Dipl.-Inform. Carsten Eilers

Lassen wir den Man-in-the-Browser vorerst mal außen vor und betrachten nur die Phishing-Angriffe. Beim Abphishen von iTANs bekommt der Angreifer eine mehr oder weniger große Anzahl von TANs in die Hand, von denen er mit etwas Glück eine beim Zugriff auf das Konto des Opfers verwenden kann. Angeblich wurden bei Sparkassen-Kunden 20 iTAN abgephisht. Nun reicht schon eine, um das Konto leer zu räumen, aber dass muss dann auch die richtige sein. Wie gross die Wahrscheinlichkeit dafür ist, dass die Cyberkriminellen eine brauchbare iTAN abphishen, weiß ich nicht, aber sie dürfte gross genug sein, um zum einen den Cyberkriminellen den Aufwand wert zu sein und zum anderen bei den Banken den Schaden so gross werden zu lassen, dass sie das iTAN-System aufgeben.

Und jetzt betrachten wir mal die smsTAN/mTAN. Ich gehe davon aus, dass sich jemand, der mehrere iTANs irgendwo eingibt, erst recht dazu verleiten lässt, ein angebliches Sicherheitsupdate o.Ä. auf seinem Smartphone zu installieren. Vor allem, wenn ein Man-in-the-Browser die Aufforderung dazu ins Onlinebanking integriert, frei nach dem Motto "Bitte diesen TrojanerSchutz installieren, ohne ist kein Onlinebanking mehr möglich". Und damit haben die Cyberkriminellen die Kontrolle über das Onlinebanking des Opfers. Ohne sich über die Wahrscheinlichkeit, die richtige iTAN abgephisht zu haben, Gedanken machen zu müssen. Sie können beliebige Transaktionen durchführen und mit den abgefangenen mTANs autorisieren. Noch einfacher ist es dann nur noch, das Opfer zu überreden, das Geld freiwillig zu überweisen, dann sparen sie sich die Mühe mit dem Smartphone-Trojaner.

Bei einem Man-in-the-Browser-Angriff ist es fast egal, ob das Opfer eine iTAN eingibt oder die installierte Mobil-Variante des Desktop-Schädlings die mTAN abfängt. Fast, weil der Schädling beim Einsatz einer mTAN völlig unabhängig vom Benutzer agieren und ohne dessen Zutun z.B. eine Überweisung ausführen kann. Bei der Nutzung der iTAN-Listen muss der Benutzer die iTAN zumindest noch eingeben, und das wird er i.A. nur tun, wenn er das Onlinebanking gerade nutzt und eine Transaktion autorisieren möchte. Das klingt doch sehr so, als sei die mTAN sogar gefährlicher als die iTAN, oder? Meiner Meinung nach ist es jedenfalls so.

(Mehr als) Ein aktueller Anlass

Die "Standpunkt"-Texte schreibe ich in den meisten Fällen ja nicht mal "einfach so", sondern aus einem (mehr oder weniger) aktuellem Anlass. In diesem Fall gibt es gleich mehrere:

Ein neuer Android-Onlinebanking-Trojaner

Vom Onlinebanking-Trojaner SpyEye gibt es nach einer bereits im April entdeckten Symbian-Version (die es übrigens auf deutsche Onlinebanking-Kunden abgesehen hat) eine Variante für Android. SpyEye hat damit weiter zu seinem Konkurrenten Zeus, von dem es bereits seit längerem mobile Varianten für alle verbreiteten und offenen Mobil-Systeme eine Variante gibt, aufgeschlossen. Lediglich das iPhone blieb aufgrund des abgeschotteten App-Stores bisher von diesen Schädlingen verschont.

Verbreitet wird die SpyEye-Android-Version, indem die Desktop-Varianten in die Banken-Website eine Aufforderung zur Installation einer neuen Sicherheitsmaßnahme einfügt. Wie viele Onlinebanking-Nutzer werden so einer Aufforderung wohl nicht folgen? Die SpyEye-Android-Version scheint zur Zeit nicht weit verbreitet zu sein, aber das waren Phishing-Angriffe auf Papier-TANs anfangs auch nicht. Außerdem ist sie ja noch recht neu, und SpyEye ist auch weniger verbreitet als Zeus, so dass das gar nichts zu bedeuten hat. Einen Vergleich von Spitmo (SpyEye in the mobile) und Zitmo (Zeus in the mobile) gibt es übrigens im Blog von McAfee.

