So löchrig wie Schweizer Käse
ID: 1087481
"Operation Emmental": Wie Angreifer Sicherheitsmechanismen für Online-Banking aushebeln
Die Palette der Schutzmechanismen beim Online-Banking reicht von simplen Passwörtern über PIN- und TAN-Nummern bis hin zu Sitzungs-Token, die per SMS an die Mobilgeräte gesendet werden, so dass Anwender ihre Identität authentifizieren und die Banking-Sitzungen aktivieren können. Da die Token über einen separaten Kanal gesendet werden, wird diese Methode der Zwei-Faktor-Authentifizierung allgemein als sicher angesehen. Einige der untersuchten Banken nutzen beispielsweise auch Foto-TANs oder die Ausgabe physischer Kartenlesegeräte. Beim Großteil ihrer Kunden kommen jedoch Sitzungs-Token zum Einsatz, die per SMS übertragen werden.
Auf der Suche nach den Löchern: Vorbereitung des Angriffs
Dies machten sich die Cyberkriminellen zunutze und umgingen den Schutz auf komplexe Art und Weise: Der Angriff beginnt mit einer E-Mail, die vermeintlich von einem bekannten Online-Versandhändler oder einem ebenfalls weit verbreiteten Konsumgüterunternehmen stammt (siehe Abbildung 1 im Forschungsbericht). Sobald Anwender die Datei im E-Mail-Anhang öffnen, wird eine zweite Datei ("netupdater.exe") heruntergeladen und ausgeführt, die den Rechner infiziert.
Die Malware nimmt drei Änderungen vor:
- Sie ändert die DNS-Servereinstellungen (DNS = Domain Name System) des Systems und verweist auf einen Server, der unter der Kontrolle der Angreifer steht - ab diesem Punkt können die Angreifer steuern, wie das infizierte System Namen von Internet-Domains auflöst.
- Sie installiert ein neues SSL-Zertifikat einer Root-Certificate-Authority (SSL = Secure Sockets Layer) - hierdurch können die Angreifer Inhalte von SSL-verschlüsselten Phishing-Websites anzeigen, ohne eine Browser-Warnung auszulösen. SSL-Verschlüsselung wird vor allem mit dem https-Übertragungsprotokoll eingesetzt.
- Sie löscht sich selbst, ohne Spuren zu hinterlassen - dies erschwert es Anwendern, die Infektion nach der Installation zu entdecken. Die eigentliche Infektion ist nicht die Malware, sondern lediglich eine Konfigurationsänderung im System. Wenn der Infektionsversuch nicht sofort entdeckt wurde, wird bei darauf folgenden Malware-Suchen keine Bedrohung erkannt, da die Datei dann nicht mehr vorhanden ist (siehe Abbildung 5 im Forschungsbericht).
Löcher gibt es nicht nur im Käse: Ablauf des Angriffs
Anwender, deren Rechner infiziert wurden, werden bei jedem Versuch, Online-Banking zu betreiben, auf einen Phishing-Server umgeleitet und landen auf einer gefälschten Seite. Weil diese Kommunikation über eine sichere https-Verbindung erfolgt, können Anwender nicht erkennen, dass sie nicht mit ihrer Bank kommunizieren: Da auf dem System ein gefälschtes Zertifikat installiert ist, wird ihnen keine Browser-Warnung angezeigt.
Sobald die Anwender Benutzername, Konto- und PIN-Nummer eingeben, werden sie aufgefordert, eine App auf ihrem Smartphone zu installieren (siehe Abbildung 10 im Forschungsbericht). Angeblich ist ohne die App in Zukunft kein Online-Banking mehr möglich. Diese bösartige Android-App gibt vor, ein Session-Token-Generator der Bank zu sein - in Wirklichkeit dient sie dazu, die SMS-Nachrichten der Bank abzufangen und sie an einen Befehls- und Kontroll-Server (C&C-Server) weiterzuleiten. Die Angreifer erhalten über die Phishing-Website sowohl die Anmeldeinformationen der Anwender zum Online-Banking als auch die für das Online-Banking nötigen Session-Token. Nun haben sie die volle Kontrolle über das Bankkonto der Anwender und können in deren Namen Online-Transaktionen ausführen.
