Schutz vor virtuellen Wegelagerern

Inhalt

    Die Möglichkeit, Finanztranskationen über das Internet durchzuführen, hat unser Leben wesentlich vereinfacht – heute kann man praktisch jede Ware oder Dienstleistung kaufen, ohne dabei das Haus verlassen zu müssen. Und die Services des Web-Bankings befreien uns von der Notwendigkeit, in der Bank Schlange zu stehen. Allerdings spielt die wachsende Beliebtheit der Online-Bezahlung auch den Verbrechern in die Hände, die sich ebenfalls die neusten Technologien zu Eigen machen: Je mehr Leute ihre Finanzen von zu Hause aus erledigen, desto mehr potentiell Opfer gibt es und desto höher ist folglich auch der Erlös aus der kriminellen Tätigkeit. Der Diebstahl von Finanzinformationen und die anschließende Überweisung der Anwender-Gelder auf von Cyberkriminellen kontrollierte Konten ist heute eine der effektivsten Verdienstmethoden, die Online-Verbrecher auf der ganzen Welt für sich nutzen.

    Theoretisch ist es für Cyberkriminelle, die es auf den Diebstahl von Finanzinformationen abgesehen haben, einträglicher, die Serverseite der Bearbeitung von Bezahlvorgängen anzugreifen (Bankeninfrastruktur, Server von Bezahlsystemen usw.), da sie eine enorme Menge von Daten enthält, die nutzbringend eingesetzt oder verkauft werden können. Doch in der Praxis ist es ebenso schwer sich hierauf einen Zugriff zu verschaffen wie in einen realen Bankentresor einzubrechen, da Unternehmensserver äußerst gut geschützt sind. Daher ziehen es Cyberkriminelle vor, Anwender von Online-Banking- oder Bezahlsystemen anzugreifen, die schlechter abgesichert sind. Im Laufe einer Attacke können Cyberkriminelle zehntausende von Heimcomputern infizieren, und gerade die Masse von Infizierungen gewährleistet ihnen den gewünschten Vorteil.

    Wie werden Anwenderdaten gestohlen?

    Cyberkriminellen steht ein ganzes Arsenal an Methoden zur Verfügung, mit Hilfe derer sie sich Zugriff auf die vertraulichen Informationen der Anwender verschaffen können. Ein Schlüsselelement der meisten Attacken, die auf den Diebstahl von Finanzdaten der Anwender abzielen, ist das Social Engineering. Die entsprechenden Ansätze werden sowohl zur Verbreitung von Schadprogrammen als auch direkt zum Diebstahl von Nutzerinformationen angewandt.

    Ein klassisches Beispiel für die Nutzung der Möglichkeiten des Social Engineering zum Zwecke des Diebstahls von Finanzinformationen ist das Phishing. Der in die Irre geführte Anwender gibt den Verbrechern praktisch freiwillig seine geheimen Daten preis. Das potentielle Opfer erhält beispielsweise eine „offizielle“ Mail im Namen einer großen Bank (eines Bezahlsystems, eines Internet-Shops usw.), aus der hervorgeht, dass es auf dem Server des jeweiligen Unternehmens zu einem technischen Ausfall gekommen sei und nun umgehende alle Kunden ihre Daten zur Überprüfung erneut angeben müssen. Die Vorwände, unter denen die Nutzer aufgefordert werden, ihre Daten anzugeben, unterscheiden sich von Fall zu Fall, doch immer läuft es darauf hinaus, dass der Kunde seinen Benutzernamen und sein Passwort in einem Antwortschreiben angeben, diese Daten in ein Webformular auf der „offiziellen“ Website der Bank eintragen oder auf einen in der Mail enthaltenen Link klicken soll. Dabei fallen letztlich alle Informationen, die der Anwender irgendwo eingetragen oder versendet hat, Cyberkriminellen in die Hände.

    Bei den von Phishern verwendeten gefälschten Webressourcen handelt es sich um exakte Kopien der Original-Websites.

    Beispiel für eine Phishing-Ressource

    Damit der Nutzer die Fälschung nicht als solche erkennt, verwenden die Verbrecher für ihre Webseiten Adressen, die denen der echten Webseiten in der Schreibung überaus ähnlich sind. Zu diesem Zweck kommen verschiedene Methoden zum Austausch des Inhalts der Adresszeile zum Einsatz.

