Banking-Trojaner

Online-Geld: Die Bedrohungen und der Schutz elektronischer Zahlungen

Online-Shopping, Online-Zahlungen und Online-Banking sparen uns viel Zeit und machen unser Leben einfacher. Doch genau diese Technologien machen das Leben auch für Cyberkriminelle leichter, indem sie ihnen neue, direkte Möglichkeiten

Nicole Rados
30 Sep 2013

Online-Shopping, Online-Zahlungen und Online-Banking sparen uns viel Zeit und machen unser Leben einfacher. Doch genau diese Technologien machen das Leben auch für Cyberkriminelle leichter, indem sie ihnen neue, direkte Möglichkeiten bieten, das Geld der Anwender zu stehlen. Mit gestohlenen Zahlungsdaten kann man recht einfach, schnell und effektiv Geld machen. Und auch wenn Banken versuchen, Ihre Kunden zu schützen, sind Angriffe gegen einzelne Anwender nach wie vor ganz normal. Eine ganze Bank zu hacken ist viel zeitaufwändiger und teurer – zudem ist das Risiko, gefasst zu werden, viel höher. Die Anwender verwenden dagegen oft Computer mit zahlreichen Sicherheitslücken, die viel einfacher anzugreifen sind. Indem Cyberkriminelle nur eine relativ kleine Summe von jedem gehackten Online-Banking-Konto stehlen, können sie lange unentdeckt bleiben.Übrigens sind solche Angriffe auf individuelle Kunden zum großen Teil automatisiert und benötigen kaum ein Eingreifen des Angreifers.

Masseninfizierungswaffen

Banking-Trojaner sind auf dem kriminellen Markt schon seit einigen Jahren recht beliebt. Die große Zahl potenzieller Opfer, die die auf ihren Computern installierten Programme nicht aktualisieren, bieten viele Möglichkeiten für Cyberkriminelle. Ein Trojaner infiziert einen Computer und sammelt ganz selbständig Zahlungsinformationen; manche Exemplare können sogar selbst Finanztransaktionen im Namen des Anwenders ausführen.

Der Banking-Trojaner ZeuS beispielsweise injiziert sein eigenes Eingabeformular in Webseiten, auf denen der Anwender seine Zahlungsdaten eingeben kann (die Kreditkartennummer, den Prüfcode CVC2/CVV2, den Namen des Anwenders, die Rechnungsadresse usw.).

Ein anderer Schädling mit dem Namen Carberp, der bisher vor allem im russischen Internet auftritt, injiziert seinen Code in den Browser, speichert die Daten von Bank-Karten (Kartennummer) bei der Eingabe im Online-Banking und fordert den Anwender dannauf, weitere Informationen einzugeben (CVV2, persönliche Daten usw.).

Neben dieser Injektion auf Webseiten, verwenden Trojaner auch andere Techniken, um Zahlungsdaten zu stehlen. Die aktuellste Variante von Carberp modifiziert zum Beispiel den Code voniBank 2, einem beliebten Online-Banking-System – und das während dessen Anwendung, so dass er Zahlungsdetails direkt abfangen kann.

Die zweite Hürde überspringen

Manche Banken versuchen, das Leben der Cyberkriminellen zu erschweren, indem sie weiterentwickelte Varianten zusätzlicher Authentifizerungsfaktoren einsetzen, etwa so genannten Tokens, kleine USB-Geräte, die einen einzigartigen Anwender-Schlüssel enthalten, der jedesmal angefordert wird, wenn eine Transaktion durchgeführt wird. Doch die Entwickler des Lurk-Trojaners haben eine geistreiche Methode gefunden, wie dieser Schutz umgangen werden kann:

Ein Anwender startet eine Zahlung im Online-Banking-System und gibt die entsprechenden Daten ein.
Der Trojaner fängt die Zahlungsdaten ab und wartet auf Anfrage des Systems an das Token.
Das Online-Banking-System fordert den Anwender auf, ein Token anzuschließen. Der Anwender steckt dafür das USB-Token in den entsprechenden Anschluss des Computers.
Der Trojaner schaltet sich hier ein und zeigt auf dem Monitor an, dass der Computer abgestürzt ist und ein Memory Dump für die Analyse des Fehlers erstellt wird. Dabei wird der Anwender aufgefordert, den Computer nicht auszuschalten, solange dieser Memory Dump nicht abgeschlossen ist.
Während der Anwender darauf wartet, dass dies geschieht (das Token ist dabei immer noch angschlossen), haben die Cyberkriminellen Zugang zum Konto des Anwenders und können die Transaktion abschließen – dabei wird das Geld des Anwenders auf das Konto der Cyberkriminellen überwiesen.