So löchrig wie Schweizer Käse: Zusammenfassung des Angriffs
Martin Rösler, Leiter des Bedrohungsforscher-Teams bei Trend Micro, bilanziert: "Bei 'Operation Emmental' handelt es sich um einen komplexen Angriff mit mehreren Komponenten und einer umfangreichen Infrastruktur. Dass sich der markanteste Teil des Angriffs - die PC-Malware - selbst löscht, ohne Spuren zu hinterlassen, half den Angreifern vermutlich, sich relativ bedeckt zu halten."
Rainer Link, Mitglied des Bedrohungsforscher-Teams bei Trend Micro und einer der Autoren, ergänzt: "Anders als bei mTAN-Verfahren, bei denen für jede Transaktion eine einzelne TAN-Nummer angefordert wird, können die Cyberkriminellen mithilfe des Sitzungs-Token unbemerkt mehrere Transaktionen während einer Sitzung ausführen. Sie können die Online-Banking-Sitzung selbst starten, während die Anwender davon erst beim aufmerksamen Durchlesen ihrer Kontoauszüge erfahren. Das teilweise sehr umständliche Deutsch der Anweisungen heißt nicht zwangsweise, dass die Gefahr niedrig ist. Vielmehr ist es auch sehr gut möglich, dass die Cyberkriminellen hier Geldwäsche betreiben. Und sich dafür der Anwender bedienen, die weniger aufmerksam oder weniger versiert sind, was Online-Gefahren betrifft, und deshalb weniger auf die in einer Nachricht verwendete Sprache achten."
Weiterführende Informationen
Der Forschungsbericht zu "Operation Emmental" kann hier heruntergeladen werden.
Weitere Informationen zu Trend Micro sind verfügbar unter http://www.trendmicro.de.
Anwender informieren sich über aktuelle Bedrohungen unter http://blog.trendmicro.de.
Folgen Sie uns auch auf Twitter unter www.twitter.com/TrendMicroDE.
Trend Micro, der international führende Anbieter für [url=http://www.trendmicro.de/technologie-innovationen/cloud/index.html]Cloud-Security[/url], ermöglicht Unternehmen und Endanwendern den sicheren Austausch digitaler Informationen. Als Vorreiter bei Server-Security mit mehr als zwanzigjähriger Erfahrung bietet Trend Micro client-, server- und cloud-basierte Sicherheitslösungen an. Diese Lösungen für Internet-Content-Security und Threat-Management erkennen neue Bedrohungen schneller und sichern Daten in physischen, virtualisierten und Cloud-Umgebungen umfassend ab. Die auf der Cloud-Computing-Infrastruktur des [url=http://www.trendmicro.de/technologie-innovationen/technologie/smart-protection-network/index.html]Trend Micro Smart Protection Network[/url] basierenden Technologien, Lösungen und Dienstleistungen wehren Bedrohungen dort ab, wo sie entstehen: im Internet. Unterstützt werden sie dabei von mehr als 1.000 weltweit tätigen Sicherheits-Experten. Trend Micro ist ein transnationales Unternehmen mit Hauptsitz in Tokio und bietet seine Sicherheitslösungen über Vertriebspartner weltweit an.
Unternehmensinformation / Kurzprofil:
Trend Micro, der international führende Anbieter für [url=http://www.trendmicro.de/technologie-innovationen/cloud/index.html]Cloud-Security[/url], ermöglicht Unternehmen und Endanwendern den sicheren Austausch digitaler Informationen. Als Vorreiter bei Server-Security mit mehr als zwanzigjähriger Erfahrung bietet Trend Micro client-, server- und cloud-basierte Sicherheitslösungen an. Diese Lösungen für Internet-Content-Security und Threat-Management erkennen neue Bedrohungen schneller und sichern Daten in physischen, virtualisierten und Cloud-Umgebungen umfassend ab. Die auf der Cloud-Computing-Infrastruktur des [url=http://www.trendmicro.de/technologie-innovationen/technologie/smart-protection-network/index.html]Trend Micro Smart Protection Network[/url] basierenden Technologien, Lösungen und Dienstleistungen wehren Bedrohungen dort ab, wo sie entstehen: im Internet. Unterstützt werden sie dabei von mehr als 1.000 weltweit tätigen Sicherheits-Experten. Trend Micro ist ein transnationales Unternehmen mit Hauptsitz in Tokio und bietet seine Sicherheitslösungen über Vertriebspartner weltweit an.
