privacy service   a-cert e-rating.at
e-commerce News | Bewertungsmethoden | Shop anmelden | Benutzer registrieren | Mitglied werden | Hilfe
2006/07/25 Raffinierter Trojaner gefährdet Österreichs Onlinebanking-Kunden
Neuer Trojaner manipuliert Websites am Kunden-PC - kann dadurch auch Sicherheitsmerkmale umgehen - österreichische und deutsche Banken betroffen - Ziel ist das "Phishing" nach TAN-Codes - west-östliche Spur führt nach Russland und USA - Phishing und Trojaner verdrängen klassische Würmer

Neuer Trojaner manipuliert Websites am Kunden-PC

Ruft man die von den Banken vorgesehenen Online-Banking-Seiten auf, dann werden Teile des html-Codes durch den Trojaner ersetzt. Im wesentlichen handelt es sich um jene Teile, in denen Kundennummer und Passwort/PIN abgefragt werden. Statt das diese Daten am Bankserver geprüft werden, landet man nach Eingabe dieser Daten auf einer "Authentisierungsmaske", die die Bekanntgabe von bis zu vier TAN's verlangt. Da die restlichen Teile der Website Originalteile sind und damit auch das richtige Zertifikat der Onlinebank besitzen, zeigt der Internet Explorer auch das geschlossene Schloss und das richtige Zertifiakt an.

Möglich ist der Trick, weil einerseits ein Trojaner am Kunden-PC die Webseiten verändern kann, hier werden Sicherheitslücken des Betriebssystems ausgenutzt, andererseits die Banken aus Bequemlichkeits- und Fahrlässigkeitsgründen Frames und Java-Scripts bei ihren Onlinebanking-Lösungen verwenden, die schon seit längerer Zeit als besonders leicht angreifbar angesehen werden. Letztlich sind auch die Informationsfunktionen der Webbrowser unzureichend, so sollten gemischte Websites mit sicheren und unsicheren Frames gar nicht angezeigt werden.

Betroffen sind praktisch alle wichtigen Onlinebanking-Anbieter, unter anderem Raiffeisen, Erste/Sparkassen, BA-CA, Volksbank und Bawag/PSK, aber auch deutsche Banken dürften im Visier der Angreifer sein.

Der Infektionsweg mit dem Trojaner ist - noch - nicht bekannt. Möglich ist sowohl eine Zustellung per Mail als Wurm oder über eine verseuchte Website. Nach Auskunft von Herrn Strobl, von der AAX Business Solutions, bei der der Trojaner ausführlich untersucht wurde, dürfte der Trojaner gängige Antiviren-Programme überwinden, auch in ihren aktualisierten Versionen.

Meldungen über Schäden sind noch nicht verfügbar, die Banken halten sich noch bedeckt.


West-östliche Spur führt nach Russland und USA

Analysiert man den Datenverkehr des Trojaners, dann gelangt man einerseits zu IP-Adressen, die in Russland, andererseits zu solchen, die in den USA beheimatet sind.

Die Bedeutung der IP-Adressen sollte jedoch nicht überschätzt werden, da professionelle Täter sich längst einen größeren Pool an Wirts-Rechnern zugelegt haben, die im Angrifsfall als - unfreiwillige - Plattform für kriminelle Aktivitäten dienen. Dabei wird - je nach Angriffsland - als Ausgangsbasis ein möglichst weit weg liegendes Land, idealerweise auch ein Land, mit dem keine oder nur wenige Rechtshilfeabkommen existieren, als Angriffs-Basis ausgewählt.

Genaue Zahlen existieren nicht, aber sicher sind weltweit mehrere Millionen Firmen- und Privatrechner als Sprungbretter für kriminelle Aktivitäten vorbereitet.

Es ist daher überhaupt nicht auszuschliessen, dass der eigentliche Angreifer letztlich in Deutschland oder in Österreich sitzt und durch die genaue Marktkenntnis erst imstande ist, eine Phishingattacke proffessionell durchzuführen.


Generalstabsmäßige Vorbereitung

Die Attacke dürfte im Zusammenhang mit Geldwäschemails der letzten Wochen stehen. Seit Mai/Juni wird Österreich massiv mit Mails überschwemmt, in denen leichte Tätigkeit und hoher Gewinn für einfache Finanzmanagertätigkeit versprochen wurde. Als Inhaber eines Telebankingkontos sollte man auf Anforderung Überweisungen tätigen und allenfalls auch Baranweisungen durchführen. Auffällig waren die kurzen Terminvorgaben, die angesprochen wurden. Innerhalb kurzer Zeit sollten, so die Vorgabe des Auftraggebers, bei Bedarf die Transaktionen durchgeführt werden.

Hans G. Zeger, Obmann ARGE DATEN: "Mittlerweile zeigen die Phishing-Wellen ein sehr klares, gleichbleibendes Muster. Im ersten Schritt werden Komplizen und Helfer aquiriert. Als zweites werden immer neue, raffiniertere und mit neuen Funktionen ausgestattete Trojaner durch Websites und Mails in Umlauf gebracht. Wenige Tage später wird abgecasht."

Selbst bei dürftigen Erfolgsqouten unter 0,1 Promille ist das Geschäft lukrativ. Bei etwa 2 Millionnen Onlinebanking-Benutzern, von denen etwa 10% durch Spam- und Phisingmails gut erreichbar sind muss man mit 10-100 Opfern pro Phishingwelle rechnen. Das bisherige Schadenspotential dürfte mit etwa 500.000 EUR für die Banken zwar minimal sein, für die betroffenen Konsumenten sind die Beträge von 1.000 bis 20.000 EUR doch bedrohlich.


Phishing und Trojaner verdrängen klassische Würmer

Während die Zahl von konventionellen Viren und Würmern stagniert bis leicht rückläufig ist, wächst der Phishinganteil dramatisch. Waren 2004 weniger als ein Prozent der unerwünschten Mails Phishingmails, liegt der Anteil jetzt bei 10% aller Wurm-/Trojanerverseuchten Mails.

Quantitaiv noch immer weit an der Spitze sind jedoch weiterhin klassische Spam-Mails, die etwa 90% des Mailverkehrs ausmachen.


Angreifer nutzen bekannte Design- und Systemfehler aus

Die kriminelle Energie der Onlinebanking-Angreifer fällt auf fruchtbaren Boden, da sie einerseits bekannte Sicherheitslücken des weit verbreiteten Endbenutzer-Betriebssystems nutzen, andererseits Design- und Ablaufschwächen der Telebankingangebote.

So hat die ARGE DATEN schon vor einem Jahr darauf hingewiesen, dass Onlinebanking in Frames ein enormes Sicherheitsrisiko darstellt, gleiches gilt für Java-Scripts. Genau diese "Funktionalität" wurde bei der jetztigen Attacke genutzt.

Unerträglich ist auch, dass immer noch einzelne Banken die Merkmale einer gesicherten Onlineverbindung verstecken und ihre Kunden nicht darüber aufklären. Eine weitere Schwachstelle ist, dass die verwendeten Zertifikate bei den meisten Telebankingangeboten nicht auf den Namen der betreibenden Bank ausgestellt sind, sondern auf den Namen irgendeiner Servicegesellschaft. Die ARGE DATEN rechnet, dass genau dieser Fehler in den nächsten Wochen Ansatz für eine neue Phishing-Attacke sein wird.

In Mails raffiniert geschürte Sicherheitsängste, social engineering und fehlende Aufklärung der Onlinebankingbenutzer führen dann zu jenem Unsicherheitscocktail der Phishingattaken immer wieder erfolgreich macht.


Hilfestellungen für Konsumenten

Neben der seit mehreren Monaten durch die ARGE DATEN angebotenen Zertifikatsprüfung (http://www.e-rating.at/php/cms_monitor.php?q=NETBANKING) und den Tipps gegen Phishing (http://www.e-rating.at/php/cms_monitor.php?q=PUB-TEXT-E-RATIN...), die zusammen die Risken praktisch auf Null reduzieren, kann der misstrauische Onlinebankingbenutzer auch eine weitere Prüfung durchführen.

