Schädliches Javascript vs. Kartenleser

Das Risiko, eine nicht unbedeutende Summe Geldes zu verlieren, weil Cyberkriminelle Kontoinformationen und die Zugangsdaten zum Online-Banking gestohlen haben, ist heute nicht mehr von der Hand zu weisen. Um den Diebstahl von Geld über Online-Banking-Systeme zu verhindern, setzen viele Kreditinstitute USB-Geräte ein. In den meisten Fällen handelt es sich dabei um USB-Token (oder USB-Sticks) und Kartenleser. Wenn der Anwender via Internet eine Transaktion durchführen will, fordert ihn das System auf, seine Identität als Kontoinhaber zu bestätigen. Der USB-Token oder Kartenleser schickt – nach Überprüfung der Kundenkarte – einen speziellen Code als Bestätigung an das System der Bank.

Alles schien sicher zu sein, denn selbst wenn Login und Passwort zum Onlinebanking gestohlen werden, ist der Dieb ohne Kartenleser oder Token nicht in der Lage, Geld von dem entsprechenden Konto zu überweisen. Aber die Cyberkriminellen mussten sich anscheinend auf Biegen und Brechen etwas ausdenken, um auch ein derartiges Schutzsystem zu umgehen. Einige Schadprogramme bringen den Anwender tatsächlich dazu, eine Überweisung von seinem Konto auf das Konto eines Kriminellen selbst zu bestätigen. Wie das funktioniert, zeigen wir an dem Beispiel des berüchtigten Trojaners ZeuS.

Dieser Trojaner überprüft in einem befallenen System alle Daten, die über den Webbrowser laufen. Er ist zudem in der Lage, diese Daten zu verändern, indem er zum Beispiel dem Code der vom User aufgerufenen Website schädlichen Code hinzufügt. Als Folge sieht der Anwender im Browserfenster eine vom Trojaner bereits manipulierte Version der Site.

Zuerst beschreibe ich einmal, wie das Online-Banking normalerweise, ohne Zutun des Trojaners, funktioniert. Der Anwender gibt seinen Benutzernamen und sein Passwort in die dafür vorgesehenen Felder auf der Online-Banking-Site ein. Sind Benutzername und Passwort korrekt, gewährt das Online-Banking-System dem User Zugriff auf die Verwaltung seines Bankkontos. Möchte der Kunde nun Geld überweisen, so fordert das Banksystem eine Bestätigung dieser Aktion durch die persönliche Bankkarte des Kunden mit Hilfe des Kartenlesers, der an den Computer des Anwenders angeschlossen sein sollte. So haben es zumindest die Entwickler dieses Systems vorgesehen.

Die Antwort der Cyberkriminellen darauf blieb nicht aus.

Die Original Startseite der Online-Banking-Website sieht folgendermaßen aus:

 новое окно
Original-Seite der Bank-Website mit Hinweis

Hier wird darauf hingewiesen, dass der Kartenleser nicht benötigt wird, um sich ins System einzuloggen. Schauen wir nun einmal, wie dieselbe Seite auf einem mit ZeuS infiziertem Rechner dargestellt wird:

 новое окно
Von ZeuS geänderte Bank-Seite – ohne Hinweis

In der Konfigurationsdatei von ZeuS ist die Adresse der Startseite der Bank enthalten und der Trojaner ändert entsprechend seinen Befehlen den Code der geladenen Seite dahingehend, dass der Anwender nun die wichtige Information zum Gebrauch des Kartenlesers nicht mehr sehen kann. Darüber hinaus werden dem Code Links hinzugefügt, die anscheinend auf ein auf der Bank-Site enthaltenes Script verweisen.

 новое окно
Von ZeuS veränderter Code der Bank-Seite

In Wirklichkeit gibt es auf der Bank-Site kein derartiges Script. Die Verfolgung dieses Links über den Browser wird dann durch eine andere Funktion des Trojaners abgefangen.

In der Konfigurationsdatei von ZeuS haben die Cyberkriminellen vorgegeben, welche Adressen oder Daten ausgetauscht werden sollen. Eine solche Zeile in der Konfigurationsdatei

 новое окно
Instruktion für den Trojaner, was auf einem infizierten
Computer wodurch ausgetauscht werden soll

bedeutet zum Beispiel, dass – wenn der Browser die erste Adresse in der Zeile anfordert – nicht auf diese, sondern auf die zweite Adresse in der Zeile weitergeleitet wird. Als Ergebnis wird im Browser des Anwenders nicht die Originalseite des Online-Banking-Systems bearbeitet und im Fenster angezeigt, sondern eine Seite mit einer „Beigabe“ von ZeuS, genauer gesagt, mit einem eingeschleusten schädlichen Script.

Hier nun eine schrittweise Beschreibung der Vorgehensweise dieses Scripts.

War die Autorisierung des Anwenders erfolgreich, so werden dem Online-Betrüger die abgefangenen Anwenderdaten zugesandt, als da wären: Benutzername, Passwort und PIN-Code (um an das Passwort und den PIN-Code zu kommen, fügt ZeuS dem Code der Seite beizeiten sein eigenes Web-Formular hinzu, in das der Anwender seine Daten eintragen soll).