    Fälschungen von Phishern sind häufig nur schwer von den Original-Websites zu unterscheiden. Aus diesem Grund raten Experten den Anwendern, nicht über Links in E-Mails auf Websites von Banken zu gehen, sondern zu diesem Zweck das Lesezeichen im Browser zu verwenden.

    Es gibt spezialisierte Schadprogramme zum Diebstahl von Finanzinformationen, die sogenannten Banking-Trojaner. Diese Schädlinge sammeln in der Regel im automatisierten Modus Bezahlinformationen auf infizierten Rechnern und führen manchmal Transaktionen im Namen der Anwender durch.

    In den Attacken auf Bankkunden mit Hilfe von Schadprogrammen können auch Phishing-Mails zum Einsatz kommen, die im Namen der angegriffenen Bank verschickt werden. In solchen Phishing-Schreiben wird der Anwender nicht gebeten, Informationen zu versenden, sondern das an die Mail angehängte Dokument zu öffnen, bei dem es sich in Wahrheit um eine Schaddatei handelt.

    Für die massenhafte Verbreitung von Banking-Trojanern setzen Online-Gangster aktiv Exploits für Sicherheitslücken im Betriebssystem Windows und in populären Anwendungen ein. Indem sie Softwaresicherheitslücken ausnutzen, dringen die Exploits für den Anwender unbemerkt ins System ein und laden andere Schadprogramme auf den infizierten Computer, in diesem Fall Programme, die Finanzinformationen der Anwender stehlen. Um die Effizienz der Angriffe zu erhöhen, verwenden die Kriminellen nicht nur ein Exploit, sondern so genannte Exploit-Packs – Sammlungen von Exploits für verschiedene Sicherheitslücken. Das Exploit-Pack analysiert die Programme auf dem Computer des Anwenders. Entdeckt es ein „Loch“ in der Software, so wählt es das passende Exploit aus, mit dem die Infektion des Computers gelingt.

    Die Exploit-Packs werden entweder auf den Servern der Cyberkriminellen oder auf gehackten Ressourcen platziert. Links auf die Startseiten der Sammlungen von Exploits, die die Bankentrojaner laden, werden von den Cyberkriminellen in Spam und sozialen Netzwerken verbreitet, auf gehackten legitimen Ressourcen platziert, und sogar Banner und Teaser von legalen Werbesystemen können zu diesem Zweck missbraucht werden. Die Infektion populärer Websites ist besonders gefährlich. Auf solchen Ressourcen gibt es zahlreiche Besucher, und enthalten diese Websites einen schädlichen Link, so wird der Computer jedes Besuchers unbemerkt von Exploits angegriffen, die versuchen das Schadprogramm zu „schützen“.

    Cyberkriminelle verwenden sowohl Banking-Trojaner, die in der Lage sind, Kunden verschiedener Banken anzugreifen, als auch Trojaner, die auf Attacken auf Kunden einer konkreten Bank spezialisiert sind.

    Wie gehen Trojaner vor?

    Ist er einmal auf dem Computer des Anwenders gelandet, so setzt sich ein Banking-Trojaner im System fest, woraufhin er sich an die Erfüllung der ihm zugeteilten Aufgabe macht, d.h. an den Raub verschiedener Finanzinformationen des Anwenders.

    Schadprogramme nutzen die folgenden Techniken:

