Angriffe auf Banken und deren Kunden

Der vorliegende Artikel liefert einen Überblick über die Methoden, mit denen Online-Kriminelle Finanzinstitute und Banken sowie deren Kunden angreifen. Außerdem beschreibt er allgemeine Trends und erklärt, wie diese Schadprogramme versuchen, Antiviren-Lösungen zu umgehen. Der Artikel beschäftigt sich zudem mit Phishing, „Money Mules“ sowie der technischen Vorgehensweise bei speziellen Angriffen wie der Umleitung des Traffics oder Man-in-the-Middle- und Man-in-the-Endpoint-Attacken. Abschließend werden Empfehlungen gegeben, wie sich die Sicherheit beim Online-Banking verbessern lässt.

Der Artikel möchte IT-Experten ein besseres Verständnis dafür vermitteln, wie Cyberattacken auf Finanzinstitute ablaufen und sich diese Angriffe verhindern lassen.

Viele Hersteller von Antiviren-Lösungen registrierten im Jahr 2007 einen enormen Anstieg an Schadprogrammen, die Banken angreifen. Auch wenn die Bankinstitute diesbezüglich mit klaren Informationen geizen, deutet diese Entwicklung doch darauf hin, dass immer mehr Banken ins Visier der Cyberkriminellen geraten.


 

Prozentualer Anteil von Finanz-Schadprogrammen

Wie die Grafik deutlich zeigt, steigt zwar die Zahl von Angriffen, allerdings sinkt die Zahl der monatlich neu entdeckten Finanz-Schädlinge. Die Gründe für diese Entwicklung lassen sich so erklären:

  1. Die Malware-Autoren verändern ihre Programme ständig, um eine Entdeckung durch AV-Programme zu verhindern. Sind die Veränderungen aber nur minimal, können Hersteller von Antiviren-Software die neuen Malware-Samples anhand der für frühere Varianten erstellten Signaturen erkennen.
  2. Die oben dargestellte Grafik berücksichtigt lediglich Finanz-Schadprogramme. Angriffen auf Banken gehen allerdings mehrstufige Prozesse voraus, wobei Social Engineering, Phishing und Trojan-Downloader eine wesentliche Rolle spielen. Über diese Methoden gelangt die Finanz-Malware letztlich auf die Rechner der Bankkunden. Für die Virenautoren ist es einfacher, anstelle der Finanz-Schadprogramme die meist kleineren und weniger komplexen Trojan-Downloader zu modifizieren.

Neben der steigenden Anzahl von Schadprogrammen, die nur ein einziges Finanzinstitut angreifen, nahm auch die Zahl solcher Schädlinge zu, die mehrere Unternehmen gleichzeitig attackieren. Deren Anteil nimmt jedoch prozentual ab:


 

Prozentualer Anteil von Schadprogrammen, die mehr als drei Finanzorganisationen attackieren

Daraus folgt, dass der größte Teil der Finanz-Schadprogramme für Attacken auf eine bis drei Banken entwickelt wird. Das ist wiederum mit der stark regionalen Ausrichtung derartiger Schädlinge zu erklären. Verschiedene Programme zielen dabei auf Banken oder Institutionen innerhalb einer bestimmten Region ab. So werden zum Beispiel Schadprogramme entwickelt, die auf die bekanntesten Banken eines Landes wie den USA, Deutschland, Mexiko oder Großbritannien spezialisiert sind.

Oben stehende Grafik zeigt, dass sich die Finanz-Schadprogramme überwiegend gegen eine relative geringe Anzahl von Banken richten. Dafür gibt es vermutlich zwei Gründe: Zum einen haben diese Banken einen großen Kundenstamm und zum anderen ist es aufgrund schwacher Sicherheitsvorkehrungen relativ einfach, Zugriff auf die Konten zu erhalten.


