

    Vorname: Ichbin
    Nachname: Dochnichtbloed
    Strasse: Sodoofkann
    Nummer: 616
    Wohnort: Kanndochkeinersein
    PLZ: 66666
    etc: ...
    etc: ...
    etc: ...

    Beschissen zu werden, kann richtig Spaß machen :-)

    3 Leserempfehlungen
    Reaktionen auf diesen Kommentar anzeigen
    • Sauzahn
    • 06. Dezember 2012 17:21 Uhr

    in die Phishing Daten zu platzieren. Das wirft ihnen die Datenbank durcheinander. (Leerzeichen, Komma und Strichpunkt)

Bitte melden Sie sich an, um zu kommentieren

  • Artikel Auf einer Seite lesen
  • Schlagworte Bank | Computer | Download | Euro | Flash | Java
Service