    • Abfangen von Tastatureingaben. Die Trojaner protokollieren das Betätigen der Tasten auf der Tastatur, wenn der Anwender die für die Cyberkriminellen relevanten Informationen eingibt, darunter auch Benutzername und Passwort des Anwenders.
    • Erstellen von Screenshots, auf denen die Felder mit den über die normale Tastatur eingegebenen Finanzinformationen dargestellt sind. (In diesem Fall erhalten die Cyberkriminellen nur die Informationen, die bei der Eingabe sichtbar sind, das Passwort hingegen wird auf dem Bildschirm als eine Folge von Punkten dargestellt und ist daher nicht erkennbar).
    • Umgehen der virtuellen Tastatur: Erstellen von Bildern des Bildschirmbereichs um den Cursor herum in dem Moment, in dem mit der linken Maustaste geklickt wird. Als Folge erhalten die Gangster eine Folge von Symbolen, die mit der Maus auf der virtuellen Tastatur angeklickt wurden, unter anderem den Benutzernamen und das Kennwort des Anwenders.
    • Veränderung der Datei hosts. Die in dieser Datei gespeicherten Informationen haben Priorität vor den Informationen, die der Browser vom DNS-Server erhält. Die Trojaner ergänzen in dieser Datei die „Buchstaben“-Adressen der Banken und geben als Entsprechung die IP-Adressen der Server der Cyberkriminellen an. Im Endeffekt landen die Anwender, die die Adressen dieser Banken auswählen, auf gefälschten Websites und sehen dabei in der Adresszeile die Adresse der legalen Website in Buchstabenform. Wie auch im Fall des klassischen Phishings werden die bei der „Autorisierung“ auf der gefälschten Site eingegebenen Daten an die Cyberkriminellen weitergegeben.
    • Eindringen in einen laufenden Browser-Prozess. Das trojanische Programm ist dadurch in der Lage, die Verbindung des Browsers mit dem Server zu kontrollieren. Auf diese Weise kommen die Cyberkriminellen an Benutzername und Kennwort, die der Anwender auf der Website der Bank eingibt. Zudem sind sie in der Lage, den Inhalt der Webseite zu modifizieren (Web-Einschleusung), wodurch die Verbrecher neben Nutzername und Kennwort auch in den Besitz weiterer vertraulicher Informationen kommen können.

    Zur Durchführung der allermeisten Finanzoperationen im Netz wird ein Browser benötigt, sowie solche Techniken, mit denen auch moderne Banking-Trojaner ausgestattet sind, die auf die eine oder andere Weise mit dieser Software in Verbindung stehen.

    Eine unter Cyberkriminellen sehr beliebte Methode ist die Web-Einschleusung – eine Modifikation der HTML-Seite. Auf der im Browser geladenen Webseite der Bank fügt das Schadprogramm zusätzliche Felder ein, in die das Opfer vertrauliche Informationen eingeben soll. So fügt der Trojaner Carberp der Startseite für das Online-Banking beispielsweise mittels Web-Einschleusung eigene Eingabefelder hinzu, und zwar für die Kreditkartennummer des Anwenders, für den Kreditkarteninhaber, die Gültigkeitsdauer, die CVV und CVC sowie für die PIN. Weigert sich der Anwender seine Kreditkartendaten einzugeben, so erhält er eine Fehlermeldung und alle Funktionen werden im Folgenden blockiert.

    Daten, die Carberp bei dem Anwender auf einer geänderten Startseite des Online-Banking-Systems erfragt,
    in roter Umrandung hervorgehoben

    Die vom Anwender eingegebenen zusätzlichen Informationen finden zwar ihren Weg zu den Cyberkriminellen, allerdings nicht zu der Bank – sie werden bei der Datenübermittlung an den Bankserver abgefangen. Daher schöpfen weder der Kunde noch die Bank selbst angesichts der Fälschung Verdacht.

    In den meisten Fällen kombinieren die Online-Verbrecher verschiedene Techniken miteinander – dadurch erhöhen sie die Chance auf eine erfolgreiche Infektion sowie die Effektivität der Arbeit des Schadprogramms. Eins der am höchsten entwickelten und ausgereiftesten trojanischen Programme, das Cyberkriminelle einsetzen, ist der Banktrojaner ZeuS (Zbot). Weltweit existiert eine Vielzahl von Modifikationen dieses Schädlings, zudem wurde er funktional geklont, und zwar in Form des Trojaners SpyEye.

    Hier einige der Möglichkeiten, über die ZeuS verfügt:

    • Der Trojaner stiehlt alle Informationen, die der Anwender auf dem Computer „im Gedächtnis behält“ (beispielsweise indem er einen Haken vor „Passwort speichern“ setzt).
    • Der Trojaner verfolgt, welche Tasten der Anwender betätigt.
    • Bei Verwendung einer virtuellen Tastatur speichert ZeuS in dem Augenblick den Bildschirmbereich um den Cursor, in dem der Nutzer die linke Maustaste betätigt. So erhalten die Betreiber des Schädlings Informationen darüber, welche Tasten auf der virtuellen Tastatur angeklickt wurden, was ihnen unter Umständen wiederum Nutzername und Passwort des Anwenders verrät.
    • ZeuS verwendet Web-Einschleusung. Beim Öffnen einer Webseite, deren Adresse in der Konfigurationsdatei von ZeuS enthalten ist, fügt der Trojaner neue Eingabefelder hinzu, in die der Anwender die vertraulichen Informationen eintragen soll, die für die Cyberkriminellen von Interesse sind.
    • ZeuS ist in der Lage, die modernsten Schutzsysteme von Banken zu umgehen (davon wird im Folgenden noch die Rede sein).

