Europe Edition - Latest News, Breaking Stories, Top Headlines From Europe - Wsj.com

What’s News —

Business & Finance

U.S.

[image]

Analysis

World

Asia

Health & Wellness

Review

launch
Close

How to Read this Chart

  • High
  • Current price, up from close
  • Price at prior day's close
  • Current price, down from close
  • Low

Photos

  • [image]carlo allegri/Reuters

    Photos of the Day: Dec. 21

    In photos picked Sunday by Wall Street Journal editors, women hug at a memorial for two police officers killed in New York, men try to keep warm during a cold spell in Allahabad, India, families mourn eight stabbing deaths in Cairns, Australia, and more.

  • [image]Chaideer Mahyuddin/AFP/Getty Images

    The Power of the Wave

    In Banda Aceh, the 2004 tsunami wiped out whole villages and deposited a floating power plant on land

  • [image]PetSmart

    See a Guinea Pig in a Holiday Stole and More

    Dogs and cats have long been showered with toys and treats for Christmas. Now other types of animals are being included in holiday festivities, with apparel for a range of small pets.

  • [image]Ilyas Sheikh/European Pressphoto Agency

    Prayers and Protests Follow Attack in Pakistan

    Protests, prayers and vigils spread from Pakistan to Nepal and India in reaction to news of the attack at the army-run school in Peshawar, Pakistan, that resulted in 132 children and nine school staff being killed.

Popular Now What's This?
Close

Content engaging our readers now, with additional prominence accorded if the story is rapidly gaining attention. Our WSJ algorithm comprises 30% page views, 20% Facebook, 20% Twitter, 20% email shares and 10% comments.

Journal Report: Encore

Featured Property

An Advertising Feature
  • Property Image

    Beaulieu-sur-Mer,

    43,254,934 6 Bedrooms, 6 Baths

    This property is located 15 mn driving from the Principality of Monaco and enjoys fantastic views onto...

    More Details »

Follow The Wall Street Journal Europe News

Partner Center
An Advertising Feature

WSJ Blogs

Real-time commentary and analysis from The Wall Street Journal
WSJ Tech
Wie das Netz die Wirtschaft verändert

Cyber-Kriminelle stehlen 36 Millionen Euro mit Doppel-Angriff

dapd

Laut einer Fallstudie der israelischen Sicherheitssoftware-Anbietern Versafe und Check Point Software sind insgesamt 36 Millionen Euro von 30.000 Bankkonten im Euro-Raum durch Angriffe mittels Trojanern von Kriminellen erbeutet worden. Die erbeuteten Summen schwanken demnach zwischen 500 und 250.000 Euro. Die Attacke wird als Eurograbber bezeichnet.

Besonders erschreckend ist, dass ein heute beim Online-Banking übliches Verfahren durch den Angriff ausgehebelt wurde, das lange als recht sicher galt: Die Online-Bankgeschäfte der Opfer wurden durch das sogenannte mTAN-Verfahren abgesichert. Dabei wird die Transaktion doppelt abgesichert – einmal durch ein Passwort am PC und eine auf das Handy gesendete Nummer (mobile TAN, kurz mTAN).

Die Idee des Verfahrens: Normalerweise ist höchstens eines der beiden Geräte – PC oder Smartphone – unter der Kontrolle eines Cyber-Kriminellen. In diesem Fall allerdings gelang es den Angreifern, beide Geräte mit einer Schadsoftware zu infizieren. Neben dem Verfahren mit eTAN-Generator ist das mTAN-Verfahrend heute gebräuchlich, während das ältere TAN-Verfahren mit einer per Post zugestellten Liste auf Papier wegen des grassierenden Online-Banking-Betrugs mittels Schadsoftware auf dem PC nicht mehr üblich ist.

Das meiste Geld wurde der Fallstudie zufolge von italienischen Bankkonten abgebucht – rund 16,4 Millionen Euro. Dort fanden auch die ersten Angriffe statt. Auf dem zweiten Platz folgt Deutschland mit rund 12,8 Millionen Euro. Weitere Abbuchungen gelangen in Spanien und den Niederlanden.

Wie der Angrigff funktionierte

Der Angriff funktionierte so: Zunächst musste sich der PC-Anwender mit der Schadsoftware infizieren – beispielsweise durch einen Internet-Download aus dubioser Quelle. Wird eine Sicherheitslücke im verwendeten Webbrowser ausgenutzt, kann dies allerdings auch schon durch den Besuch einer manipulierten Website geschehen. Die von den Kriminellen genutzte Software manipuliert die Website der eigenen Bank dann so, dass nach dem Login eine vermeintlich von der Bank stammende Aufforderung erscheint, die zur Eingabe der Handynummer auffordert, um das mTAN-Verfahren durchzuführen.

Nun wird es richtig perfide: Kommt der Nutzer der Aufforderung der Bank nach und gibt seine Handy-Nummer ein, wird ihm – wieder angeblich von seiner Bank – ein Download-Link auf sein Handy geschickt. Der Nutzer wird zum Download einer Software aufgefordert, die das Smartphone dann ebenfalls infiziert. Somit haben die Kriminellen die volle Kontrolle über beide Systeme – Smartphone und PC. Genau das soll durch die Durchführung über zwei verschiedene Geräte beim mTAN-Verfahren eigentlich verhindert werden.