Man sollte fallweise in die Loginfenster (Benutzername/Passwort/PIN) falsche Daten eingeben. Wird trotzdem ein "Anmeldung" als erfolgreich bestätigt, dann handelt es sich - wie im vorliegenden Fall - um eine gefälschte Seite.

Hans G. Zeger: "Beschäftigt sich ein Konsument laufend mit dem Phänomen Phishing, indem er etwa unsere Anti-Phishing-Aussendungen liest und befolgt, dann ist keine Gefährdung gegeben. Diese laufende Beschäftigung ist jedoch vielen Kunden unzumutbar. Erstens kann sie zeitintensiv sein, zweitens wird zum Teil technisches Verständnis gefordert, das beim reinen Anwender nicht gegeben ist."

Für gelegentliche Nutzer von Girokonten kann es daher mittlerweile - bei Gesamtbetrachtung von Zeit- und Finanzaufwand günstiger sein - Überweisungsbelege in der Bankfiliale abzugeben, manche Banken bieten mit Pauschalkonten auch dazu günstige Bedingungen an.

Kontakt für Phishinggeschädigte:
Für strafrechtliche Fragen hat das BMI eine Kontaktstelle eingerichtet (BMI-II-BK-SPOC@bmi.gv.at).
Um sicher zu gehen, dass Warnungen rasch die Öffentlichkeit erreichen, ersuchen wir daher alle Betroffenen auch an die ARGE DATEN ihre Wahrnehmungen zu senden, damit wir auch in Zukunft rasch warnen und informieren können.

mehr --> Phishing - Haftung und Informationspflichten unzureichend gere...
mehr --> Phishing - so prüfen Sie die Sicherheitszertifikate der Banken
mehr --> Die wichtigsten Online-Banking-Anbieter in Österreich
andere --> Die Spur führt nach Russland
andere --> http://www.sec-consult.com/
andere --> http://www.aax.at
andere --> Datenschutz Seminare der ARGE DATEN


Die angezeigten Informationen sind nur zur persönlichen Nutzung bestimmt. Jede Weitergabe an Dritte ist unzulässig und ausdrücklich untersagt. Alle Angaben und Informationen ohne Gewähr. Trotz sorgfältiger Recherche besteht die Möglichkeit, daß einzelne Informationen veraltet, unklar oder unvollständig sind. Sollten Sie Kenntnis von derartigen Informationen erhalten, ersuchen wir Sie um Rückmeldung, damit wir die Daten raschest korrigieren können. e-commerce Ratingwerte geben die Einschätzung des e-rating-Teams zu der genannten Organisationen und Webshops wider. Diese Einschätzung muss nicht mit Einschätzungen anderer Rating-Organisationen oder mit der Selbsteinschätzung der bewerteten Organisation übereinstimmen. Es liegt in der Verantwortung jedes Benutzers des Informationssystems die Ratingwerte in geeigneter Weise zu interpretieren.

Bei Nutzungsproblemen wenden Sie sich bitte an unseren Support! per fax +43(0)1/5320974 oder per e-mail Online Hilfe
Content Management System developed & powered by e-commerce monitoring gmbh

© e-commerce monitoring GmbH 2002-2016 webmaster
Datenschutz, Privatsphäre, Privacy, Informationsrecht, Datensicherheit, Inhouse-Schulung, Datenschutzbeauftragter, DSB, Österreich, Austria, Wien, Internet, Telekommunikation, Personendaten, Auftraggeber, Dienstleister, datenschutz-seminar.at, privacy-day.at, privacyday.at, Cloud Computing, datenschutz-seminare@at, Vorratsdatenspeicherung, Vorratsspeicherung, datenschutz tag, hacking, hacker, Whistleblowing, RFID, social media, Web 2.0, Web2.0, informationelle Selbstbestimmung, datenschutz tagung, e-government, e-commerce, Identität, phishingdata protection, privacy, data security, data safety, Inhouse, data protection officer, Austria, Vienna, internet, telecommunication, personal data, data retention, privacy protection, privacy protect, Video Surveillance, CCTV