Ein neuer raffinierter Trojaner startet derzeit Angriffe auf die heimischen Telebanking-KundInnen. Der Schädling manipuliert dabei Websites am KundInnen-PC und kann dadurch auch Sicherheitsmerkmale umgehen.

Eigene Frames

Laut einer Aussendung der ARGE Daten ersetzt der Trojaner Teile der im Kundenbrowser angezeigten Websites (einzelne Frames) durch eigene Frames. Im wesentlichen handelt es sich um den Login-Frame, in dem üblicherweise Kundennummer und Passwort/PIN abgefragt werden. Nach Eingabe dieser Daten landet man dann auf einem "Authentisierungsframe", der die Bekanntgabe von bis zu vier TAN's verlangt. Da die restlichen Teile der Website Originalteile sind und damit auch das richtige Zertifikat der Onlinebank besitzen, zeigt der Internet Explorer auch das geschlossene Schloss und das richtige Zertifiakt an.

Ein Trick

"Möglich ist der Trick, weil einerseits ein Trojaner am Kunden-PC die Webseiten verändert, andererseits die Banken aus Bequemlichkeits- und Fahrlässigkeitsgründen Frames im Telebanking-Bereich verwenden", so die Aussendung weiter. Letztlich sind auch die Informationsfunktionen der Webbrowser unzureichend, so sollten gemischte Websites mit sicheren und unsicheren Frames gar nicht angezeigt werden. Betroffen sind, laut der Aussendung "praktisch alle wichtigen Telebanking-Anbieter, jedenfalls Raiffeisen, Erste/Sparkassen und Bawag/PSK, aber auch deutsche Banken dürften im Visier der Angreifer sein".

Keine Fälle bekannt

Bei der Raiffeisenbank waren am Montagnachmittag noch keine Fälle bekannt. Wobei etwa die Raiffeisen Bank bei ihrem Internetbanking keine Frames verwendet. "Bei uns ist nichts passiert", sagte auch eine Sprecherin der Erste Bank zur APA.

Infektion wirft Fragen auf

Der Infektionsweg mit dem Trojaner ist – noch – nicht bekannt. Möglich ist sowohl eine Zustellung per Mail als Wurm oder über eine verseuchte Website. Nach Auskunft von Herrn Strobl, von der AAX Business Solutions, bei der der Trojaner ausführlich untersucht wurde, dürfte der Trojaner gängige Antiviren-Programme überwinden, auch in ihren aktualisierten Versionen.

Meldungen über Schäden sind noch nicht verfügbar, die Banken halten sich noch bedeckt.

West-östliche Spur führt nach Russland und USA

Analysiert man den Datenverkehr des Trojaners, dann gelangt man einerseits zu IP-Adressen, die in Russland, andererseits zu solchen, die in den USA beheimatet sind.

Die Bedeutung der IP-Adressen sollte jedoch nicht überschätzt werden, da professionelle Täter sich längst einen größeren Pool an Wirts-Rechnern zugelegt haben, die im Angrifsfall als – unfreiwillige – Plattform für kriminelle Aktivitäten dienen. Dabei wird – je nach Angriffsland – als Ausgangsbasis ein möglichst weit weg liegendes Land, idealerweise auch ein Land, mit dem keine oder nur wenige Rechtshilfeabkommen existieren, als Angriffs-Basis ausgewählt.

Keine genauen Zahlen

Genaue Zahlen existieren nicht, aber sicher sind weltweit mehrere Millionen Firmen- und Privatrechner als Sprungbretter für kriminelle Aktivitäten vorbereitet.

Es ist daher überhaupt nicht auszuschließen, dass der eigentliche Angreifer letztlich in Deutschland oder in Österreich sitzt und durch die genaue Marktkenntnis erst imstande ist, eine Phishingattacke professionell durchzuführen.

Generalstabsmäßige Vorbereitung

Die Attacke dürfte im Zusammenhang mit Geldwäschemails Ende Juni dieses Jahres stehen. Im Juni wurde Österreich massiv mit Mails überschwemmt, in denen leichte Tätigkeit und hoher Gewinn für einfache Finanzmanagertätigkeit versprochen wurde. Als Inhaber eines Telebankingkontos sollte man auf Anforderung Überweisungen tätigen und allenfalls auch Baranweisungen durchführen. Auffällig waren die kurzen Terminvorgaben, die angesprochen wurden. Innerhalb von drei Stunden sollten, so die Vorgabe des Auftraggebers bei Bedarf die Transaktionen durchgeführt werden.

"Klares Muster"

Hans G. Zeger, Obmann der ARGE Daten dazu in der Aussendung: "Mittlerweile zeigen die Phishing-Wellen ein sehr klares, gleichbleibendes Muster. Im ersten Schritt werden Komplizen und Helfer aquiriert. Als zweites werden immer neue, raffiniertere und mit neuen Funktionen ausgestattete Trojaner durch Websites und Mails in Umlauf gebracht. Wenige Tage später wird abgecasht."

Hilfestellungen für Konsumenten

Neben der seit mehreren Monaten durch die ARGE Daten angebotenen Zertifikatsprüfung und den Tipps gegen Phishing, die zusammen die Risken praktisch auf Null reduzieren, kann der misstrauische Telebankingbenutzer auch eine weitere Prüfung durchführen.

Empfehlungen

Man sollte fallweise in die Loginfenster (Benutzername/Passwort/PIN) falsche Daten eingeben. Wird trotzdem ein "Anmeldung" als erfolgreich bestätigt, dann handelt es sich – wie im vorliegenden Fall, um eine gefälschte Seite.

Hans G. Zeger: "Beschäftigt sich ein Konsument laufend mit dem Phänomen Phishing, indem er etwa unsere Anti-Phishing-Aussendungen liest und befolgt, dann ist keine Gefährdung gegeben. Diese laufende Beschäftigung ist jedoch vielen Kunden unzumutbar. Erstens kann sie zeitintensiv sein, zweitens wird zum Teil technisches Verständnis gefordert, das beim reinen Anwender nicht gegeben ist."

Für gelegentliche Nutzer von Girokonten könne es daher, so Zeger in der Aussendung, mittlerweile – bei Gesamtbetrachtung von Zeit- und Finanzaufwand – günstiger sein, Überweisungsbelege in der Bankfiliale abzugeben, manche Banken bieten mit Pauschalkonten auch dazu günstige Bedingungen an.

Lukratives Geschäft

Trotz dürftiger Erfolgsquoten unter 0,1 Promille sei das Phishing-Geschäft lukrativ. Bei etwa zwei Millionen Telebanking-Nutzern müsse man mit zehn bis 100 Opfern rechnen. Die Betroffenen werden um Beträge zwischen 1.000 und 20.000 Euro erleichtert, hieß es in der Aussendung.(red)