McAfee: So haben Kriminelle Millionen von Firmenkonten geklaut

Sicherheit

Die als “Operation High Roller” bezeichnete Verbrechensserie läuft seit Anfang des Jahres vor allem in Europa. Erstmals wurde dazu die Zwei-Wege-Authentifizierung mit Chip und PIN umgangen. Den Kriminellen gelang es so, vier- bis fünfstellige Beträge von Geschäftskonten abzubuchen.

McAfee und Guardian Analytics haben eine zwanzigseitige Analyse (PDF) von “Operation High Roller” vorgelegt – einer Verbrechenskampagne, die systematisch auf geschäftliche Bankkonten abzielt. Den Kriminellen gelang es dabei, die Authentifizierung mittels Chip und PIN zu umgehen, sie legten automatisch falsche Konten an und ließen betrügerischer Transaktionen durch Server abwicklen. Diese Methoden haben die Kriminellen mit von den Trojanern SpyEye und Zeus bekannten Taktiken kombiniert.

Die ersten Betrugsfälle mit dieser Masche beobachteten die Autoren, Dave Marcus von McAfee und Ryan Sherstobitoff von Guardian Analytics, in Italien und Deutschland. Später nahmen die Kriminellen offenbar weitere europäische Länder, sowie die USA und Kolumbien ins Visier. Ihre Ziele waren stets Geschäftskonten mit 25.000 bis 100.000 Euro Saldo – daher der von McAfee gewählte Name “High Roller”, der auf einen Glücksspieler mit hohem Einsatz verweist.

Hoher Grad an Automatisierung

Die Besonderheit des kriminellen Vorgehens ist den Forschern zufolge ein hoher Grad an Automatisierung. Konnten sie über eine iFrame-Injektion an Daten eines Anwenders gelangen, wurde in Sekundenschnelle dessen Konto mit dem höchsten Guthabenstand identifiziert und ein unauffälliger Betrag um 500 Euro (später auch das Zehnfache) an ein extra geschaffenes Konto überwiesen. Außerdem gelang es den Verbrechern erstmals, die in Europa gängige Authentifizierung mittels Chipkartenleser und PIN zu umgehen.

Fast alle bekannten Diebstähle nach diesem Schema fanden im Jahr 2012 statt. Die Sicherheitsforscher konnten 60 dafür genutzte Server ermitteln. Sie schätzen, dass die Kriminellen insgesamt zwischen 60 Millionen und 2 Milliarden Euro zu entwenden versuchten. In Deutschland wurde eine Schadenssumme von über 8 Millionen Euro ermittelt. Durchschnittlich buchten die Kriminellen 5499 Euro ab. Das Guthaben der Opferkonten betrug hierzulande im Schnitt 47.924 Euro.

Die geographische Verteilung der Standorte der 60 für “Operation High Roller” genutzten Server (Bild: McAfee).

(Bild links oben: Yuri Arcurs – Fotolia.com)