 

Top 10 der von Finanzschadprogrammen angegriffenen Banken

Im Jahr 2007 nahm auch die Anzahl der Trojaner zu, die Passwörter stehlen. Dazu fangen sie alle Daten ab, die in Web-Formulare eingegeben werden und greifen die am weitesten verbreiteten Browser wie zum Beispiel den Internet Explorer, Opera oder Firefox an. Solche Trojaner lassen sich logischerweise auch zum Kreditkartendaten-Diebstahl einsetzen. Je nach Sicherheitsstufe können Trojaner sogar die Sicherheitsvorkehrungen einer Bank druchbrechen. Viele Banken, die eine Ein-Faktor-Authentifizierung verwenden, etwa einen statischen Benutzernamen mit Passwort, sind schon durch relativ einfach gestrickte Attacken angreifbar.

Schutz vor Entdeckung

An den Finanz-Schadprogrammen lassen sich auch ganz allgemeine Infektions-Trends ablesen, weil die große Mehrheit der Bank-Schädlinge über das Internet auf die Computer gelangt. Während immer noch einige Schadprogramme per E-Mail zu den potentiellen Opfern gelangen, gibt es gute Gründe dafür, dass auf Finanzinstitutionen spezialisierte Malware meist über das Internet verbreitet wird.

Erstens ziehen via E-Mail verbreitete Schädlinge eher die Aufmerksamkeit von Antiviren-Programmen und Finanzinstituten auf sich, ganz zu schweigen von Medien und Anwendern. Tarnung gilt daher als entscheidender Faktor für den Erfolg einer Bankattacke. Ein Drive-by-Download unter Verwendung von Exploits ist deshalb ganz sicher eine bevorzugte Infektionsmethode. Bemerkt der User nicht, dass mit seinem Rechner etwas nicht stimmt, so macht er weiter wie bisher. In diesem Fall bedeutet das, dass er auch weiterhin vertrauliche Daten eingibt, die nun von Online-Kriminellen gestohlen und missbraucht werden können.

Zweitens werden Schadprogramme, die Systeme über das Internet infizieren, auf einem Web-Server gehostet. Das ist ein wichtiger Faktor, um sie vor der Entdeckung durch AV-Lösungen zu schützen. Cyberkriminelle können ihre Schadprogramme ganz einfach mittels automatisierten Tools modifizieren. Diese Methode nennt sich serverseitiger Polymorphismus und läuft anders ab als der reguläre Host-Polymorphismus, bei dem der zur Modifizierung des Codes verwendete Algorithmus bereits im Schadprogramm enthalten ist. Die polymorphe Variante macht es für die Antiviren-Experten unmöglich, den zur Modifizierung verwendeten Algorithmus zu analysieren, da er sich auf einem entfernten Server befindet. Zwar lassen sich generische Erkennungsroutinen für Programme entwickeln, die serverseitigen Polymorphismus einsetzen, doch nimmt dieses Verfahren sehr viel mehr Zeit in Anspruch.

Einige der raffinierteren Trojan-Downloader, mit denen die Finanz-Schädlinge platziert werden, sind zudem ganz besonders konstruiert. Sie zerstören sich nach erfolgreicher Zustellung selbst, was eine Analyse durch AV-Spezialisten unmöglich macht.

“Money Mules“ – Geldesel

Die Zunahme von Finanz-Malware geht mit einer zunehmenden Kriminalisierung des Cyberspace einher, in dem mit Schadprogrammen Geld gemacht wird. Die Online-Kriminellen stehlen nicht nur Geld, sondern müssen anschließend auch Wege finden, darauf zugreifen zu können. Sie können das gestohlene Geld natürlich nicht ohne weiteres auf ihre eigenen Konten überweisen, da sie dann leicht zu identifizieren wären und das Risiko einer Verhaftung und Verurteilung damit signifikant steigen würde.

Die Banken haben auf die steigende Zahl von Cyberattacken reagiert. Sie investieren nun mehr Zeit, Geld und Mühe darauf, Mechanismen zum Erkennen von Betrug und illegalen Aktivitäten zu entwickeln. So lösen sie zum Beispiel Alarm aus, wenn eine große Geldsumme in eine verdächtige Region der Welt transferiert wird.

