Wie Bankingtrojaner die Zwei-Faktor-Autorisierung umgehen

Sind Sie sicher, dass einmalige SMS-Passwörter einen sicheren Schutz für Ihr Mobile-Banking-Konto bieten? Denken Sie noch einmal genau darüber nach! In diesem Artikel erklären wir, wie Trojaner die Zwei-Faktor-Autorisierung austricksen.

Zwei-Faktor-Autorisierung per SMS wird von Finanzunternehmen häufig verwendet. Die Methode funktioniert natürlich besser als ein schlichtes Passwort, ist allerdings auch nicht unangreifbar. Bereits vor 10 Jahren, als diese Schutzmaßnahme gerade erst dabei war, an Beliebtheit zu gewinnen, haben Sicherheitsspezialisten herausgefunden, wie sie sich austricksen lässt.

Und Malware-Programmierer haben ebenfalls herausgefunden, wie das geht. Mittlerweile knacken Entwickler von Bankingtrojanern einmalige SMS-Passwörter im Handumdrehen. Und so funktionierts:

  1. Der Nutzer startet seine legitime Banking-App auf seinem Smartphone.
  2. Ein Trojaner erkennt die benutzte App und überlagert deren Interface mit einer gefälschten Benutzeroberfläche. Der falsche Screen sieht genauso aus wie der echte.
  3. Das Opfer gibt seine Zugangsdaten über die gefälschte Benutzeroberfläche ein.
  4. Der Trojaner sendet die Zugangsdaten des Nutzers an die Kriminellen. Diese verwenden die Daten, um sich in der Banking-App des Nutzers einzuloggen.
  5. Die Täter veranlassen dann eine Finanztransaktion zu ihrem Bankkonto.
  6. Das Handy des Opfers empfängt ein einmaliges Passwort.
  7. Der Trojaner entnimmt der SMS das Passwort und sendet es an die Cyberkriminellen.
  8. Außerdem versteckt er die SMS vor dem Nutzer. Das Opfer kriegt dadurch nichts von den Vorgängen mit, die zeitgleich ablaufen, bis es sein Bankkonto öffnet und die getätigten Überweisungen einsieht.
  9. Die Kriminellen nutzen das abgefangene Passwort, um ihre Transaktion zu bestätigen und so das Geld des Opfers zu erhalten.

Es ist keine Übertreibung, wenn wir sagen, dass jeder moderne Bankingtrojaner in der Lage ist, SMS-basierte Zwei-Faktor-Autorisierungen auszutricksen. Genau genommen haben Malware-Entwickler keine andere Wahl: da alle Banken diese Schutzmaßnahme eingeführt haben, müssen Trojaner zwangsläufig daran angepasst werden.

Es gibt eine Vielzahl bösartiger Apps, die die Autorisierung umgehen können — mehr als Sie denken. Allein in den letzten Monaten haben unsere Experten drei detaillierte Berichte zu drei verschiedenen Malware-Familien veröffentlicht — eine beängstigender als die andere:

  1. Asacub — eine Spionage-App, die zum Trojaner weiterentwickelt wurde und Geld von Mobile-Banking-Konten stehlen kann.
  2. Acecard — ein sehr leistungsstarker Trojaner, der Benutzeroberflächen von fast 30 unterschiedlichen Banking-Apps überlagern kann. Dies ist, nebenbei bemerkt, ein Trend in der Mobile-Malware-Industrie: anfangs nahmen Trojaner eine App einer bestimmten Bank oder eines Zahlungsdienstes ins Visier, aber mittlerweile können sie mehrere Apps fälschen.
  3. Banloader — ein plattformübergreifender Trojaner brasilianischen Ursprungs, der auf PCs und Mobilgeräten gleichzeitig gestartet werden kann.

Wie Sie sehen kann Zwei-Faktor-Autorisierung Sie nicht vor Bankingtrojanern schützen. Das ist schon seit vielen Jahren so, aber die Situation ist keineswegs besser geworden. Daher sollten Sie zusätzliche Sicherheitsmaßnahmen ergreifen.

Eine Grundregel — die hilfreich ist, Sie aber nicht zu 100% schützt — ist, nur Apps von offiziellen Stores zu installieren. Allerdings gab es auch einige Fälle, in denen es Trojaner in den Play Store oder sogar in den App Store geschafft haben.

Aus diesem Grund ist die sicherste Lösung eine gute Antivirensoftware für Mobilgeräte. Sie können mit der Grundversion Kaspersky Internet Security anfangen. Sie ist kostenfrei, verlangt jedoch, dass Sie Ihr Device gelegentlich manuell scannen. Die Vollversion ist besser, da sie Viren sofort erfasst, allerdings ist diese Version kostenpflichtig.

 

 

Tipps