Nachdem er seine Daten für die Anmeldung zum Online-Banking eingegeben hat, wartet der Bankkunde nun darauf, dass die Seite erscheint, über die er sein Konto verwalten kann. Das Script hält die Darstellung dieser Seite im Browserfenster jedoch zurück. Damit beim Anwender angesichts der Tatsache, dass er nicht auf sein Konto zugreifen kann, kein Misstrauen aufkommt, bildet das Script auf dem Computer-Bildschirm eine Mitteilung ab: “Autorisierung erforderlich. Warten Sie bitte, während wir die Konfiguration Ihres Systems überprüfen, um so zusätzliche Sicherheit gewährleisten zu können. Dieser Vorgang kann bis zu 60 Sekunden dauern“:

 новое окно
Vom schädlichen Script erzeugte Mitteilung

In der Zwischenzeit loggt sich der Trojaner in den Bankaccount des Anwenders ein. Und während dieser noch auf das Ergebnis der „Überprüfung der Konfiguration“ wartet, schaltet und waltet das schädliche Script an seiner Stelle und verfügt über sein Konto, indem es sich als rechtmäßiger Inhaber ausgibt.

Mit einem Zugangsaccount können mehrere Bankkonten verwaltet werden. Ist das der Fall, so sucht sich das Script das Konto, auf dem das meiste Geld liegt. Indem das Script alle Links auf der Seite ausprobiert, gelangt es schließlich auf die Seite, auf der Überweisungen durchgeführt werden können.

Um einen neuen Empfänger hinzuzufügen, emuliert das Script einen Klick auf den entsprechenden Link auf der Seite:

 новое окно
Vorbereitung einer Überweisung

 новое окно
Nachbildung des Übergangs auf die Seite zum
Hinzufügen neuer Überweisungsempfänger

Das Steuerungszentrum des Trojaners gibt genaue Informationen zu einer konkreten Überweisung vor: Name des Empfängers, Kontonummer, Sort Code, Verwendungszweck und – natürlich – den Betrag. Diese Daten werden in das Online-Überweisungsformular eingetragen.

Nachdem der Empfänger bestimmt wurde, kann zur Durchführung der Transaktion geschritten werden. Das Wichtigste fehlt allerdings noch: Der Anwender muss die Überweisung durch seine Bankkarte mit Hilfe des Kartenlesers bestätigen.

Alle oben beschriebenen Aktionen führt das Script relativ schnell durch. Der Anwender wartet unterdessen auf die angebliche Überprüfung der Systemkonfiguration. Während dieser „Überprüfung“ wird ihm die folgende Mitteilung angezeigt: „Um die Anmeldung im System fortzusetzen, bestätigen Sie bitte mit Hilfe des Kartenlesers Ihre Identität“.

 новое окно
Text der Aufforderung, die dem Anwender angezeigt wird, im Code des Scripts

Von vornherein hat der Trojaner den Hinweis unterdrückt, dass der Kartenleser zum Einloggen ins System nicht benötigt wird, und es ist sehr wahrscheinlich (denn der Anwender geht ja davon aus, eine Mitteilung seiner Bank erhalten zu haben), dass die ersehnte Karte in den Kartenleser eingeführt wird. Läuft alles nach Plan der Cyberkriminellen, so muss das Script die Transaktion jetzt nur noch abschließend bestätigen, indem es auf die Schaltfläche „Überweisung durchführen” klickt.

Das Geld ist futsch…

Nach Abschluss der Transaktion, durch die der Anwender sein Geld verloren hat, verbirgt das Script alle dazugehörigen Überweisungsdetails: Es ändert die Umsätze, so dass dem Anwender die von ihm erwartete Summe auf seinem Konto angezeigt wird, es verbirgt den vom Script hinzugefügten neuen Empfänger sowie die Informationen über die Durchführung einer Überweisung usw. Dementsprechend dauert es unter Umständen eine gewisse Zeit, bis der Anwender den Diebstahl überhaupt bemerkt.

Obgleich die Antiviren-Technologie fortwährend verbessert wird und die Banken ihre Online-Systeme modernisieren, um Cyberkriminellen das Eindringen in das System zu erschweren, unternehmen auch die Virenschreiber ihrerseits ernsthafte Anstrengungen, um sich ihre auf Betrug basierende Einkünfte zu sichern. In dieser schwierigen Situation ist es an den Bankkunden, nicht unvorsichtig zu werden.

Wurde Ihnen bei der Aushändigung eines USB-Tokens oder eines Kartenlesers mit Karte in Ihrer Bank versichert, dass Sie diese Geräte ausschließlich zur Bestätigung von Finanztransaktionen benötigen, so dürfen sie auch ausschließlich zu diesem Zweck eingesetzt werden, egal, von wem auch immer die Aufforderung kommen mag, irgendetwas anderes zu bestätigen, und wie echt diese Aufforderung auch immer aussehen mag.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.