Phishing-Angriff auf Schweizer Bankkunden

Cyberkriminelle russischer Herkunft haben ein Verfahren gefunden, die Zwei-Faktor-Authentifizierung auszuhebeln. 16 Schweizer Bank-Domains sollen betroffen sein.

» Von Michael Kurzidim , 22.07.2014 17:57.

weitere Artikel

Cyberkriminelle vermutlich russischer Herkunft haben einen Weg gefunden, die als sicher geltende Zwei-Faktor-Authentifizierung zu umgehen. Der Schutz durch Sitzungs-Token, die per SMS an die mobilen Endgeräte der Bankkunden geschickt werden, wird dadurch ausgehebelt. In der Schweiz seien laut der Sicherheitsexpertin Trend Micro 16 Banken-Domains betroffen. Trend Micro habe die betroffenen Banken und Unternehmen über den Angriff informiert, schreibt das Unternehmen in einer Pressemitteilung.

Die Methode der Zwei-Faktor-Authentifizierung wird im allgemeinen als sicher angesehen, da die Token über einen separaten Kanal (Handy) verschickt werden. Einige Schweizer Banken nutzen auch Foto-TANs oder geben physische Kartenlesengeräte aus - wie zum Beispiel Postfinance. Die Kunden dieser Schweizer Banken stehen auf der sicheren Seite. Bei einem Grossteil der Kunden kommen jedoch Sitzungs-Token zum Einsatz, die per SMS übertragen werden.

Kunde in Ferien - Konto geplündert

Die Bankkonten dieser Schweizer Kunden könnten bereits infiziert worden sein, ohne dass die Kunden das bislang bemerkt haben. Denn die Malware löscht sich nach der Infektion selbst, sodass Viren- und Malware-Scanner keinen Alarm schlagen. Erst der Blick auf den nächsten Kontoauszug macht den Angriff erkennbar. Nach der Sommerpause, gerade frisch aus den Ferien zurückgekehrt, folgt dann möglicherweise das böse Erwachen.

"Uns hat erstaunt, dass es gerade in der Schweiz Banken gibt, die so einfache Verfahren nutzen", sagte Rainer Link, Senior Threat Researcher bei Trend Micro. Insgesamt handelt es sich um 16 Bank-Domains in der Schweiz, sechs in Österreich, sieben in Schweden und fünf in Japan. Kurz gesagt führt der Zugriff auf eine dieser 34 Banking-Websites über ein infiziertes Gerät dazu, dass Bankkunden mit einem Phishing-Server der Cyberkriminellen kommunizieren, und nicht mit dem Server ihrer Bank.

Löchrig wie ein Schweizer Käse

Das Threat Research Team von Trend Micro hat die Attacke "Operation Emmental" getauft und minutiös rekonstruiert. Der Angriff beginnt mit einer Mail in der Muttersprache des Bankkunden. Die Angreifer geben sich in der Regel als Mitarbeiter eines bekannten Unternehmens aus, wie zum Beispiel ein Online-Versandhändler. Da Online-Versandhändler sehr beliebt sind, ist die Wahrscheinlichkeit hoch, dass das attackierte Opfer tatsächlich Kunde des Händlers ist und die Mail für echt hält. Aber das ist sie natürlich nicht. "Wir haben gefälschte Mails entdeckt, die vortäuschten, von einem in der Schweiz weit verbreiteten Konsumgüterunternehmen zu stammen", schreiben die Sicherheitsexperten des ThreatResearch Teams.

Die vermeintliche Mail vom Schweizer Konsumgüterunternehmen ist natürlich eine Falle. Und die Angreifer gehen dabei sehr geschickt und perfide vor. Wer auf die in der Mail enthaltenen Datei Quittung.....rtf klickt, der öffnet zum Beispiel sein Word oder WordPad. Ein zweiter Klick auf das dort enthaltene Quittungs-File führt dann zur Infektion des Rechners mit Malware (siehe Grafiken). Die heruntergeladene Malware gibt sich ganz harmlos als Windows-Update-Tool aus. Windows-Updates sind bei Microsoft eine gängige Routine, die Anwender lässig und ohne grosses Nachdenken bestätigen. Das machen sich die Angreifer zunutze. Tatsächlich ist der Rechner ab diesem Zeitpunkt infiziert.

 

Nächste Seite: So funktioniert der Angriff

Werbung

KOMMENTARE

Keine Kommentare

KOMMENTAR SCHREIBEN

*
*
*
*

Alles Pflichfelder, E-Mail-Adresse wird nicht angezeigt.

Die Redaktion hält sich vor, unangebrachte, rassistische oder ehrverletzende Kommentare zu löschen.
Die Verfasser von Leserkommentaren gewähren der NMGZ AG das unentgeltliche, zeitlich und räumlich unbegrenzte Recht, ihre Leserkommentare ganz oder teilweise auf dem Portal zu verwenden. Eingeschlossen ist zusätzlich das Recht, die Texte in andere Publikationsorgane, Medien oder Bücher zu übernehmen und zur Archivierung abzuspeichern.