Wie Cyberkriminelle deutsche Bankkonten plündern

In seinem neuen Cybercrime Intelligence Report beschreibt das Sicherheitsunternehmen Finjan, wie Kriminelle mit Hilfe von Baukasten-Trojanern und ahnungslosen Geldkurieren innerhalb von nur 22 Tagen über 300.000 Euro erbeuteten.

Demnach läuft der Cyber-Bankraub in etwa wie folgt ab:

  • Zur Infektion verwenden die Piraten einen fertigen Trojaner-Baukasten, den es laut Finjan zu Preisen um die 200 US$ in Foren geben soll und mit dem sich ansteckende Webseiten herstellen lassen. Finjan hat das “LuckySploit Toolkit” hier dokumentiert.
  • Die “ansteckenden” Webseiten werden entweder auf eigenen gefälschten Webseiten oder auf kompromittierte legitimen Webseiten von Dritten platziert. Besucher der Website infizieren sich während des bloßen Betrachtens, wie üblich über Exploits, also Sicherheitslücken im Browser oder in Browser-Erweiterungen.
  • Die Infektion platziert einen Remote-Access-Trojaner auf dem PC des Besuchers. Dieser lauert im Hintergrund und lässt sich über eine Fernsteuerungs-Komponente kontrollieren. Dieser Trojaner entspringt ebenfalls einem Fertigbaukasten, laut Finjan dem “URLzone Toolkit”.
  • Die Fernsteuerung der in Deutschland infizierten Rechner erfolgte laut Finjan aus der Ukraine. Die Trojaner warten, bis der User sich bei einer Bank anmeldet, und schummeln dann Geldbeträge auf andere Konten.
  • Der Online-Bankraub verhält sich laut Report schlau: Damit die Überweisungen bei der Bank nicht als Online-Bankraub auffallen, werden nicht allzu große Beträge überweisen, das Konto wird nicht ins höchstmögliche Minus geplündert und so weiter.
    Anders gesagt: Wer die Postkutsche nicht mit lauter Schießerei überfällt, hat mehr Zeit, die Gelder beiseite zu schaffen.
  • Cybergangs wie die im Finjan-Report untersuchte überweisen das Geld natürlich nicht gleich an sich selber. Statt dessen erhalten sogenannte “Money Mules” das Geld. (Siehe: Sind Sie ein Money Mule?)
  • Damit dem Opfer nicht gleich auffällt, dass es beraubt wird, fälscht der Trojaner auch gleich die Website der Bank und erhöht die Anzeige des Kontostands um den gestohlenen Betrag. (Ich muss sagen, ich finde das ausgesprochen clever.)

Bitte bedenken Sie: Webseiten, die Sie sehen, sehen Sie so, wie Sie sie sehen, weil Ihr Browser sie so darstellt, wer er es für richtig hält. Ein Browser unter Trojaner-Kontrolle kann Ihnen daher nahezu beliebige Inhalte anzeigen, die nichts mit der Wirklichkeit der Website auf dem Server zu tun haben. Nutzern des Firefox rate ich hier zur Selbstaufklärung (und auch weil sich’s lohnt) zum Firefox-Plugin CustomizeGoogle. Das “fälscht” zum Beispiel die Ergebnisseite Ihrer Google-Suchen und reichert sie mit Links auf auf dessen Such-Konkurrenz an. Die Möglichkeiten solcher Manipulationen sind endlos.

  • Laut Finjan hat eine Gruppe von Internet-Kriminellen auf diese Weise 300.000 Euro in 22 Tagen abgesahnt und weiterhin das Potential zu 5 Millionen Euro pro Jahr.
    Man habe die deutschen Banken und Behörden informiert, damit die gegen das Treiben vorgehen können.

Was tun?

Hier meine Tipps für sicheres Online-Banking.

Quelle

Der Report, auf dem dieser Beitrag beruht, ist hier zu haben: www.finjan.com/Cybercrime_Report. Ich rate allerdings dazu, ihn mit angezogener Handbremse zu lesen. Es gibt zum Beispiel Absätze wie diesen:

“… we can clearly find that the amount indicated as being transferred is Euro 53,94. This amount is “hiding” the real fraudulent transaction conducted by the Trojan of Euro 8,576.31. The total balance shown at the top of the bank statement of Euro 1,913.75 is forged by the Trojan. The victim and the bank remain unaware of what has happened to this bank account.”

Mir ist nicht klar, warum auch die Bank nicht mitbekommen soll, dass der Kontostand sich geändert hat, nur weil der Trojaner dem Opfer falsche Zahlen vorgaukelt. Auch die Presseinfo zum Report finde ich nicht besonders klar, er wirkt automatisch übersetzt. (Man kann doch als internationales Unternehmen nicht so arm sein, sich keine vernünftige deutsche Agentur leisten zu können)

Andreas Winterer

Andreas Winterer ist Journalist, Buchautor und Blogger und beschäftigt sich seit 1992 mit Sicherheitsthemen. Auf unsicherheitsblog.de will er digitale Aufklärung zu Sicherheitsthemen bieten – auf dem Niveau 'normaler Nutzer' und ohne falsche Paranoia. Auf der Nachbarseite passwortbibel.de geht's um Passwörter. Bitte kaufen Sie eines seiner Bücher.

Das könnte Dich auch interessieren …