Milliardenverluste durch brasilianische Betrugskampagne gegen das Bezahlsystem Boleto

UPDATE – Hacker greifen das brasilianische Bezahlsystem Boleto an, die zweitbeliebteste Bezahlmethode im Land. Sie haben bereits hunderttausende betrügerische Transaktionen durchgeführt, allerdings haben die Experten noch nicht endgültig feststellen können, wie viel Geld insgesamt gestohlen wurde.

Boletos, offiziell bekannt als Boleto Bancario, sind von Banken ausgegebene Finanzdokumente, die von Konsumenten genutzt werden können, um Nebenkosten oder andere Waren und Dienstleistungen zu bezahlen. Boletos werden entweder gedruckt und an die Kunden gemailt, oder sie werden über elektronische Kanäle generiert und versendet. In beiden Fällen enthält das Dokument einen Barcode und ein Identifikationsfeld oder eine numerische Entsprechung des Barcodes und eine Identifikationsnummer.

Experten von RSA Security haben vergangene Woche die Entdeckung einer umfassenden und effizienten Malware-Kampagne bekannt gegeben, die bereits seit zwei Jahren aktiv ist und den Betrug um das Bezahlsystem Boleto immer weiter perfektioniert, was insbesondere die Erstellung von gefälschten Bezahldokumenten beinhaltet.

Bei den Malware-Attacken auf Boleto kommen Man-in-the-Browser-Infektionen wirksam zum Einsatz, um Schwachstellen in Chrome, Firefox und dem Internet Explorer anzugreifen, die unter Windows laufen, und um die Boleto-Bezahlungen auf Scheinkonten der Cyberkriminellen umzuleiten.

„Da es sich bei diesem Schädling um MITB handelt, sind alle Malware-Aktivitäten sowohl für das Opfer als auch für die Web-Anwendung unsichtbar“, heißt es in dem RSA-Bericht, und es wird ergänzt, dass es bis zu 19 bekannte Varianten dieser Schadsoftware gibt.

RSA erklärte, seit dem Jahr 2012 insgesamt 495.753 betrügerische Boleto-Transaktionen identifiziert zu haben, in einem Wert von 3,75 Milliarden US-Dollar. Der brasilianische Bankenverband FEBRABAN hat die finanziellen Betrugsverluste 2012 allerdings auf 700 Millionen Dollar geschätzt und liegt damit deutlich unter den Zahlen von RSA.

“Die Boleto-Malware ist die Grundlage einer umfassenden Betrugskampagne und sie stellt eine ernsthafte Cyberbedrohung für brasilianische Bankkunden dar“, heißt es bei RSA. “Wenn auch der Bolware-Betrugsring nicht so weitreichend sein mag wie andere, größere Cybercrime-Operationen, so scheint sie für ihre Organisatoren doch extrem lukrativ zu sein.”

Bei einer legitimen Online-Boleto-Transaktion generiert beispielsweise ein Online-Shop einen Boleto und schickt ihn an einen Kunden. Der Kunde kann sich aussuchen, wo er ihn verwenden will, wenn er einmal auf dem Browser dargestellt wurde. Wird ein infizierter PC benutzt, so werden die Boleto-Daten zusammen mit allen Browser-Daten gestohlen und an den Server der Angreifer geschickt. Der Angreifer modifiziert daraufhin die Boleto-Daten und schickt die Zahlung auf ein eigens erstelltes Scheinkonto anstelle zur Bank.

“Die Schadsoftware setzt Techniken ein, die wir von anderen, berühmt-berüchtigten Trojanern kennen, wie etwa SpyEye: HTML Code-Einschleusung, MitB und so weiter”, erklärt Fabio Assolini, Senior Security Researcher bei Kaspersky Lab. “Doch das ist noch nicht alles: Die jüngsten Attacken basieren auf schädlichen Firefox- und Chrome-Erweiterungen (im offiziellen Store gefunden) sowie auf gefälschten Websites, die die Möglichkeit bieten, einen verbrauchten Boleto neu auszugeben und wiederzuverwenden.”

Laut RSA ist diese Art von Betrug für den Kunden nur schwer als solcher zu erkennen, da die Identifikationsnummernfelder nicht an einen bestimmten Zahlungsempfänger gebunden sind und die Kunden Informationen dieser Art für gewöhnlich nicht überprüfen. Das Sicherheitsunternehmen erklärt weiter, dass Banken den Betrug ebenfalls nicht sofort entdecken, da die Zahlungen von Kundencomputern stammen, und die Kunden häufig via Boletos bezahlen.

Die gefälschten Boleto ID-Nummern und die Angriffscharakteristika wurden laut RSA an das FBI und die brasilianische Bundespolizei übermittelt.

“Die Boleto-Malware und die Art, wie sie die Boleto-Transaktionen manipuliert, ist schwierig zu erkennen, doch anscheinend betrifft der Betrug nur Boletos, die online erstellt oder online über infizierte PCs bezahlt werden, die unter Windows laufen und drei populäre Browser benutzen”, erläutern die Experten von RSA. “RSA-Forscher haben bisher keine Belege für betrügerische Transaktionen über mobile Boleto-Apps oder digitale DDA-Wallets gefunden.”

Dieser Bericht wurde am 4. Juli aktualisiert, um zu klären, dass unter den Experten noch Uneinigkeit bezüglich der gestohlenen Geldsumme herrscht.

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.