    Dieses Schadprogramm wird mit Hilfe von Social Engineering und unter Ausnutzung von Sicherheitslücken in populären Software-Produkten von Microsoft, Oracle, Adobe usw. sowie beim Besuch gehackter Websites verbreitet. Links auf derartige Sites werden in erster Linie via Spam in Umlauf gebracht.

    ZeuS ist in der Lage, die Informationen zu stehlen, die nötig sind, um sich nicht sanktionierten Zugriff auf Konten bei den größten Banken der Welt zu verschaffen. Im Jahr 2012 registrierten wir 3.524.572 Installationsversuche dieses Schadprogramms auf 896.620 Computern von KL-Anwendern in verschiedenen Ländern.

    Karte der Infektionsversuche des Schadprogramms ZeuS/Zbot im Laufe des Jahres 2012 (KSN-Statistik)

    Unter Umgehung des zweiten Faktors

    Wie bereits erwähnt, verwenden Banken nicht wenige Mühen darauf, ihre Kunden zu schützen. Banktrojaner gingen dermaßen effektiv vor, dass die Banken gezwungen waren, eine zusätzliche Schutzebene zu installieren —Methoden zur Identifikation des Anwenders, die zusammen mit dem klassischen Benutzernamen und Passwort die so genannte Zwei-Faktoren-Authentifizierung bilden. Bei der Zwei-Faktoren-Authentifizierung ist es nicht mehr ausreichend, Nutzernamen und Passwort zu kennen, will man die Kontrolle über das Bankkonto erhalten.

    Doch auch die Cyberkriminellen legen ihre Hände nicht in den Schoß und entwickeln Schadprogramme, die in der Lage sind, selbst diesen verstärkten Schutzwall zu durchbrechen.

    Bei der Zwei-Faktoren-Authentifizierung verwenden die Banken Einmalpasswörter, die so genannten TAN (Transaktionsnummern). Dabei können sowohl Ausdrucke der Bank mit TAN-Listen, SMS mit Einmalpasswörtern, die die Bank auf das Mobiltelefon des Nutzers sendet (mTAN) und sogar eigens zu diesem Zweck konstruierte Geräte (chipTAN) verwendet werden.

    Zur Umgehung der aufgeführten Schutzsysteme haben Cybergangster neue Techniken zum Datendiebstahl entwickelt und ihre Social-Engineering-Ansätze modifiziert.

    Einmalpasswörter (TAN)

    Der Banking-Trojaner ZeuS verfügt über eine Reihe von Funktionen zur Umgehung verschiedener Arten von Zwei-Faktoren-Authentifizierung. Dabei nutzt ZeuS einen interessanten Mechanismus zum Sammeln von Einmalpasswörtern, die der Anwender am Bankomaten ausdruckt.

    1. Sobald sich der Nutzer im Online-Banking-System autorisiert und sein Einmalpasswort eingegeben hat, stiehlt ZeuS die Autorisierungsdaten, gibt eine gefälschte Mitteilung darüber aus, dass die aktuelle Einmalpasswort-Liste nicht gültig ist und bittet den Anwender eine neue Passwort-Liste entgegenzunehmen.
    2. Zum Empfang der „neuen Liste“ muss sich der Anwender mit den ihm zur Verfügung stehenden TAN-Codes in den entsprechenden Formularfeldern identifizieren, die von ZeuS mittels Web-Einschleusung erstellt wurden – angeblich zum Zwecke ihrer anschließenden Sperrung.
    3. In der Folge werden alle vom Anwender eingegebenen Passwörter an die Cyberkriminellen weitergegeben, die diese umgehend nutzen, um das Geld ihres Opfers auf ihr eigenes Konto zu überweisen.

    Beispiel für eine von ZeuS erstellte gefälschte Mitteilung

    mTAN

    Im Zusammenspiel mit dem mobilen Trojaner ZeuS-in-the-Mobile (ZitMo) ist ZeuS in der Lage Einmalpasswörter zu stehlen, die den Anwendern auf ihre Mobiltelefone gesendet werden.