Um diese Maßnahme zu umgehen, setzen die Cyberkriminellen so genannte „Money Mules“ ein. Diese „Geldesel“ werden häufig über scheinbar seriöse Stellenangebote rekrutiert. Das umfasst beispielsweise Anzeigen, in denen ein „Finanz-Manager“ gesucht wird. Geht der potentielle Money Mule auf das Angebot ein, bekommt er oder sie offiziell aussehende Dokumente vorgelegt, um dem Deal einen legitimen Anstrich zu verleihen. Der Geldesel macht nun sein Konto für Transaktionen zugänglich und überweist dann zwischen 85 und 90 Prozent des erhaltenen Geldes mit Diensten wie MoneyGram und E-Gold an die Online-Kriminellen. Diese Dienste sind für solche Zwecke besonders beliebt, da sie Anonymität garantieren und es so unwahrscheinlicher ist, dass die Cyberkriminellen gefasst werden. Das restliche Geld behalten die Money Mules als Provision – doch dieses Geld wurde illegal durch Phishing oder mittels Finanz-Malware verdient.


 

Money Mule Support

Der Job als Money Mule mag leicht verdientes Geld einbringen und einige der Geldesel glauben vielleicht tatsächlich, einer legalen Tätigkeit nachzugehen. Im Gegensatz zu den Phishing-Opfern beteiligen sie sich jedoch rechtlich gesehen an einer Straftat. Money Mules laufen daher Gefahr, erwischt und verhaftet zu werden, besonders wenn sie in demselben Land wohnen wie das Opfer.

Der Einsatz von Geldeseln bringt den Cyberkriminellen verschiedene Vorteile. Erstens werden die Transaktionen von den automatisierten Banksystemen seltener als verdächtig eingestuft, wenn der oder die Geldesel sich im gleichen Land wie der Betrüger befinden. Zweitens kann der Kriminelle mit mehreren Money Mules zusammenarbeiten und den zu transferierenden Betrag aufteilen. So lassen sich anstelle einer Transaktion von 50.000 Dollar zehn Zahlungen von jeweils 5.000 Dollar in Auftrag geben. Dadurch wird es einerseits weniger wahrscheinlich, dass die Transaktion als potentiell verdächtig gestoppt wird. Andererseits werden Verluste verringert, wenn eine oder zwei Transaktionen zwangsweise abgebrochen werden.

Natürlich birgt die Arbeit mit Money Mules auch Risiken. Die Betrüger müssen schließlich sicher sein, dass sie ihnen auch tatsächlich vertrauen können. Es gibt keine Garantie dafür, dass sich der Geldesel nicht einfach mit der Summe, die auf sein Konto überwiesen wurde, aus dem Staub macht.

Phishing

Beschäftigt man sich mit dem Problem Phishing, so sollte der Begriff unbedingt vorher eingegrenzt werden. Die Experten von Kaspersky Lab definieren Phishing als gefälschte Mitteilungen, die angeblich von einer Firma oder Behörde stammen und die User dazu zu bringen sollen, vertrauliche Informationen weiterzugeben. Es handelt sich hierbei ganz klar um Social Engineering. Sobald Malware ins Spiel kommt, wird die Attacke nicht mehr als Phishing angesehen.

Der nicht versiegende Strom von Phishing-Mails und die vielen Phishing-Construction-Kits zeigen, dass sich damit nach wie vor höchst effektiv Informationen von Anwendern erschleichen lassen. Dafür gibt es mehrere Gründe: Zum einen sind viele User nicht ausreichend über Phishing-Mails informiert und klicken immer noch auf die in solchen Nachrichten enthaltene Links. Zudem sind sie sich der existierenden Sicherheitsmechanismen wie etwa HTTPS-Übertragung nicht bewusst, schenken diesen nicht die nötige Beachtung oder ignorieren Warnungen vor ungültigen oder nicht vertrauenswürdigen Website-Zertifikaten. Und die Cyberkriminellen denken sich immer ausgeklügeltere Social-Engineering-Tricks aus, um selbst kundige Anwender hinters Licht zu führen und so ihren Gewinn zu maximieren.

Das zweite Problem liegt darin, dass sich die Sicherheitsvorkehrungen der meisten Finanzinstitute mit einer überaus simplen (Phishing)-Attacke überlisten lassen. Eine Überprüfung der Schutzmaßnahmen verschiedener Banken in den USA, Großbritannien sowie anderen Ländern ergab, dass lediglich die Eingabe eines statischen Benutzernamens und Passworts nötig ist, um auf das Online-Banking-System zugreifen zu können. Ein Cyberkrimineller muss also nur in den Besitz von Passwort und Benutzername kommen und kann anschließend so gut wie alle Transaktionen durchführen. Ein weiterer Nachteil von statischem Benutzernamen und Passwort besteht darin, dass die Daten gespeichert werden können. Und Cyberkriminelle können diese Daten dann auch später verwenden.