Zeus ist und bleibt eine Bedrohung

Microsofts "Malicious Software Removal Tool" MSRT kann seit Oktober 2010 Zeus-Infektionen beseitigen, und die entsprechenden Signaturen wurden seitdem jeden Monat aktualisiert. Mit dem aktuellen Update wurden die entsprechenden Funktionen erneut überarbeitet. Interessant (oder eher beunruhigend) ist eine kleine Statistik: Monatlich wurden zwischen 60.000 und 100.000 Windows-Rechner von Zeus befreit - es muss also entweder laufend entsprechende Neuinfektionen geben, oder jeden Monat gibt es einen entsprechenden Zuwachs bei den MSRT-Nutzern. Im Zweifelsfalls und mangels besserer Informationen würde ich dabei auf laufende Neuinfektionen (oder besser Re-Infektionen) tippen. Zeus ist und bleibt also eine große Gefahr für Onlinebanking-Nutzer.

Es gibt neue Zeus-Varianten

Wie bereits in der vorigen Woche erwähnt, gibt es nach der Veröffentlichung des Sourcecodes des Trojaner-Baukastens Zeus mindestens eine neue, evtl. nur angeblich verbesserte Variante, genannt "Ice IX", die es u.a. auf deutsche Onlinebanking-Kunden abgesehen hat.

Online-Bankraub lohnt sich

Trend Micro berichtet, dass ein einzelner, "Soldier" genannter Cyberkrimineller bei Angriffen auf Onlinebanking-Nutzer in den USA im ersten Halbjahr 2011 3,2 Millionen US-Dollar erbeutet hat. Nebenbei hat er noch jede Menge Zugangsdaten zu verschiedenen Diensten gesammelt, die sich sicherlich ebenfalls zu Geld machen lassen. So eine Erfolgsnachricht dürfte andere Kriminelle anstacheln, ebenfalls aktiv zu werden. Vor allem, da der Cyberkriminelle seine "Erfolge" mit Hilfe von SpyEye- und Zeus-Varianten erreicht hat, und zumindest Zeus gibt es inzwischen ja zum kostenlosen Download, es ist also nicht mal eine Anfangsinvestition zur Anschaffung des Trojaner-Baukastens nötig.

Man-in-the-Middle-Angriffe auf finnische Banken

F-Secure berichtet über Man-in-the-Middle-Angriffe auf mindestens zwei finnische Banken, bei denen Einmal-Passwörter und Verification Codes ausgehebelt werden: Eine E-Mail lockt die Opfer auf eine gefälschte Banken-Website, die die Benutzer-ID und das Einmal-Passwort abfragt und dann um zwei Minuten Geduld bittet. In diesen zwei Minuten wird auf der echten Banken-Website eine Transaktion im Namen des Benutzers ausgelöst, der benötigte Verification Code wird dann auf der gefälschten Banken-Website beim Benutzer angefordert. Gibt der Benutzer ihn ein, autorisierter er damit die von den Angreifern eingeleitete Transaktion. Ein solcher Angriff lässt sich natürlich auf jede beliebige Bank übertragen, die vergleichbare Schutzmaßnahmen verwendet. Fällt der Benutzer auf die gefälschte Website herein, hat er verloren. Auch eine mTAN oder chipTAN würde in so einem Fall keinen Schutz bieten - die Angreifer würden die Benutzer einfach unter einem Vorwand dazu auffordern, die erhaltene mTAN oder die angeforderte chipTAN einzugeben.

chipTAN ist sicher, Flash nicht

Die Nutzung des Onlinebankings ist also durchaus gefährdet, und neue Schutzmaßnahmen sind nötig. Aber die oft angepriesene mTAN ist keine zielführende Lösung, sofern man die Kunden den Cyberkriminellen nicht sehenden Auges in die Arme treiben will. Die chipTAN ist nach aktuellem Wissenstand sicher, sofern keine Sammelüberweisungen verwendet werden (und man keinem Man-in-the-Middle-Angriff wie in Finnland zum Opfer fällt).

Prinzipiell kann man die chipTAN also aus Sicherheitssicht empfehlen. Wenn die meisten Banken nur nicht ausgerechnet das Dauer- Sicherheitsrisiko Flash-Player zur Darstellung des Flacker-Codes zur Übertragung der Daten an den TAN-Generator verwenden würden. Können die Banken es sich nicht mal mehr leisten, dafür eine anständige Lösung in HTML5 entwickeln zu lassen? Brauchen die schon wieder einen neuen Rettungsschirm? Wenn nicht, sollten sie vielleicht mal jemanden suchen, der sich damit auskennt und eine anständige Lösung entwickelt. Und nicht weiter ihre Kunden zwingen, den Flash-Player zu installieren und ihr System dadurch anfällig für Schadsoftware zu machen - auch fü Zeus, SpyEye und Co., die u.a. als Drive-by-Infektion verbreitet werden. Dann hätten sie vielleicht auch viel weniger Probleme mit infizierten Kunden-Rechnern.

Carsten Eilers