Eurograbber Hacker plündern tausende Bankkonten

Mit einer kombinierten Attacke namens Eurograbber haben Kriminelle 36 Millionen Euro von Bankkonten abgebucht. Dazu infizierten sie PCs und Smartphones, um per SMS verschickte TANs selbst zu nutzen.

Fallstricke im Netz
Links Wer eine eigene Website betreibt, haftet für die Inhalte, die er auf der Seite veröffentlicht. Nur für seine - oder auch für die Links, die er zu anderen Seiten setzt? Die Rechtslage ist nicht eindeutig.
Impressum Mit der Einführung des Telemediengesetzes wurde 2007 eine Impressumspflicht in Deutschland für
Fremde Inhalte Das Netz wimmelt nur so vor Webforen. Wer einem Hobby nachgeht, will sich darüber häufig mit anderen Enthusiasten austauschen. Auch viele normale Websites bieten den Nutzern über ein Forum an, sich auszutauschen oder Kommentare zu hinterlassen.
Online-Banking Wer haftet bei Schäden, die durch Cyber-Kriminelle beim Thema Online-Banking entstehen? Es kommt drauf an: Handelt es sich beispielsweise um einen einfach zu durchschauenden Angriff wie eine E-Mail in schlechtem Deutsch, die einen dazu auffordert, sensible Informationen auf einer fremden Webseite zu hinterlassen, hat der Kunde in jedem Fall eine Überprüfungspflicht und haftet selbst für auf diese Art entstandene Schäden, führt Rechtsanwalt Vetter aus. Gegen solcherlei plumpe Angriffe ist man mit einem aktuellen Browser ohnehin geschützt, so lange man darauf achtet, dass ein grünes Symbol auf die Echtheit des Zertifikats bei der Bank hinweist. Anders verhält es sich bei ausgefeilteren Angriffen, etwa wenn Cyber-Kriminelle mit aufwendigen Methoden arbeiten und beispielsweise Trojaner einsetzen, die den Browser manipulieren und somit sogar ein gültiges Zertifikat vorgaukeln. In solchen Fällen ist dem Nutzer keine Verletzung der Sorgfalt nachzuweisen, so lange er ein Anti-Viren-Programm installiert hat und regelmäßig aktualisiert. Tipp für Windows-Nutzer: Sie können Microsofts Anti-Viren-Lösung Security Essentials kostenlos herunterladen. In vielen Vorgängen der Vergangenheit zeigten sich Banken allerdings auch sehr kulant bei derartigen Vorfällen.
Urheberrecht Wer Inhalte im Netz veröffentlicht, muss dabei das Urheberrecht achten. Bei allen Werken, die nicht von einem selbst stammen, benötigt man die Erlaubnis des Urhebers. Allerdings gibt es im Internet auch eine große und gewachsene Kultur des freiwilligen Teilens. Diese hat auch eine juristische Entsprechung im Netz gefunden: Sogenannte freie Lizenzen gibt es nicht nur für Software, sondern auch für andere urheberrechtlich geschützte Werke wie Texte und Bilder. Allerdings bedeutet
Datenschutz Wer als Daten über Personen speichert speichert - egal ob als Anbieter im Internet oder sonst ein anderes Unternehmen - ist gegenüber den Personen, deren persönliche Daten gespeichert werden, auskunftspflichtig. Sie können nicht nur verlangen, dass Daten, die nicht zur Aufrechterhaltung eines Vertragsverhältnisses notwendig sind, gelöscht werden, sondern auch Auskunft darüber verlangen, welche Daten zu welchem Zweck gespeichert werden - und wo diese herkommen. Weigert sich ein Unternehmen, hilft es meist schon den zuständigen Landesdatenschutzbeaufragten zu informieren. Bei Nicht-Umsetzung der gesetzlichen Regeln drohen den Firmen empfindliche Geldbußen. Foto: dpa
Offene WLANs Wer sein WLAN für andere öffnet, geht gewisse Risiken ein.