Banken mit besseren Sicherheitsrichtlinien verwenden mindestens ein dynamisches Passwort, das heißt ein nur für die jeweilige Sitzung gültiges Passwort. Eine solche dynamische Authentifizierung kann entweder beim Einloggen oder zur Bestätigung einer bestimmten Transaktion gefordert werden, am besten in beiden Fällen. Damit ist es unmöglich, eine Transaktion mit einem ungültigen Passwort zu bestätigen. Im Idealfall kann man sich damit nicht einmal einloggen.

Um Transaktionen trotz dynamischer Passwörter durchführen zu können, muss ein Cyberkrimineller bei den Phishing-Angriffen eine Man-in-the-Middle-Attacke (MitM) einsetzen. Diese Art von Angriffen wird später noch genauer erklärt. Die Organisation einer MitM-Attacke ist sehr viel komplizierter als das Aufsetzen einer Standard-Phishing-Seite. Allerdings werden mittlerweile viele MitM-Kits angeboten, so dass Cyberkriminelle mit minimalem Aufwand bekannte Banken angreifen können.

Davon ausgehend, dass Phishing auch weiterhin weit verbreitet sein wird, stellt es sicherlich eine sehr erfolgreiche Angriffsmethode dar. Phishing-Attacken funktionieren auf allen gängigen Betriebssystemen. Für Cyberkriminelle hat diese Art von Angriffen allerdings einen entscheidenden Nachtteil: Niemand kann den User zwingen, auf den in der E-Mail enthaltenen Link zu klicken oder seine vertraulichen Daten tatsächlich auch preiszugeben. Diese Entscheidungsmöglichkeit des Anwenders ist allen Social Engineering-Ansätzen eigen. Bloße technische Angriffsmethoden mittels Malware nehmen dem User diese freie Wahl und machen ihn zu einem aussichtsreichen Angriffsziel, selbst wenn er nicht auf Phishing-Versuche hereinfällt.

Automatisierte Angriffe

Finanz-Schadprogramme gibt es in allen möglichen Varianten und oft ist diese Art von Malware genau auf eine bestimmte Organisation zugeschnitten. Die Vorgehensweise einzelner Schädlinge hängt üblicherweise von den Sicherheitsmaßnahmen der anzugreifenden Institution ab. Die Cyberkriminellen müssen deshalb nicht unnötig komplexe Schadprogramme entwickeln. Den Betrügern stehen verschiedene Methoden zur Auswahl, um die Sicherheitssysteme der Banken zu umgehen und Anwenderdaten zu stehlen. Fordert eine Bank beispielsweise nur eine Ein-Faktor-Authentifizierung mit statischem Benutzernamen und Passwort, müssen lediglich die Tastatureingaben abgefangen werden. Alternativ haben einige Banken eine dynamische Kennworteingabe entwickelt, bei denen User eine zufällige Abfolge anklicken müssen, um sich einzuloggen. Malware-Autoren setzen zwei unterschiedliche Methoden ein, um diese Sicherheitsmaßnahme zu umgehen: Entweder speichern sie den Bildschirminhalt, wenn der Anwender eine spezielle Seite besucht oder sie stehlen einfach die Informationen, die zu dieser Site gesendet werden, indem sie auf das Formular zugreifen. In beiden Fällen werden die gestohlenen Daten erst später bearbeitet.

Durch den Gebrauch von Transaction Authorisation Numbers (TANs) zur Bestätigung von Transaktionen wird es schon komplizierter, Zugriff auf fremde Konten zu erhalten. Die TAN kann sich entweder auf einer Papierliste befinden, die der Kontoinhaber von seiner Bank erhält oder sie wird per SMS gesendet. In beiden Fällen haben Cyberkriminelle keinen Zugriff auf die TAN. Meist fängt die verwendete Malware die vom User eingegebenen Informationen ähnlich wie oben beschrieben ab. Gibt der Anwender die TAN ein, so unterbricht das Schadprogramm die Übertragung und gibt entweder eine gefälschte Fehlermeldung aus oder es schickt eine inkorrekte TAN an die Website des Finanzinstituts. Das führt unter Umständen dazu, dass der Anwender eine andere TAN eingibt. Je nach Sicherheitssystem verlangen manche Organisationen gleich zwei TANs, um eine Transaktion abzuschließen.