Sichere Online-Zahlungen und – Überweisungen

Wenn ein Banking-Schadprogramm einmal auf einem Computer installiert ist, muss es einen Weg finden, die Zahlungsdaten abzufangen. Trojaner nutzen dafür meist die folgenden Methoden:

Web-Injektion (Modifizieren des Inhalts von Webseiten, bevor diese dem Anwender angezeigt werden)
Kapern einer HTTP/HTTPS-Session (ein klassisches Beispiel hierfür ist die so genannte „Man-in-the-Middle“-Attacke)
Fälschen der Anmeldeseite oder Weiterleitung auf eine zielgerichtete Phishing-Seite
Anfertigen von Screenshots des Bildschirms
Aufzeichnen von Tastatureingaben

Wenn man diese Bedrohungen kennt, kann man ein Szenario für sicherer Online-Zahlungen entwickeln:

Ein Anwender öffnet eine Online-Banking-Seite im Browser.
Das Antiviren-Programm erkennt dies und prüft das Betriebssystem auf kritische Sicherheitslücken. Ein Beispiel hierfür ist das in den Kaspersky-Lösungen enthaltene Modul für den Sicheren Zahlungsverkehr, das die Zahlungsdaten schützt und für den Schutz auch eine Datenbank nutzt, die in der Sicherheitslösung enthalten ist.
Gleichzeitig prüft das Anti-Phishing-Modul die URL anhand der Datenbank vertrauenswürdiger Seiten. Die für den Schutz von Zahlungsdaten zuständige Software-Komponente liest dafür Informationen zum entsprechenden Domain-Namen aus einer Wissensdatenbank aus.
Die Antiviren-Lösung prüft das Zertifikat, das für die sichere Verbindung zur Webseite genutzt wurde.
Ist das Zertifikat in der Liste der vertrauenswürdigen Zertifikate enthalten, startet die Antiviren-Lösung den Browser-Prozess und erstellt eine sichere HTTPS-Verbindung mit der angeforderten URL.Der Browser-Prozess wird von der Antiviren-Software überwacht, und kann somit vor Manipulationen durch andere geschützt werden.
Der Anwender gibt seine Zahlungsdetails (die Kreditkartennummer, den Prüfcode CVC2/CVV2, den Namen des Anwenders, die Rechnungsadresse usw.) geschützt über die Tastatur ein, so dass die Tastatureingaben sicher an den Browser übertragen werden.

Die Wunderwaffe

Banken und Zahlungssysteme schützen Ihre Kunden. Aufwändige Multi-Faktoren-Authentifizierung, die Nutzung zusätzlicher Geräte (Tokens, Chip-TANs usw.), verschiedene Warnungen bei potenziellem Betrug – all das schützt das Geld des Anwenders. Allerdings entwickeln Cyberkriminelle laufend ebenso auwändige Möglichkeiten, Zahlungsinformationen und zusätzliche Autorisierungen für Transaktionen zu stehlen.

Deshalb ist es so wichtig, einen umfassenden Schutz auf Anwenderseite zu installieren, der den Computer und die Kommunikationskanäle absichert, und dafür sorgt, dass sich der Computer mit dem richtigen Server verbindet. Das ist genau das Prinzip des Moduls für den Sicheren Zahlungsverkehr, das in Kaspersky Internet Security 2014 zu finden ist: eine umfassende Lösung zum Schutz vor Online-Diebstahl, eine kugelsichere Weste gegen alle schädlichen Aktionen von Banking-Schadprogrammen.

Teilen ist gleich Teilen? 10 Tipps für die Online-Sicherheit Ihrer Kinder

Wir alle stehen vor potenziellen Risiken, wenn wir uns im Internet bewegen. Dazu zählen Schadprogramme, Phishing-Betrug und Spam-Mails. Doch für Kinder kommen noch weitere Gefahren hinzu. Kinder sind noch nicht

KOSTENLOSE TOOLS

TARGETED SECURITY-LÖSUNGEN

ENTERPRISE SOLUTIONS

Online-Geld: Die Bedrohungen und der Schutz elektronischer Zahlungen

Banking-Trojaner als Geschäftskorrespondenz getarnt

Kaspersky entdeckt neuen Banking-Trojaner – auch Deutschland betroffen

Teilen ist gleich Teilen? 10 Tipps für die Online-Sicherheit Ihrer Kinder

Tipps

Werbung im Dienste von… Geheimdiensten

Gleich kommt das (verifizierte) Vögelchen – Fake oder Wirklichkeit?

Zu Kaspersky wechseln: Schritt-für-Schritt-Anleitung für die Migration

Boss oder Betrüger? Betrug, getarnt als Auftrag deines Chefs

Abonnieren Sie uns und bleiben Sie auf dem neuesten Stand mit unseren Beiträgen

LÖSUNGEN FÜR HEIMANWENDER

KLEINE UNTERNEHMEN

MITTLERE UNTERNEHMEN

GROSSE UNTERNEHMEN

Securelist

Eugene Personal Blog

Enzyklopädie