Schweiz: Erfolgreiche Malware-Angriffe gegen E-Banking

25. Oktober 2007, 12:13
  • security
image

MELANI zur aktuelle Security-Lage in der Schweiz: "Klassisches" Phishing ist tot, aber „Man-in-the-middle“-Angriffe haben zu Schäden geführt und werden häufiger.

MELANI zur aktuelle Security-Lage in der Schweiz: "Klassisches" Phishing ist tot, aber "Man-in-the-middle"-Angriffe haben zu Schäden geführt und werden häufiger.
Gemäss dem aktuellen Halbjahresbericht der Melde und Analysestelle Informationssicherheit des Bundes (MELANI) haben "klassische" Phishing-Angriffe auf E-Banking-Portale, beziehungsweise deren Kunden, in der Schweiz stark abgenommen. Der Grund ist einfach: Gemäss MELANI war kein einziger dieser Angriffe im ersten Halbjahr erfolgreich, und die Angreifer scheinen darum dieses fruchtlose Tun langsam einzustellen. Bei einem klassischen Phishing-Versuch wird das Opfer einfach per E-Mail mit einem vorgetäuschten Grund aufgefordert, auf eine gefälschte Website zu gehen und dort seine Passwörter einzugeben.
Curiosity killed the Cat
Vermehrt wird dagegen "Malware" verwendet, die einen "Man-in-the-middle"-Angriff (siehe unten) ermöglicht. Solche Angriffe wurden gemäss MELANI auch in der Schweiz mit Erfolg durchgeführt.
Die Malware gelangt meistens durch Varianten des klassischen Phishings auf die Rechner der Opfer. Entweder wird sie in einem Phishing-Mail als Anhang mitgeschickt, wobei der Empfänger aufgefordert wird, auf diesen Anhang zu klicken, oder man wird durch einen Link im Mail auf eine von den Betrügern betriebene Website gelockt. Diese ist mit der Malware infiziert und installiert sie selbsttätig auf dem PC des Besuchers. Auch wenn man ein Phishing-Mail als solches erkannt hat und nicht vorhat, Passwörter einzugeben , sollte man also seine Neugier unterdrücken und keinesfalls auf einen Link in einem solchen Mail klicken.
Aber auch normales surfen ist nicht gefahrlos
Es gibt aber leider noch eine weitere Methode, mit der diese Malware verbreitet wird, gegen die man sich als Surfer kaum mehr schützen kann. Zunehmend, so MELANI, knacken die Cyberkriminellen völlig legitime Webseiten, beziehungsweise Webserver, und präparieren diese mit ihrer Malware, so dass sie auf die PCs nichtsahneneder Besucher geschleust wird. Infiziert werden gemäss verschiedenen Berichten täglich zehntausende von Websites. Darunter waren im ersten Halbjahr unter anderem die Sites des Football-Teams Miami Dolphins (Gewinner des US-Superbowls), des koreanischen Hardware-Herstellers Asus, der US-Disease-Control oder des Opernhauses und des Museums für zeitgenössische Kunst in Sidney.
Man in the middle
Bei "Man-in-the-middle"-Angriffen klinkt sich die Malware "live" in eine Transaktion ein, wenn ein User von einem verseuchten PC aus ein E-Banking-Portal aufruft. Mit solchen Angriffen können auch starke Zwei-Faktor-Authentisierungssysteme wie Streichlisten, SecurID, usw. ausgehebelt werden. Dabei gibt es gemäss MELANI zwei Hauptmethoden:
Im ersten Fall wird der User nach dem Aufruf des echten Portals auf eine gefälschte Seite weitergeleitet, die genau wie die Echte aussieht. Wie diese fragt sie nach Benutzernamen und Passwort und danach nach einem zweiten Authentisierungsmerkmal (z.Bsp. eine Streichlistennummer oder einem von einem Token generierten Code). Wenn diese Angaben eingetippt worden sind, trennt die gefälschte Seite die Verbindung zum Kunden und zeigt eine Störungsmeldung an. Gleichzeitig nutzt der Angreifer die so erhaltenen Zugangsdaten, um sich (in Echtzeit) bei der richtigen Bankenseite anzumelden und illegale Finanztransaktionen abzuwickeln.
Im zweiten Fall nistet sich die Malware im Browser ein und wartet auf eine echte Finanztransaktion. Bevor die Eingaben des Benutzers verschlüsselt über das Internet an die Bank gelangen, verändert die Software die Kontonummer, den Empfängernamen und den Betrag, welche an die Bank übermittel werden. Die Bestätigung der Bank wird ebenfalls durch die Malware abgefangen und im Browser des Users werden wieder die ursprünglichen Angaben angezeigt. Das Opfer glaubt also, die gewollte Überweisung getätigt zu haben, während in Wahrheit die Zahlung an einen anderen Empfänger erfolgt und allenfalls in ihrer Höhe verändert worden ist. (Hans Jörg Maron)

Loading

Mehr zum Thema

image

Cyberkriminelle erbeuten Kundendaten der Online-Apotheke DocMorris

Bei dem Cyberangriff haben unbekannte Täter 20'000 Kundenkonten kompromittiert. Die Online-Apotheke gehört zur Schweizer "Zur Rose"-Gruppe.

publiziert am 27.1.2023
image

Schwerer Schlag gegen eine der erfolgreichsten Ransomware-Banden

Die Gruppe Hive hatte unter anderen Emil Frey und Media Markt attackiert. Jetzt haben das FBI, Europol und weitere Behörden die Hive-Infrastruktur ausgeschaltet.

publiziert am 27.1.2023
image

Angeblicher Datendiebstahl: Unispital Lausanne gibt Entwarnung

Ein Hacker behauptete, im Besitz von 2 Millionen Datensätzen des Spitals zu sein. Doch das Datenpaket stammt offenbar aus Frankreich.

publiziert am 27.1.2023
image

Zwei Wochen nach der Cyberattacke: Britische Post verschickt wieder Päckli

Eine Ransomware-Bande hatte den internationalen Versand der Royal Mail lahmgelegt.

publiziert am 27.1.2023