Experten warnen vor Trojanerangriff auf heimische Bankkunden

    8. November 2017, 10:25
    257 Postings

    Kriminelle nehmen österreichische Bankkunden mit ausgeklügelter Attacke ins Visier

    Ein Trojaner macht in Österreich die Runde und zielt auf Bank-Austria-, Raiffeisen und Sparkasse-Kunden ab. Dabei gehen die Kriminellen äußerst ausgeklügelt vor. Mittels täuschend echten Nachbauten der Bank-Portale wird seit mindestens Jänner 2017 der Virus namens "Marcher" den Nutzern untergejubelt. Die IT-Security-Experten von Proofpoint haben die Attacke analysiert und zeigen sich angesichts des großen Aufwands überrascht.

    foto: proofpoint
    Die Kriminelle nutzen bei der Phishing-Attacke idente Landing Pages mit ähnlichen URLs.

    Täuschend echte URLs

    Am Anfang des Angriffs erreicht das Opfer eine Mail mit gekürztem Link, der auf eine Website führt, die ident zu den echten Portalen ist. Auch hinsichtlich der URL haben sich die Kriminellen etwas überlegt: Sie nutzen laut Proofpoint zumeist täuschend ähnliche Adressen wie http://online.bankaustria.at.[id].top/". Sobald das Opfer dort seine Login-Daten eingegeben hat, werden Mail-Adresse und Handynummer abgefragt.

    foto: proofpoint
    Nach dem Login wird der Kunde aufgefordert seine E-Mail-Adresse und Telefonnummer zu hinterlegen ...

    Download-Link und Anleitung

    In weiterer Folge wird dem User dann gesagt, dass er noch nicht die nötige Sicherheits-App der Bank installiert hat und dies über einen hinterlegten Download-Link oder QR-Code tun soll. Ansonsten werden "wichtige Daten wie mTan-SMS und Online-Banking-Verbindungen unverschlüsselt übertragen". Ferner wird dem Opfer auch eine Anleitung präsentiert wie er die Applikation installieren kann. So soll die Installation von Anwendungen aus unbekannten Quellen in den Android-Einstellungen erlaubt werden.

    foto: proofpoint
    ... tut er dies, wird ihm gesagt, dass er eine Sicherheits-App installieren soll, da seine Verbindungen sonst nicht sicher sind.

    Vielzahl von Berechtigungen

    Während der Installation fragt der Trojaner dann nach einer Vielzahl von Berechtigungen – so sollen Anrufe von der App durchgeführt oder sogar SMS verschickt werden. Die Applikation geht sogar so weit, dass die Berechtigung zum Geräteadministrator abgefragt wird. Nach der erfolgreichen Installation findet sich auf dem Homescreen eine App mit dem Logo der jeweiligen Bank.

    foto: proofpoint
    Dem Opfer wird dann auch noch erklärt, wie er die App installieren kann – etwa durch Aushebelung der eigenen Sicherheit.

    Popups bei echten Apps

    Wurde der Trojaner einmal installiert, öffnet sich beim Ausführen von echten Anwendungen wie Googles Play Store ein Popup, bei dem der Nutzer seine Kreditkartennummer inklusive persönlichen Daten hinterlegen soll. Den Trojaner wird man dann nur mehr los, wenn man das Gerät auf Werkseinstellungen zurücksetzt, beziehungsweise das Smartphone neu aufsetzt.

    Bank Austria geht aktiv vor

    Proofpoint hat eine URL analysiert und dort öffneten etwa sieben Prozent aller Visitor den Download-Link – insgesamt wurden auf dem Portal innerhalb zwei Wochen fast 20.000 Zugriffe verzeichnet. Auf STANDARD-Nachfrage wurde von Bank-Austria-Pressesprecher Matthias Raftl gesagt, dass man aktiv gegen die Portale und Phishing-Mails vorgehe. Das Schadensausmaß soll deshalb sehr gering sein. Auf einem eigens eingerichteten Sicherheitsportal wird zudem auf aktuelle Gefahren hingewiesen. Generell sollte verinnerlicht werden, dass keine Bank Kunden per E-Mail dazu auffordert, vertrauliche Daten auf einer Website einzugeben. (dk, 08.11.2017)

    • Kriminelle zielen mit einem ausgeklügelten Angriff auf heimische Bank-Kunden ab. Mittels Phishing-Attacke sollen sie einen Trojaner installieren, der daraufhin Kreditkarten-Daten stiehlt.
      foto: reuters/bader

      Kriminelle zielen mit einem ausgeklügelten Angriff auf heimische Bank-Kunden ab. Mittels Phishing-Attacke sollen sie einen Trojaner installieren, der daraufhin Kreditkarten-Daten stiehlt.

    Share if you care.