Der Erfolg eines solchen Angriffs hängt stark von der Art des TAN-Systems ab. Bei einigen Systemen haben die TANs kein Verfallsdatum. Die nächste zu benutzende TAN ist dann einfach die nächste Nummer auf der Liste. Kommt diese nicht bei der Website der Bank an, so können sie Kriminelle entweder sofort benutzen oder für den späteren Gebrauch aufbewahren. Allerdings haben gestohlene TANs eine geringere Lebenserwartung als ein statischer Benutzername und ein statisches Passwort. Denn ein User, der während einer Online-Banking-Session ständig auf Schwierigkeiten stößt, wendet sich vermutlich früher oder später mit der Bitte um Hilfe an seine Bank.

Werden die TANs via SMS an den Kontoinhaber geschickt, kann immer nur eine TAN pro Aktion verwendet werden, ähnlich wie bei der Zwei-Faktoren-Authentifizierung . Hier müssen Cyberkriminelle die Daten in Echtzeit bearbeiten und eine Man-in-the-Middle-Attacke starten.

Umleiten des Traffics

Eine andere von Cyberkriminellen verwendete Methode ist das Umleiten des Traffics. Hier stehen den Betrügern verschiedene Möglichkeiten zur Verfügung. Die einfachste besteht darin, die Windows-Datei „hosts“ zu modifizieren. Diese befindet sich im Verzeichnis „%windows%system32driversetc“ und kann dazu verwendet werden, DNS-Lookups zu umgehen. Ein DNS (Domain Name Server) verwandelt Domain-Namen wie www.kaspersky.com in IP-Adressen. Domain-Namen werden ausschließlich aus Gründen der Bequemlichkeit verwendet, denn für die Computer zählen nur die IP-Adressen. Wird die Hosts-Datei so modifiziert, dass ein bestimmter Domain-Name der IP-Adresse einer gefälschten Site zugeordnet wird, wird der Computer auf diese Seite umgeleitet.

Der Traffic kann auch umgeleitet werden, indem man die Einstellungen des DNS-Servers modifiziert. Bei dieser Methode wird nicht versucht, die DNS-Lookups zu umgehen. Die Einstellungen werden vielmehr dahingehend verändert, dass der Rechner einen anderen und schädlichen DNS-Server für die Lookups benutzt. Die meisten Leute, die von zu Hause aus surfen, benutzen für die Lookups den DNS-Server ihres Internet-Providers. Daher richteten sich die meisten Angriffe dieser Art gegen Computer. Wird für die Internetverbindung allerdings ein Router verwendet, so ist dieser standardmäßig für die DNS-Lookups zuständig, die er dann an den PC weiterleitet. Es wurden einige Angriffe auf Router registriert, die zum Ziel hatten, DNS-Einstellungen des Routers zu modifizieren. Da Router meist mangelhaft gesichert sind, werden derartige Attacken wahrscheinlich zunehmen. Mit Hilfe von XSS-Attacken lassen sich bestimmte Key-Settings modifizieren, die auch von DNS-Servern verwendet werden. Dabei bringen die Cyberkriminellen den User ganz einfach dazu, eine spezielle Website zu besuchen.

Traffic lässt sich auch über ein trojanisches Programm umleiten, das auf dem Computer eines Anwender installiert wurde und Seitenaufrufe überwacht. Sobald der Anwender beispielsweise eine Banking-Website aufruft, leitet der Trojaner den Traffic auf eine gefälschte Website um. Der Datenverkehr kann von einer HTTPS-Seite auf eine potentiell unsichere HTTP-Site umgeleitet werden. Solche Trojaner sind üblicherweise in der Lage, alle Warnungen des Browsers zu unterdrücken.