    Interaktionsschema der beiden Trojaner und des Anwenders:

    trojan-money-5

    1. Betritt der Anwender die Autorisierungsseite im Online-Banking-System, so erstellt ZeuS mittels Web-Einschleusung auf dieser Seite ein zusätzliches Feld zur Eingabe der Handynummer – angeblich um das Zertifikat zu aktualisieren.
    2. Wenn der Anwender die für die Autorisierung notwendigen Daten und seine Telefonnummer eingibt, stiehlt der Trojaner diese Informationen und gibt sie an seinen Herrn und Gebieter weiter. Und nach einer gewissen Zeit geht eine SMS auf dem Smartphone mit einem Link auf das „neue Sicherheitszertifikat“ ein. Der Versuch, das „Zertifikat“ zu installieren führt zur Infektion des Gerätes – anstelle des Zertifikats wird der mobile Trojaner ZitMo auf das Telefon geladen.
    3. Einmal auf dem Telefon gelandet, fängt ZitMo alle von Banken stammenden SMS mit Authentifizierungscode ab und leitet sie an die Cyberkriminellen weiter. Auf diese Weise fallen den Verbrechern alle Daten in die Hände, die für die entfernte Verwaltung des Bankkontos notwendig sind, und die es ihnen ermöglichen, Geld vom Konto des Anwenders zu stehlen.

    chipTAN

    Eine weitere Art der Zwei-Faktoren-Authentifizierung ist das chipTAN-Verfahren, das von westeuropäischen Banken eingesetzt wird und vorsieht, dass der Kunde über ein spezielles Gerät verfügt – den so genannten TAN-Generator. Nachdem er auf der Bank-Website die gewünschte Transaktion vorbereitet hat, steckt der Nutzer seine Bankkarte in den Generator und gibt seinen PIN-Code ein.

     

    Daraufhin hält der Anwender das Gerät zum Lesen der Transaktionsdaten an den Bildschirm seines Computers. Hat er die Daten zur bevorstehenden Transaktion überprüft, die noch einmal auf dem Bildschirm des TAN-Generators angezeigt werden, gibt der Nutzer einen weiteren Code zur Bestätigung der Transaktion ein, die ihm von dem Gerät erezugt wird.

    chipTAN-Seite auf der Website einer deutschen Bank

    Das chipTAN-Verfahren ist das derzeit modernste und effektivste Schutzsystem. Leider haben die Entwickler des Trojaners SpyEye einen Weg gefunden, auch diesen hochtechnologischen Schutz umgehen.

    1. Unter Verwendung von Web-Einschleusung modifiziert der Trojaner die Umsatzliste des Anwenders. Das hat zur Folge, dass der Bankkunde nach seiner Autorisierung im System sieht, dass jemand ihm eine große Geldsumme überwiesen hat und sein Kontostand dementsprechend hoch ist.
    2. SpyEye informiert den Kunden im Namen des Online-Banking-Systems darüber, dass es sich um eine fehlgeleitete Überweisung handelt und das Konto so lange gesperrt bleibt, bis er das angeblich erhaltene Geld zurücküberwiesen hat.
    3. Der durch diese Aussicht erschreckte Anwender leitet nun eine weitere Überweisung ein, um das Geld zurückzugeben. Und SpyEye gibt ihm dabei die zu überweisende Summe sowie die entsprechende Kontonummer vor. Und dabei hat der Schädling es noch nicht einmal nötig, den frisch generierten chipTAN-Code zu stehlen – der Anwender gibt die TAN freiwillig selbstständig ein und bestätigt so die Transaktion.


    4. Daraufhin korrigiert SpyEye den Kontostand des Kunden wieder auf den alten Stand, sobald das Geld auf das Konto der Cyberkriminellen geflossen ist.

    Warnung der Kreissparkasse Leipzig mit der Aufforderung an die Kunden, fehlgeleitete
    Überweisungen zu ignorieren

    Wie man sieht, macht diese Taktik noch nicht einmal neue technische Winkelzüge seitens der Cyberkriminellen erforderlich – die Attacke fußt allein auf Web-Einschleusung und Social Engineering.

