Trojaner überwindet zweite Ebene des Banken-Schutzwalls

Die Experten von Trusteer registrierten eine neue Attacke des Trojan-Bankers Tatanga. Um Einmalpasswörter, die mit Hilfe eines persönlichen TAN-Generators erstellt werden abzufangen, wurden bei diesem Angriff Social-Engineering-Methoden eingesetzt. 

TANs (Transaktionsnummern) werden beim Online-Banking als zusätzliche Schutzebene vor Betrügern bei Transaktionen eingesetzt, die über das Kundenkonto abgewickelt werden. Es handelt sich dabei um einmalige Passwörter, die für jede Transaktion neu erstellt werden. Mit der Eingabe dieser vierstelligen Ziffernfolge wird die Authentizität der Person bestätigt, die im System registriert ist, und der Bank wird gleichzeitig das „OK“ für die Durchführung der Transaktion gegeben. Zur Bestätigung von Transaktionen beim Internetbanking werden Einmalpasswörter auf unterschiedliche Arten eingesetzt. Äußerst populär in Deutschland sind mTAN (per SMS versendetes Passwort) und chipTAN ― ein Verfahren, bei dem der Bankkunde über einen persönlichen TAN-Generator verfügen muss. Dieser Generator erstellt das Einmalpasswort mittels eines blinkenden Bildes, das beim Login auf der Banking-Website erscheint, und das direkt vom Bildschirm des PCs eingelesen wird.

Selbstverständlich können Cyberkriminelle dem Anwender mittels Phishing sowohl seine Registrierungsdaten als auch den TAN-Code entlocken. Letzteren allerdings tatsächlich nur für eine Transaktion, wobei das Passwort auch sehr schnell verwendet werden muss, bevor es verfällt – und bevor das Opfer den Diebstahl bemerkt. Die Phisher lösen dieses Problem mit Hilfe von Trojanern, die in der Lage sind, die Banking-Seite on-the-fly mittels html-Einschleusung auszutauschen, um daraufhin die gestohlenen Daten im Sinne ihrer Besitzer zu verwenden (Man in the Browser, MitB-Attacken).

Ein leuchtendes Beispiel für derartige Abfänger-Programme ist die Familie Tatanga (von Kaspersky Lab detektiert als Trojan-Banker.Win32.Tatag), der zu Beginn vergangenen Jahres erstmals im Internet in Erscheinung trat. Laut Experten des spanischen Unternehmens S21sec ist Tatanga komplett mit MitB-Funktionalität ausgestattet, setzt Rootkit-Technologien ein, ist in der Lage, remote Antiviren-Programme zu blockieren, funktioniert in Verbindung mit Windows auf praktisch allen Browsern und lässt keine Konkurrenz neben sich zu. Der Schädling hat es in erster Linie auf die Kunden europäischer Banken abgesehen, insbesondere auf deutsche. 

Im Mai registrierte Trusteer eine Tatanga-Attacke, bei der das Opfer im Namen seiner Bank um Übersendung des TAN-Codes gebeten wurde, der von selbiger Bank per SMS verschickt wird. Als Begründung für dieses Anliegen wurde eine Überprüfung der Zwei-Faktoren-Authentifizierung vorgeschoben, die angeblich von der Bank durchgeführt wurde. Eine Anfang September entdeckte Variante dieses Schädlings spielt eine Variation über dasselbe Thema, allerdings mit deutschsprachigem Text auf einer gefälschten Seite, auf der das Opfer detailliert instruiert wird, wie es ein Einmalpasswort für eine „Testtransaktion“ mit Hilfe des persönlichen Tan-Generators erstellt. Der Anwender wird im Folgenden gebeten, die TAN in ein Webformular einzugeben, wodurch Tatanga die Möglichkeit erhält, verborgen eine Transaktion durchzuführen. Damit der Kunde den Schwindel nicht bemerkt, ändert das Schadprogramm die Umsatzinformation, die dem Kunden nach Beendigung der Sitzung von der Bank übermittelt wird.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.