Für Cyberkriminelle kann diese Methode allerdings auch Nachteile haben. Denn bei trojanischen Programmen dieses Typs handelt es sich zumeist um „Browser Helper Objects“, die nur im Internet Explorer funktionieren. Zudem werden die Daten trotz Traffic-Umleitung nicht unbedingt in Echtzeit bearbeitet. Daher können potentielle Opfer möglicherweise ihre Bank mit dem Abbruch der jeweiligen Transaktion beauftragen.

Man-in-the-Middle-Attacken

Technisch anspruchsvollere Finanz-Schadprogramme arbeiten mit Man-in-the-Middle-Attacken (MitM). So können Cyberkriminelle nicht nur mehrere gleichzeitig Banken angreifen, die Schädlinge arbeiten auch profitabler, weil sie Daten in Echtzeit bearbeiten. Bei MitM-Attacken wird ein schädlicher Server verwendet, der den gesamten Traffic zwischen dem Client und dem Server unterbricht, also zwischen Kunde und Finanzinstitut steht. Obwohl der Anwender nichts Ungewöhnliches bemerkt, bestätigt er mit seiner Überweisung dennoch eine von Cyberkriminellen initiierte Transaktion. Bei MiTM-Attacken verwendete Malware unterdrückt typischerweise entweder die Browser-Meldungen über falsche Website-Zertifikate oder sie zeigt gefälschte Meldungen an, was weiter verbreitet ist. Doch je nach Vorgehensweise ist das meist gar nicht nötig. Loggt sich beispielsweise ein User auf einer Banking-Website ein, übernimmt das Schadprogramm die Kontrolle leitet den Traffic auf den MitM-Server um. In diesem Fall „aktualisiert“ das Schadprogramm ganz einfach die Bank-Seite und der Anwender meint, sich immer noch auf derselben Website zu befinden.

Raffiniertere Malware, die mit MitM-Attacken arbeitet, verwendet obendrein auch HTML-Injections. Das wirkt sich normalerweise auf zwei Arten aus, Die überaus gängige Schadprogramm-Familie Trojan-Spy.Win32.Sinowal kann mehr als 750 Banken angreifen und öffnet häufig PopUps, in die der Anwender Informationen eingeben soll. Dadurch soll der User vermutlich auch dazu gebracht werden, andere vertrauliche Daten einzugeben. Der Screenshot unten zeigt ein von Sinowal generiertes PopUp auf einer Banking-Website. In dieses Fenster soll der User Kreditkartendaten eingeben, die nicht im Zusammenhang mit der eigentlichen Transaktion stehen.


Sinowal-Pop-Up mit der Aufforderung
Kreditkartendaten einzugeben

Ein weiteres übliches Einsatzgebiet von HTML-Injections ist das Einfügen eines zusätzlichen Formulars auf der Banking-Website. Dabei wird der Anwender in dem dazu gehörigen Text aufgefordert, weitere Informationen einzugeben.

Normalerweise handelt es sich bei den angefragten Informationen um die Daten, die zur Bestätigung einer Transaktion notwendig sind. So kann der MitM-Server eine Transaktion selbst dann automatisch abschließen, wenn eine Zwei-Faktoren-Authentifizierung – etwa ein Login mit Passwort zusammen mit einer per SMS erhaltenen TAN – verwendet wird.

Obgleich diese Methode zum erfolgreichen durchführen einer MitM-Attacke nicht zwingend notwendig ist, lässt sie sich doch am einfachsten automatisieren. Eine andere Methode ergänzt eine Transaktion oder modifiziert die vom Anwender gestartete Überweisung. Das geschieht natürlich ohne Kenntnis des Opfers.

Diese MitM-Attacken sind zwar meist erfolgreich, haben für die Cyberkriminellen aber auch Nachteile. Durch einen MitM-Angriff wird das Surfen merklich verlangsamt, so dass der User Verdacht schöpfen könnte. Zudem modernisieren Banken ihre Sicherheitssysteme, um illegale Transaktionen heuristisch zu erkennen. Loggt sich beispielsweise ein Kunde 99 Mal von einer bestimmten IP-Adresse ein, das 100. Mal aber von einer IP-Adresse aus einem völlig anderen Land, so schlägt das System Alarm.