In einer ausführlichen Fallstudie (PDF) bezeichnen die Sicherheitsunternehmen Check Point und Versafe die Aktionen des Systems Eurograbber als "ausgefeilte, mehrdimensionale und gezielte Attacke" auf die Nutzer von Onlinebanking. Dabei sollen von über 30.000 Konten insgesamt 36 Millionen Euro widerrechtlich abgebucht worden sein.

Um das zu erreichen, setzten die Täter eine Kombination aus mehreren Verfahren ein. Zunächst muss der PC eines Opfers mit einer Abwandlung des Zeus-Trojaners infiziert werden. Das geschieht durch klassische Phishing-Mails oder auch das Ausnutzen von Sicherheitslücken in Komponenten wie Flash oder Java.

Wenn sich der Anwender das nächste Mal in sein Konto einloggt, wird die Bankseite per Java manipuliert, schreiben die Security-Forscher. Zu sehen ist dann eine vermeintlich von der Bank stammende Nachricht, die zur Eingabe der Handynummer für das mTAN-Verfahren auffordert. Wenn der Nutzer dem nachkommt, erhält er eine SMS mit einem Link zum Download einer Software auf dem Smartphone, die auch von der Bank stammen soll. Wird auch das im guten Glauben erledigt, ist das Telefon ebenfalls infiziert.

Dabei kommt der schon länger bekannte "Zeus in the mobile"-Trojaner (Zitmo) zum Einsatz, den es mindestens für Android-Smartphones und Blackberry-Geräte geben soll - ohne das ausdrücklich zu erwähnen, zeigt Check Point in seiner Fallstudie aber auch Screenshots eines iOS-Geräts. Ob der Trojaner auch für iPhones existiert, ist damit nicht belegt.

Buchungen werden umgeleitet

Bei der nächsten Transaktion über den PC schlagen beide Trojaner zu: Die Buchung wird nicht mit dem gewünschten Ziel und der richtigen Summe ausgeführt, sondern für ein Konto der Kriminellen vorbereitet. Daraus generiert die Bank dann eine mTAN, die auf das infizierte Smartphone geschickt wird. Dort leitet sie der Handy-Trojaner an das Botnetz weiter, das die Buchung bei der Bank bestätigt, wiederum über den infizierten PC.

Das System des Onlinebankings wird damit also nicht direkt angegriffen, aus Sicht der Bank sind alle Daten in Ordnung. Sie wurden nur von den Trojanern so manipuliert, dass das Geld woanders ankommt. Wie viel der Anwender am PC davon mitbekommt, schreiben die Sicherheitsexperten leider nicht. Denkbar ist aber, dass auch die eigentlich gewünschte Buchung als bestätigt angezeigt wird, da sich die Ausgaben der Bank ohnehin fälschen lassen. Das Login für das Konto kennt der Trojaner zu diesem Zeitpunkt ohnehin schon. Das Verfahren ist schon länger bekannt, im November 2012 warnte beispielsweise der Berliner Polizei vor Missbrauch von mTANs.

In Arbeit
Bitte entschuldigen Sie. Hier steht ein Element, an dem derzeit noch gearbeitet wird. Wir kümmern uns darum, alle Elemente der WirtschaftsWoche zeitnah für Sie einzubauen.

Vor allem italienische Konten wurden von den Angriffen betroffen, 20 Prozent der geschädigten Nutzer stammen aber aus Deutschland, weitere Fälle gab es in Spanien und den Niederlanden. Neben der technisch ausgefeilten Attacke setzt das Verfahren des Eurograbber auf die Gutgläubigkeit von Anwendern: Banken fordern nicht zum Download von Software per Mail auf, weder an PCs noch an Smartphones. Wer solchen Hinweisen dennoch folgt, kann nur Glück haben, wenn sein Virenscanner die sich ständig verändernden Trojaner erkennt.

Dieser Artikel ist zuerst auf golem.de erschienen.

© Handelsblatt GmbH – Alle Rechte vorbehalten. Nutzungsrechte erwerben?
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%