    Token

    Als zusätzlicher Schutz kann ein Token eingesetzt werden – ein USB-Gerät, das einen einmaligen Schlüssel enthält, den das System immer dann beim Anwender abfragt, wenn dieser einen Bezahlvorgang durchführt. Die Autoren des Banking-Trojaners Lurk haben einen überaus effektiven Weg gefunden, auch diesen Schutzmechanismus zu umgehen:

    1. Der Anwender initiiert einen Bezahlvorgang im Online-Banking-System und gibt seine Daten ein.
    2. Der Trojaner fängt die Bankrequisiten ab und wartet auf die Aufforderung des Systems, den Token einzusetzen.
    3. Das Online-Banking-System fragt den Token an und der Anwender gibt seinen Schlüssel ein, indem er den USB-Anhänger in die entsprechende Buchse steckt.
    4. Der Trojaner fängt dieses Ereignis ab, woraufhin er dem Nutzer auf dem Bildschirm einen gefälschten „Blue Screen of Death“ anzeigt, der den Anwender darüber informiert, dass eine Kopie des Arbeitsspeichers für eine anschließende Analyse erstellt wird. Der User wird gebeten, den Computer bis zum Abschluss der Operation nicht auszuschalten.

      Der vom Trojaner erstellte „blaue Bildschirm“

    5. Während der Anwender auf die Beendigung der „Operation“ wartet (wobei sich der Token im USB-Port befindet), schließt der Cyberkriminelle – der in diesem Moment Zugriff auf das Anwenderkonto hat – selbstständig den Bezahlvorgang ab und überweist das Geld des Anwenders auf sein eigenes Konto.

    Eine andere Methode zur Umgehung eines USB-Tokens wird von Schadprogrammen der Familie Trojan-Banker.Win32.BifitAgent eingesetzt, die auf Angriffe auf Anwender-Software für das Online-Banking spezialisiert sind, welche von dem russischen Unternehmen „BIFIT“ entwickelt wurde.

    Das Schadprogramm BifitAgent besteht aus zwei Hauptmodulen, die auf dem Computer des Opfers laufen: eine ausführbare Datei und ein Java-Archiv. Während der Arbeit des Schadprogramms funktioniert das ausführbare Modul gleichzeitig mit schädlichen JAR-Dateien und ermöglicht es den Angreifern so, jeden beliebigen Jave-Code in dem Moment zu modifizieren, in dem eine Bank-Transaktion durchgeführt wird. Die Hauptfunktion des Java-Codes, der in einer schädlichen JAR-Datei enthalten ist, besteht in dem vom Anwender unbemerkten Austausch der Daten, die für die Transaktion benötigt werden. Die Verwendung eines USB-Tokens während der Transaktion stört den Cyberkriminellen nicht, da die Transaktion nach dem Austausch der Daten durch den Token bestätigt wird. Im Endeffekt wandert das Geld des Anwenders auf das Konto der Cyberkriminellen.

    Rettung der Ertrinkenden

    Banken und Bezahlsysteme unternehmen große Anstrengungen, um ihre Kunden zu schützen, doch leider reicht es nicht dafür aus, dass der Anwender sich keinerlei Sorgen um die Sicherheit seines Geldes machen müsste. Der Computer des Anwenders muss vor dem Diebstahl von Bezahldaten durch Banking-Trojaner und andere Schadprogramme geschützt werden – das wird durch den Schutz des Browsers vor dem Eindringen von Schadcode, den Schutz der Tastatureingabe und mittels Antivirentechnologien gewährleistet, die das Eindringen von Schadprogrammen ins System ausschließen. Doch in diesem Fall geht es nicht nur um den AV-Schutz des Computers, sondern auch eine Überprüfung der Legitimität der Webressourcen (Website der Bank, des Bezahlsystems, des Internet-Shops usw.) und die Gewährleistung einer gesicherten Verbindung zu der entsprechenden Ressource sind unerlässlich.

    Jede beliebige Finanzoperation kann nur dann als sicher angesehen werden, wenn der Schutz der drei Schlüsselelemente gewährleistet ist:

    1. Der Computer, von dem der Anwender sich im Online-Banking-System einloggt
      Ein Antivirus schützt das System insgesamt; eine spezielle Komponente des Antiviren-Programms schirmt den Browser, der für die Verbindung mit dem Online-Banking-System genutzt wird, vor dem Einfluss von Schadprogrammen ab.