Cyberkriminelle versuchen ständig, ihren Gewinn zu maximieren und nicht dabei erwischt zu werden. Deshalb suchen sie auch ständig nach neuen Angriffs-Methoden. Gegenwärtig nimmt daher die Anzahl von Finanz-Schadprogrammen der so genannten nächsten Generation zu. Diese setzen auf Man-in-the-Endpoint-Attacken.

Die nächste Generation

Das Konzept von Man-in-the-Endpoint-Attacken (MitE) wird schon seit Jahren diskutiert, ist aber es erst seit kurzer Zeit im Einsatz. Im Gegensatz zu einer Man-in-the-Middle-Attacke ist bei einem MitE-Angriff kein zusätzlicher Server involviert, der den Traffic zwischen dem PC und dem Server unterbricht. Stattdessen werden alle Änderungen im lokalen System vorgenommen.

Dieser Ansatz hat einige entscheidende Vorteile. Erstens besteht eine direkte Verbindung zu der jeweiligen Finanzorganisation. Daher kann die Transaktion nicht allein deshalb unterbrochen werden, weil der User sich von einer unbekannten IP-Adresse angemeldet hat. Zweitens hat eine MitE-Attacke bessere Erfolgschancen als eine MitM-Attacke, wenn sie sich gegen ein System mit komplexen Sicherheitsvorrichtungen richtet.

Allerdings kostet die Entwicklung von MitE-Malware viel Zeit und Mühe. Zu einem möglichen Angriffs-Szenario gehört die Infizierung des Systems mit einem Trojaner, der den gesamten HTTPS-Traffic abfängt. Dieser gelangt dann zu den Malware-Autoren und liefert ihnen somit einen Fingerabdruck der Website, den sie wiederum zur Entwicklung eines weiteren trojanischen Programms verwenden.

Cyberkriminelle setzen MitE-Attacken normalerweise für Angriffe auf Banken mit Zwei-Faktoren-Authentifizierung ein. Diese Sicherheitsmaßnahme erschwert es Online-Kriminellen, auf den Transaktionsbereich einer Banking-Website zuzugreifen. Die oben beschriebene Methode ist technisch sehr effizient. Außerdem braucht es dazu keinen Insider, der den Kriminellen mit gültigen Login-Daten versorgt.

Der bei dieser Attacke verwendete Trojaner kann häufig Daten von einem Command&Control-Server empfangen, auf dem die Kriminellen Informationen wie Kontonummer und die zu transferierende Geldsumme gespeichert haben. Dies kann dynamisch ablaufen, wobei jeder infizierte Rechner die Anweisung erhält, Geld an die jeweils zuständigen Money Mules zu überweisen.

Auffallend ist, dass Malware-Autoren verschiedene Schadprogramm-Varianten der gleichen Familie den speziellen Sicherheitsmechanismen einer bestimmten Bank anpassen. Dadurch soll ein Angriff so effektiv wie möglich ablaufen. Ein Trojaner könnte so beispielsweise bei einer Bank heimlich eine Transaktion hinzufügen und bei einer anderen Bank die Transaktion des Anwenders heimlich ersetzen, um keinen Verdacht zu erregen.

Lösungen

Finanzinstitute auf der ganzen Welt sind von den steigenden Verlusten durch Cyberkriminalität betroffen. Bessere Sicherheitssysteme sind teuer, allerdings bleibt den Banken keine andere Wahl, als gerade auf diesem Gebiet zu investieren. Wie bereits ausgeführt, lässt sich die Ein-Faktor-Authentifizierung problemlos durch einen simplen generischen Keylogger umgehen. Daher ist es sehr beruhigend, dass viele Banken eine Zwei-Faktoren-Authentifizierung einführen wollen.

Allerdings zeichnet sich ein klarer Trend ab: Durch den stärkeren Einsatz von Zwei-Faktoren-Authentifizierung kursieren immer mehr Schadprogramme, die genau diese Sicherheitsmaßnahme ausschalten können. Das bedeutet wiederum, dass die Zwei-Faktoren-Authentifizierung keine langfristige Wirkung hat. Vielmehr wird dadurch lediglich die Messlatte für die Finanz-Malware höher gelegt.