Datum: 22.07.2014 - 14:37 Uhr
Sprache: Deutsch
News-ID 1087481
Anzahl Zeichen: 7768
Kontakt-Informationen:
Stadt:
Hallbergmoos
Kategorie:
New Media & Software
Diese Pressemitteilung wurde bisher 503 mal aufgerufen.
Die Pressemitteilung mit dem Titel:
"So löchrig wie Schweizer Käse"
steht unter der journalistisch-redaktionellen Verantwortung von
TREND MICRO Deutschland GmbH (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).
Hallbergmoos, 23. Mai 2017 - Laut einer aktuellen Studie von Trend Micro, einem der weltweit führenden Anbieter von IT-Sicherheitslösungen, gehen drei Viertel der Unternehmen (76 Prozent) davon aus, dass fortschrittliche IT-Sicherheitstechniken sie zunehmend im weltweiten Kampf gegen Cyber-Bedrohu
Trend Micro weist gezielte Cyber-Angriffe auf deutsche und französische Politik nach ...
Hallbergmoos, 25. April 2017 - Trend Micro stellt heute einen neuen Report vor, der die Vorgehensweise der Hacker-Gruppe Pawn Storm analysiert und ihre Ziele verdeutlicht. Trend Micro beschreibt darin aktuelle Cyber-Angriffe auf die CDU-nahe Konrad-Adenauer-Stiftung und die Friedrich-Ebert-Stiftung,
Trend Micro weist gezielte Cyber-Angriffe auf deutsche und französische Politik nach ...
Trend Micro stellt heute einen neuen Report vor, der die Vorgehensweise der Hacker-Gruppe Pawn Storm analysiert und ihre Ziele verdeutlicht. Trend Micro beschreibt darin aktuelle Cyber-Angriffe auf die CDU-nahe Konrad-Adenauer-Stiftung und die Friedrich-Ebert-Stiftung, die der SPD nahe steht, sowie
Weitere Mitteilungen von TREND MICRO Deutschland GmbH
Plunet integriert mit XTM weitere Computer Aided Translation-Lösung ...
Würzburg/London - Das führende Business- und Übersetzungsmanagement-System "Plunet BusinessManager" bietet damit eine weitere nahtlose End-To-End-Softwarelösung an, um sämtliche Übersetzungs- und Geschäftsprozesse direkt aus Plunet heraus automatisiert zu managen. Die von Plunet
Caseking of the Hill: Na'Vi holt sich die erste Krone in einem spannenden Finale gegen Team LDLC und ist bereit für Runde 2 ...
Als erster "Caseking of the Hill" steht das beeindruckend agierende Team Na'Vi fest. Mit 750 Euro wird den Profi-Gamern der Premieren-Titel zusätzlich versüßt. In einem denkbar knappen Finale konnten sich die "Könige" auf der entscheidenden dritten Map mit 16 zu 14 durc
Become Europe gibt fünf Tipps für mehr Umsatz im Jahresverlauf: ...
Kaum ist die Fußball-Party mit tausenden verkauften Fanartikeln abgeschlossen, da ist schon die Feriensaison in Deutschland losgegangen. Während die einen Online-Händler dem Sommerloch eher besorgt entgegensehen, haben andere sich bereits dafür gerüstet und sind mit saisonalen Kaufanreizen gut
Großes Archivsystem zum kleinen Preis ...
Aachen, im Juli 2014. Mit dem Dokumenten-Management-System ecoDMS können Dokumente jeglicher Art digital gespeichert und verwaltet werden. Das Archivsystem ist leicht zu verstehen, benutzerfreundlich gestaltet und verfügt über alle Funktionen, die man von einem Programm zur Dokumentenarchivierung
