Die beiden Security-Spezialisten Check Point und Versafe haben gestern einen aufsehenerregenden Fall von Online-Bankraub publik gemacht. Check Point und Versafe haben den Angriff "Eurograbber" getauft. Tatsächlich wurden dabei von den Räubern ziemlich viele Euros eingesackt: Im Rahmen der kürzlich entdeckten Attacke auf Online-Banking-Kunden in Europa konnten die Angreifer laut Check Point und Versafe mehr als 36 Millionen Euro abzügeln. Betroffen seien mindestens 30'000 Kunden von 32 Banken in Deutschland, Italien, Spanien und Holland. Die Schadenssummen sollen im einzelnen von rund 500 bis zu 250'000 Euro reichen.

Den Räubern ist es laut Check Point und Versafe gelungen, durch ein mehrstufiges Vorgehen nicht nur die PCs sondern auch Smartphones von Betroffenen mit Malware zu infizieren. Letzteres erlaubte es ihnen dann auch, von den Banken verschickte SMS zur Bestätigung von Transaktionen abzufangen, beziehungsweise Transaktionen selbst zu bestätigen.

In einem ausführlichen Bericht schildern die beiden Security-Unternehmen, wie die Kriminellen die Sicherheitsmassnahmen der betroffenen Banken knacken konnten. Demgemäss beginnt ein "Eurograbber"-Angriff jeweils damit, dass User auf einen Link in einem Phishing-Mail oder auf einer präparierten Webseite klickt. Daraufhin wird, ohne dass die User dies sehen, eine Variante des Trojaners "Zeus" auf den PC geladen und installiert.

Der Trojaner wird erstmals aktiv, sobald sich ein User an einem infizierten PC in sein Online-Bankingkonto einloggt. Er fängt als für den User unsichtbarer "Man-in-the-Middle" die laufende Session ab und injizierte dabei eigenen Javascript-Code in die E-Banking-Seite im Browser. Der User sieht daraufhin - im Rahmen der legitim scheinenden Banking-Session - die Nachricht, er solle eine neue Security-Software auf dem Smartphone installieren, um dieses besser zu schützen. Zu diesem Zweck wird der User aufgefordert, sein Handy-Betriebssystem sowie seine Mobilnummer anzugeben. Diese beiden Informationen werden dann vom Trojaner gespeichert und an die Kommandoserver der Angreifer weitergeleitet.

Sobald die Daten in einem der "Briefkästen" des Eurograbber-Netzwerks landet, verschickt dieses ein SMS an das Handy des Users. Dieser wird darin aufgefordert, auf den enthaltenen Link zu klicken, um die erwähnte Security-Software herunterzuladen und zu installieren. Die heruntergeladene Software enthält die mobile Version des Eurograbber-Trojaners. Gleichzeitig erhalten die Betroffenen auch noch eine Aufforderung auf ihrem PC, den Anweisungen des SMS zu folgen und zuletzt den auf dem Handy aufscheinenden "Verifikationscode" am PC einzugeben.

Zum Schluss kriegen die User dann auch noch die beruhigende Bestätigung, dass die Installation gelungen und nun alles sicher sei.

Nach dem gelungenen Einbruch "schläft" der Trojaner vorerst, bis der Kunde sich ein zweites Mal in sein Banking-System einloggt. Sobald dies geschieht, wird er aktiv und transferiert einen bestimmten Prozentsatz des auf dem Konto vorhandenen Geldes auf ein Konto der Angreifer.

Daraufhin schickt die Bank eine SMS an das Handy des Kunden mit den Informationen zu dieser Transaktion und der dazugehörigen Transaction Authorization Number (TAN), welche dieser zur Bestätigung in seinen PC eintippen sollte. Diese SMS wird aber vom Trojaner auf dem Handy abgefangen und vor dem User versteckt. Gleichzetig leitet der Trojaner die SMS an ein Telefon der Angreifer weiter, und dieses wiederum schickt es an einen der Kontrollserver von Eurograbber. Und von dort, das ist der eigentliche Clou der Methode, wird die Nummer dann vom usprünglichen Trojaner auf dem PC des Users abgeholt, und zur Bestätigung seiner Raubtransaktion benützt. All dies läuft in Sekundenschnelle ab, und ohne dass der User davon irgendetwas sieht.

Die Security-Software-Produkte von Versafe und Check Point können laut den beiden Herstellern die verwendete Malware erkennen und abblocken. Die Methode, mit der die Transaktionsbestätigung per SMS erfolgreich ausgehebelt wurde, ist nun allerdings ebenfalls publik und wird in der Kriminellenszene die Runde machen. Es ist daher zu erwarten, dass bald ähnliche Angriffe mit anderer Malware versucht werden dürften. (Hans Jörg Maron)