Andererseits darf man auch nicht übersehen, dass die meisten Banken mit Zwei-Faktoren-Authentifizierung ihr System noch nicht auf maximale Sicherheit eingestellt haben. Die Sicherheitsindustrie kann sich also noch gegen die Aktionen der Cyberkriminellen wehren.

Trotzdem hat die Zwei-Faktoren-Authentifizierung einen entscheidenden Nachteil. Selbst wenn die Sitzung sicher ist, wird nicht überprüft, was währenddessen genau passiert. Um den Sicherheitsstandard zu verbessern, sind deshalb zusätzliche Kommunikationsformen erforderlich. Wie bereits von einigen Finanz-Instituten praktiziert, gehört dazu zum Beispiel der Einsatz eines kryptografischen Tokens oder von SMS-Nachrichten. SMS begrenzt die Gültigkeit von TANs, den zu überweisenden Betrag sowie die Anzahl der Konten, auf die zugegriffen werden kann.

Der Nachteil der oben beschriebenen Methode liegt allerdings auf der Hand. Malware-Autoren könnten Schadprogramme für die SMS-Empfangsgeräte entwickeln. Ein kryptografischer Token ist daher die bessere Lösung, da sich zusätzliche Software nicht darauf installieren lässt. Idealerweise gibt es dabei separate Algorithmen für das Login und die Bestätigung von Transaktionen.

Derzeit werden die Kunden bei der Bestätigung einer Transaktion mit einer kryptografischen Challenge-Response-Authentifizierung konfrontiert. Allerdings sind diese Challenges bislang nichtssagend für den Kunden. Daher sollte es eine zusätzliche Challenge-Response-Authentifizierung für jede einzelne Transaktion geben. Es ist keine sichere Methode, den zu transferierenden Betrag als Challenge zu benutzen. Bestimmte Trojaner umgehen diese Methode bereits, indem sie die Kontonummer ändern anstatt eine weitere Transaktion hinzuzufügen.

Bei einem sicheren Ansatz müsste der Kunde diejenigen Kontodaten eingeben, auf die er Geld überweisen möchte – Daten also, die nicht von einem Schadprogramm oder Cyberkriminellen vorhergesehen werden können. Ein weiterer Vorteil besteht darin, dass der Kunde die Kontonummer aktiv verwendet und so theoretisch eher eine unerwünschte Transaktion erkennt als würde er nur den Inhalt einer SMS lesen.

Ein solcher Mechanismus wäre kundenfreundlich, wenn der Kunde eine Whitelist von Kontonummern anlegen könnte, die keine zusätzliche Authentifizierung erfordern. Allerdings müsste in diesem Fall sowohl die Whitelist als auch der Zugriff darauf abgesichert werden.

Vieles hängt ganz eindeutig von den Finanzinstituten und deren Bereitschaft ab, in entsprechende Sicherheitsmaßnahmen zu investieren. Berücksichtigt man, dass Sicherheit beim Online-Banking ein recht neues Thema ist, so müssen sich auch die AV-Anbieter der Verantwortung stellen. Sind die Sicherheitslösungen in der Lage, aktuelle Finanz-Schadprogramme aufzuspüren? Wie weit reichen ihre Möglichkeiten, neue Malware-Varianten und Phishing-Attacken zu erkennen?

Nicht zuletzt ist jede Sicherheitslösung nur so stark wie ihr schwächstes Glied – in diesem Fall also der Kunde. Alles hängt davon ab, ob er auf einen schädlichen Link klickt oder nicht, ob sein System auf dem neusten Stand ist und alle Patches installiert wurden. Verschiedene Finanzinstitute berücksichtigen diese Faktoren bereits und einige Organisationen teilten bereits mit, dass sie nicht für Verluste haften, wenn das angegriffene System nicht vollständig gepatcht war.

Leider lehrt die Erfahrung der Antiviren-Industrie, dass Anwenderschulungen nur begrenzt wirksam und die von den Institutionen ergriffenen Sicherheitsmaßnahmen von recht wechselhaftem Erfolg gekrönt sind. Es sieht also so aus, dass auch bei Attacken auf Banken die AV-Industrie an vorderster Front steht, um sowohl die Anwender als auch die Finanzinstitute vor Verlusten zu schützen.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.