      Das AV-Programm verfügt in seinem Arsenal über eine ganze Reihe von Schutzmechanismen, die das Eindringen von Schadcode ins System, seinen Start oder sein Funktionieren auf dem Computer erschweren oder unmöglich machen. Diese Schutzmechanismen funktionieren auf allen Etappen der Durchführung einer Banktransaktion.

      Gelingt es einem unbekannten Schädling trotzdem ins System einzudringen, so wird der Schutz der Daten zur Hauptaufgabe jeder komplexen Antiviren-Lösung. Zu diesem Zweck sollte das Produkt die laufenden Browserprozesse kontrollieren und den Browser vor Manipulationen durch andere Anwendungen schützen. Einen weiteren Schutz bietet in diesem Fall eine virtuelle Tastatur, mit Hilfe derer der Anwender die für eine Bezahlaktion notwendigen Daten sicher in den Browser eingeben kann (Kreditkartennummer, CVV2/CVC2, persönliche Daten usw.).

    2. Verbindungskanal zwischen Client und Server
      Eine gesicherte Verbindung schließt das Abfangen von Daten aus, die vom Client an den Server übermittelt werden. Der Schutz des Kanals wird durch spezielle Protokolle (TLS/SSL) gewährleistet, die die Verschlüsselung der zu übermittelnden Daten garantieren. Die Identifikation der Website, mit der eine Verbindung hergestellt werden soll, wird mit Hilfe eines Zertifikats umgesetzt.

      Websites von Banken und Bezahlsystemen verfügen über digitale Zertifikate, die von Zertifikatsstellen herausgegeben und signiert werden. Das Vorhandensein eines solchen Zertifikats bestätigt die Echtheit der Website und die Legitimität ihres Inhabers.

      Auf gefälschten Websites gibt es entweder keine solchen Zertifikate oder es werden gefälschte Zertifikate verwendet. Doch auch eine weitaus kompliziertere Situation ist möglich. Beispielsweise kann ein ins System eingedrungener Trojaner die Datei hosts verändern und den Nutzer auf eine Website leiten, die eine genaue Kopie der Originalsite darstellt. Eben dieser Trojaner kann auf einem infizierten System ein zusätzliches Wurzelzertifikat installieren, das bei einer Überprüfung durch den Browser die Legitimität des gefälschten Zertifikats der Website der Cyberkriminellen bestätigt. Dabei erhalten die Online-Verbrecher die Möglichkeit, alle Daten zu entschlüsseln, die vom Browser von der gefälschten Site übermittelt werden.

      Eine Antivirenlösung sollte selbstständig die Echtheit des Sicherheitszertifikats überprüfen und sich diesbezüglich nicht auf das Betriebssystem oder den Browser verlassen. Wenn das Zertifikat nicht legitim ist, erhält der Anwender eine entsprechende Warnung.

    3. Website der Finanzorganisation
      Cyberkriminelle imitieren die offiziellen Websites von Banken und Bezahlsystemen. Die Überprüfung der Legitimität eines Zertifikats ist nur dann effektiv, wenn der Anwender die richtige Adresse der Bank-Website eingibt. Wenn der Nutzer aber über einen gefälschten Link aus einer Phishing-Mail, einem sozialen Netzwerk oder infolge einer Suchanfrage auf die Bank-Website gelangt ist, so müssen die Anti-Phishing-Module greifen. Die Links werden mit einer Datenbank nicht vertrauenswürdiger Ressourcen abgeglichen. Wenn der Nutzer versucht, auf eine nicht legitime Website zu gelangen, wird er per Mitteilung vor der Bedrohung gewarnt. Um zu vermeiden, dass man Phishern zum Opfer fällt, sollte man idealerweise über die entsprechende Liste im Antiviren-Produkt auf die Websites von Banken gehen.

      Ein unerlässliches Element eines qualitativ hochwertigen Produkts ist schließlich ein hohes Maß an Selbstschutz. Gelingt es irgendeinem Schadprogramm, die Arbeit des Antiviren-Programms zu untergraben, so wird eine Lücke in den Schutzwall geschlagen und sichere Transaktionen können nicht länger gewährleistet werden.

    trojan-money-11

    Schlüsselelemente einer sicheren Transaktion

    Eben so ein Konzept zum Schutz von Online-Transaktionen wurde in der Lösung von Kaspersky Lab „Safe Money“ umgesetzt.

