Operation Emmental: Trend Micro deckt Online-Banking-Attacke auf

Elektronisches BezahlenMarketingSicherheit
Schweizer-Kaese (Bild: Shutterstock / KIM NGUYEN)

Sie zeigt exemplarisch, wie geschickte Angreifer Sicherheitsmechanismen für Online-Banking aushebeln können. Die Angreifer umgehen eine häufig genutzte Form der Zwei-Faktor-Authentifizierung mittels Sitzungs-Token, die per SMS an die Anwender gesendet werden. Bisher sind Bankkunden in der Schweiz und Österreich betroffen.

Forscher des IT-Sicherheitsanbieters Trend Micro haben einen von ihnen “Operation Emmental” genannten Angriff aufgedeckt, der eine gängige Form der Zwei-Faktor-Authentifizierung umgeht. Die Angreifer sind vermutlich russische Muttersprachler. Betroffen sind bisher Bankkunden in der Schweiz und in Österreich, aber die Methode könnte auch bei vielen deutschen Banken funktionieren.

 Operation Emmental: Trend Micro deckt komplexe Online-Banking-Attacke auf (Bild: Shutterstock / Kim Nguyen)
“Operation Emmental” zielt auf Kunden von Banken, die sogenannte Session-Token verwenden (Bild: Shutterstock/Kim Nguyen).

“Operation Emmental” zielt auf Kunden von Banken, deren Schutzmechanismen Sitzungs-Token vorsehen, die per SMS an die Kunden gesendet werden. Üblicherweise wird diese Methode als recht sicher erachtet: Da die Token über einen separaten Kanal (per SMS) übermittelt werden, müsste ein Angreifer nicht nur den Rechner, sondern auch das Mobiltelefon des Opfer kompromittieren oder in Händen halten.

Also mussten sich die Hintermänner von Operation Emmental einen raffinierteren Weg ausdenken. Ihr Angriff beginnt daher mit einer E-Mail, die vermeintlich von einem bekannten Online-Versandhändler oder einem Konsumgüterunternehmen stammt, mit dem ebenfalls viele Verbraucher etwas anfangen können. Öffnet der Empfänger die Datei im E-Mail-Anhang, wird eine zweite Datei namens netupdater.exe heruntergeladen und ausgeführt, die den Rechner infiziert.

Das ist dann schon die halbe Miete: Denn die Malware nimmt drei Änderungen vor. Zuerst ändert sie die DNS-Servereinstellungen und verweist dann auf einen Server, den die Angreifer kontrollieren. Sie können somit steuern, wie das infizierte System Namen von Internet-Domains auflöst.
Dann installiert netupdater.exe ein neues SSL-Zertifikat einer Root-Certificate-Authority. So können die Angreifer Inhalte ihrer Phishing-Websites SSL-verschlüsselt anzeigen, ohne dass die Anwender unter Umständen durch eine Browser-Warnung stutzig werden.

Drittens löscht sich die Malware im Anschluss selbst, ohne Spuren zu hinterlassen. Wird der Angriff also nicht bereits beim Infektionsversuch erkannt, ist eine spätere Suche nach Malware oder ein routinemäßiger Scan nicht mehr erfolgreich: Schließlich ist die Malware schon weg, nur Konfigurationsänderungen bleiben zurück – und die sind durch die von privaten Nutzern verwendete Sicherheitssoftware in der Regel nicht als Gefahr zu erkennen.

“Bei ‘Operation Emmental’ handelt es sich um einen komplexen Angriff mit mehreren Komponenten und einer umfangreichen Infrastruktur. Dass sich der markanteste Teil des Angriffs – die PC-Malware – selbst löscht, ohne Spuren zu hinterlassen, half den Angreifern vermutlich, sich relativ bedeckt zu halten”, so Martin Rösler, Leiter des Bedrohungsforscher-Teams bei Trend Micro, in einer Pressemitteilung

Ruft ein Anwender mit einem infizierten Rechner anschließend eine Online-Banking-Site auf, wird er vom manipulierten DNS-Server auf einen Phishing-Server mit einer gefälschten Seite umgeleitet. Nachdem die Anwender Benutzername, Konto- und PIN-Nummer eingegeben haben, werden sie aufgefordert, eine App auf ihrem Smartphone zu installieren, ohne die in Zukunft kein Online-Banking mehr möglich sei.

Die Android-App ist angeblich ein Session-Token-Generator der Bank, dient aber tatsächlich dazu, SMS-Nachrichten der Bank abzufangen und sie an die Angreifer weiterzuleiten. Da die Kriminellen über die Phishing-Website sowohl die Anmeldeinformationen zum Online-Banking als auch die für das Online-Banking nötigen Session-Token erhalten haben können sie nun über das Bankkonto im Namen dessen Inhabers Online-Transaktionen ausführen.

“Anders als bei mTAN-Verfahren, bei denen für jede Transaktion eine einzelne TAN-Nummer angefordert wird, können die Cyberkriminellen mithilfe des Sitzungs-Token unbemerkt mehrere Transaktionen während einer Sitzung ausführen. Sie können die Online-Banking-Sitzung selbst starten, während die Anwender davon erst beim aufmerksamen Durchlesen ihrer Kontoauszüge erfahren”, schildert Rainer Link, Mitglied des Bedrohungsforscher-Teams bei Trend Micro und einer der Autoren, des Berichts zur “Operation Emmental” die Gefahr.

Der Forschungsbericht von Trend Micro zeigt, dass zwar auch bei diesem Angriff wieder eine aktive Mithilfe der Opfer erforderlich ist – indem sie die mail öffnen und später die Android App installieren – dass aber die Methoden der Angreifer, Nutzer zu diesen Aktionen zu bewegen, lange nicht mehr so ungeschickt und plump sind wie früher. Damit nimmt auch die Gefahr für Nutzer zu, die sich aufgrund ihrer Kenntnisse bisher in Sicherheit wähnten. Auch sie sollten künftig noch aufmerksamer sein.

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen