WSJ Blogs

Real-time commentary and analysis from The Wall Street Journal
WSJ Tech
Wie das Netz die Wirtschaft verändert

Cyber-Kriminelle stehlen 36 Millionen Euro mit Doppel-Angriff

dapd

Laut einer Fallstudie der israelischen Sicherheitssoftware-Anbietern Versafe und Check Point Software sind insgesamt 36 Millionen Euro von 30.000 Bankkonten im Euro-Raum durch Angriffe mittels Trojanern von Kriminellen erbeutet worden. Die erbeuteten Summen schwanken demnach zwischen 500 und 250.000 Euro. Die Attacke wird als Eurograbber bezeichnet.

Besonders erschreckend ist, dass ein heute beim Online-Banking übliches Verfahren durch den Angriff ausgehebelt wurde, das lange als recht sicher galt: Die Online-Bankgeschäfte der Opfer wurden durch das sogenannte mTAN-Verfahren abgesichert. Dabei wird die Transaktion doppelt abgesichert – einmal durch ein Passwort am PC und eine auf das Handy gesendete Nummer (mobile TAN, kurz mTAN).

Die Idee des Verfahrens: Normalerweise ist höchstens eines der beiden Geräte – PC oder Smartphone – unter der Kontrolle eines Cyber-Kriminellen. In diesem Fall allerdings gelang es den Angreifern, beide Geräte mit einer Schadsoftware zu infizieren. Neben dem Verfahren mit eTAN-Generator ist das mTAN-Verfahrend heute gebräuchlich, während das ältere TAN-Verfahren mit einer per Post zugestellten Liste auf Papier wegen des grassierenden Online-Banking-Betrugs mittels Schadsoftware auf dem PC nicht mehr üblich ist.

Das meiste Geld wurde der Fallstudie zufolge von italienischen Bankkonten abgebucht – rund 16,4 Millionen Euro. Dort fanden auch die ersten Angriffe statt. Auf dem zweiten Platz folgt Deutschland mit rund 12,8 Millionen Euro. Weitere Abbuchungen gelangen in Spanien und den Niederlanden.

Wie der Angrigff funktionierte

Der Angriff funktionierte so: Zunächst musste sich der PC-Anwender mit der Schadsoftware infizieren – beispielsweise durch einen Internet-Download aus dubioser Quelle. Wird eine Sicherheitslücke im verwendeten Webbrowser ausgenutzt, kann dies allerdings auch schon durch den Besuch einer manipulierten Website geschehen. Die von den Kriminellen genutzte Software manipuliert die Website der eigenen Bank dann so, dass nach dem Login eine vermeintlich von der Bank stammende Aufforderung erscheint, die zur Eingabe der Handynummer auffordert, um das mTAN-Verfahren durchzuführen.

Nun wird es richtig perfide: Kommt der Nutzer der Aufforderung der Bank nach und gibt seine Handy-Nummer ein, wird ihm – wieder angeblich von seiner Bank – ein Download-Link auf sein Handy geschickt. Der Nutzer wird zum Download einer Software aufgefordert, die das Smartphone dann ebenfalls infiziert. Somit haben die Kriminellen die volle Kontrolle über beide Systeme – Smartphone und PC. Genau das soll durch die Durchführung über zwei verschiedene Geräte beim mTAN-Verfahren eigentlich verhindert werden.

Danach warten die Betrüger auf die nächste Transaktion. Der Nutzer gibt die gewünschte Summe und Zielkunde an seinem PC ein. Zur Bank übertragen werden aber die Kontonummer der Betrüger und eine manipulierte Summe. Für die Freigabe wird wie üblich bei der Bank eine mTAN auf das Handy angefordert. Hier kommt dann der Trojaner auf dem Smartphone zum Einsatz, der den doppelten Schutz des mTAN-Verfahrens aushebelt: Die dem Nutzer zur Bestätigung angezeigte Summe und Kontonummer stimmt mit dem überein, was der Nutzer zuvor am PC angegeben hat – die Kriminellen haben die daten zuvor abgefangen und an den Trojaner des Smartphones gesendet. Für die Bank wie für die Kunden sieht dadurch alles normal aus.

Die Cyber-Kriminellen arbeiteten mit Standard-Tools – nur die Umsetzung war besonders ausgefeilt. Zum Einsatz kam auf den Smartphones ein bereits länger bekannter Trojaner namens „Zeus the mobile“. Bekannt ist, dass die Schadsoftware für Android und Blackberry im Umlauf ist. Erst im November warnte die Berliner Polizei vor dieser Art des Angriffs.

Wie sich Nutzer schützen können

Anwender können sich schützen, indem sie keine Software abseits der offiziellen App Stores installieren. Insbesondere fordern Banken ihre Kunden nicht per E-Mail oder SMS zum Download von Software auf. Die Angriffsmethode funktioniert in dieser Form nur mit Smartphones, welche die Installation fremder Software aus unbekannter Quelle zulassen – das iPhone und Geräte mit Windows Phone gehören nicht dazu. Noch sicherer ist das eTAN-Generator-Verfahren, bei dem ein nicht mit dem Internet verbundener TAN-Generator für die Generierung der Nummer genutzt wird statt dem für Schadsoftware anfälligen Smartphone.

Kommentar abgeben

Wir begrüßen gut durchdachte Kommentare von Lesern. Bitte beachten Sie unsere Richtlinien.

Kommentare (1 aus 1)

Alle Kommentare »
    • [...] Anders als die Smartphone-Betriebssysteme iOS von Apple und Windows Phone von Microsoft erlaubt Android die Installation beliebiger Programme aus beliebigen Quellen und ist daher und wegen der hohen Verbreitung ein beliebtes Ziel für Cyber-Kriminelle. Erst kürzlich sorgte eine Doppel-Attacke von Betrügern für Aufsehen, die durch eine kombinierte Schadsoftware für PC und Android-Smartphones 36 Millionen Euro von europäischen Bankkonten stahlen. [...]

Über WSJ Tech

  • Apps, Crowdfunding, Cloud Computing – neue Technologien werfen die Regeln der Weltwirtschaft um. WSJ Tech erklärt technologische Trends, stellt interessante Entwicklungen vor und analysiert die wichtigsten Trends der IT-Wirtschaft.

    Die Autoren:

    Stephan DörnerStephan Dörner
    Jörgen CamrathJörgen Camrath
    Archibald PreuschatArchibald Preuschat