Danach warten die Betrüger auf die nächste Transaktion. Der Nutzer gibt die gewünschte Summe und Zielkunde an seinem PC ein. Zur Bank übertragen werden aber die Kontonummer der Betrüger und eine manipulierte Summe. Für die Freigabe wird wie üblich bei der Bank eine mTAN auf das Handy angefordert. Hier kommt dann der Trojaner auf dem Smartphone zum Einsatz, der den doppelten Schutz des mTAN-Verfahrens aushebelt: Die dem Nutzer zur Bestätigung angezeigte Summe und Kontonummer stimmt mit dem überein, was der Nutzer zuvor am PC angegeben hat – die Kriminellen haben die daten zuvor abgefangen und an den Trojaner des Smartphones gesendet. Für die Bank wie für die Kunden sieht dadurch alles normal aus.

Die Cyber-Kriminellen arbeiteten mit Standard-Tools – nur die Umsetzung war besonders ausgefeilt. Zum Einsatz kam auf den Smartphones ein bereits länger bekannter Trojaner namens „Zeus the mobile“. Bekannt ist, dass die Schadsoftware für Android und Blackberry im Umlauf ist. Erst im November warnte die Berliner Polizei vor dieser Art des Angriffs.

Wie sich Nutzer schützen können

Anwender können sich schützen, indem sie keine Software abseits der offiziellen App Stores installieren. Insbesondere fordern Banken ihre Kunden nicht per E-Mail oder SMS zum Download von Software auf. Die Angriffsmethode funktioniert in dieser Form nur mit Smartphones, welche die Installation fremder Software aus unbekannter Quelle zulassen – das iPhone und Geräte mit Windows Phone gehören nicht dazu. Noch sicherer ist das eTAN-Generator-Verfahren, bei dem ein nicht mit dem Internet verbundener TAN-Generator für die Generierung der Nummer genutzt wird statt dem für Schadsoftware anfälligen Smartphone.

Kommentar abgeben

Wir begrüßen gut durchdachte Kommentare von Lesern. Bitte beachten Sie unsere Richtlinien.

Kommentare (1 aus 1)

Alle Kommentare »
    • [...] Anders als die Smartphone-Betriebssysteme iOS von Apple und Windows Phone von Microsoft erlaubt Android die Installation beliebiger Programme aus beliebigen Quellen und ist daher und wegen der hohen Verbreitung ein beliebtes Ziel für Cyber-Kriminelle. Erst kürzlich sorgte eine Doppel-Attacke von Betrügern für Aufsehen, die durch eine kombinierte Schadsoftware für PC und Android-Smartphones 36 Millionen Euro von europäischen Bankkonten stahlen. [...]

Über WSJ Tech

  • Apps, Crowdfunding, Cloud Computing – neue Technologien werfen die Regeln der Weltwirtschaft um. WSJ Tech erklärt technologische Trends, stellt interessante Entwicklungen vor und analysiert die wichtigsten Trends der IT-Wirtschaft.

    Die Autoren:

    Stephan DörnerStephan Dörner
    Jörgen CamrathJörgen Camrath
    Archibald PreuschatArchibald Preuschat
Europe Edition - Latest News, Breaking Stories, Top Headlines From Europe - Wsj.com

What’s News —

Business & Finance

U.S.

[image]

Analysis

World

Asia

Health & Wellness

Review

launch
Close

How to Read this Chart

  • High
  • Current price, up from close
  • Price at prior day's close
  • Current price, down from close
  • Low

Photos

  • [image]carlo allegri/Reuters

    Photos of the Day: Dec. 21

    In photos picked Sunday by Wall Street Journal editors, women hug at a memorial for two police officers killed in New York, men try to keep warm during a cold spell in Allahabad, India, families mourn eight stabbing deaths in Cairns, Australia, and more.

  • [image]Chaideer Mahyuddin/AFP/Getty Images

    The Power of the Wave

    In Banda Aceh, the 2004 tsunami wiped out whole villages and deposited a floating power plant on land

  • [image]PetSmart

    See a Guinea Pig in a Holiday Stole and More

    Dogs and cats have long been showered with toys and treats for Christmas. Now other types of animals are being included in holiday festivities, with apparel for a range of small pets.

  • [image]Ilyas Sheikh/European Pressphoto Agency

    Prayers and Protests Follow Attack in Pakistan

    Protests, prayers and vigils spread from Pakistan to Nepal and India in reaction to news of the attack at the army-run school in Peshawar, Pakistan, that resulted in 132 children and nine school staff being killed.

Popular Now What's This?
Close

Content engaging our readers now, with additional prominence accorded if the story is rapidly gaining attention. Our WSJ algorithm comprises 30% page views, 20% Facebook, 20% Twitter, 20% email shares and 10% comments.

Journal Report: Encore

Featured Property

An Advertising Feature
  • Property Image

    Beaulieu-sur-Mer,

    43,254,934 6 Bedrooms, 6 Baths

    This property is located 15 mn driving from the Principality of Monaco and enjoys fantastic views onto...

    More Details »

Follow The Wall Street Journal Europe News

Partner Center
An Advertising Feature