    Szenario einer sicheren Transaktion

    Sehen wir uns den Verlauf einer sicheren Transaktion einmal am Beispiel von „Safe Money“ etwas genauer an.

    1. Ein komplexer Antiviren-Schutz verhindert das Eindringen von Schadprogrammen in den Computer. Dabei untersucht die Antiviren-Lösung das System auf Sicherheitslücken im Betriebssystem und in der Anwendungssoftware. Aktualisiert der Nutzer seine Software nicht regelmäßig und im System sind Schwachstellen vorhanden, die bereits von den Entwicklern repariert wurden, so informiert die Schutzlösung den Anwender über die mögliche Gefahr und empfiehlt ihm, die verwundbare Software zu aktualisieren.

       

    2. Gibt der Anwender die Adresse einer Bank manuell ein oder klickt er auf einen Link aus einer Mail oder einem sozialen Netzwerk, so überprüft das Antiphishing-Modul, ob die entsprechende URL in der Datenbank der nicht vertrauenswürdigen Webressourcen enthalten ist. Handelt es sich um eine schädliche URL oder eine Phishing-Adresse, erhält der Nutzer eine entsprechende Warnmitteilung.

       

      Wenn die Adresse der Website jedoch in der Datenbank der Banken und Bezahlsysteme enthalten ist, wird dem Nutzer empfohlen, die Website im geschützten Browser zu öffnen.

       

    3. Der Antivirus überprüft das Zertifikat, mit dessen Hilfe die gesicherte Verbindung hergestellt wird. Zu diesem Zweck wird eine Anfrage an den Dienst zur Überprüfung der Echtheit von Zertifikaten in die Cloud geschickt.
    4. Erweist sich ein Zertifikat als nicht legitim, wird dem Nutzer mittgeteilt, dass es nicht möglich ist, eine sichere Verbindung herzustellen. Dabei werden die Gründe aufgeführt, aus denen „Safe Money“ die Verbindung als nicht vertrauenswürdig einstuft.

      Benachrichtigung über ein nicht korrektes Zertifikat im Produkt Safe Money von Kaspersky Lab. Der Internet-Browser stuft das Zertifikat dabei als legitim ein

      Ist das Zertifikat vertrauenswürdig, stellt der geschützte Browser eine verschlüsselte Verbindung zu der Website der Bank her.

    5. Besser ist es, über die Bankenliste im Antivirus-Programm auf die Autorisierungsseite des Online-Banking-Systems zu gehen.

       

      In diesem Fall wird eine gesicherte Verbindung hergestellt und die legitime Website der Bank wird umgehend im geschützten Browser geöffnet.

      Im Modus „Safe Money“ ist das Fenster des Browsers dunkelgrün umrandet

    6. Im Modus „Safe Money“ ist die Eingabe von Daten auf der Banken-Website – sowohl über die virtuelle als auch über die herkömmliche Tastatur — durch einen speziellen Treiber geschützt, der es Cyberkriminellen nicht erlaubt, die eingegebenen Daten abzufangen.

    Auf diese Weise wird der Bezahlvorgang vor dem Einfluss von Banking-Trojanern mit Hilfe eines Antivirus‘, eines geschützten Browserprozesses und einer sicheren Tastatureingabe geschützt. Die Vertrauenswürdigkeit der Website eines Bezahl- oder Online-Banking-Systems wird durch eine Überprüfung der Links und des digitalen Zertifikats festgestellt.

    Die Effizienz der Lösung, die auf dem Konzept sicherer Online-Transaktionen beruht, wurde von verschiedenen Test-Labs bestätigt.

    Fazit

    Banken, Bezahlsysteme und andere Finanzorganisationen verwenden große Anstrengungen auf den Schutz ihrer Infrastruktur und ihrer Kunden vor Cyberkriminellen. Doch auch die Virenautoren entwickeln ihre Malware fortwährend weiter, sie erfinden immer neue Methoden zur Umgehung des Schutzes und zum Diebstahl von Bezahlinformationen der Anwender. Auf dem aktuellen Stand werden die Finanzdaten der Anwender erfolgreich geschützt von Antivirenprogrammen und speziellen Lösungen, die vor Gefahren warnen, Infektionen rechtzeitig abwenden und auch dem neusten Banking-Trojaner kein Hintertürchen offen lassen.

    Ähnliche Beiträge

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.