Eurograbber Hacker plündern tausende Bankkonten

Mit einer kombinierten Attacke namens Eurograbber haben Kriminelle 36 Millionen Euro von Bankkonten abgebucht. Dazu infizierten sie PCs und Smartphones, um per SMS verschickte TANs selbst zu nutzen.

Fallstricke im Netz
Links Wer eine eigene Website betreibt, haftet für die Inhalte, die er auf der Seite veröffentlicht. Nur für seine - oder auch für die Links, die er zu anderen Seiten setzt? Die Rechtslage ist nicht eindeutig. "Es gibt Haftung im strafrechtlichen Bereich", sagt der Düsseldorfer Rechtsanwalt Udo Vetter. In einem Fall hat beispielsweise ein Amtsgericht einen bekennenden Pädophilen verurteilt, der in seinem Blog einen Link auf ein auf der Enthüllungsplattform Wikileaks veröffentlichtes Dokument veröffentlicht hat. Dabei handelte es sich um die Sperrliste der australischen Behörden. Ob allerdings ein Blogger, der in einem anderen Kontext auf die Sperrliste via Link verwiesen hätte, ebenfalls verurteilt worden wäre, ist fraglich. "Links sind ein heikles Thema und werden auch bleiben", sagt Vetter. "Grundsätzlicher kann man sagen, je sachlicher geboten der Link ist, desto sicherer ist man". Wer also den Inhalt, auf den verwiesen wird, kritisch reflektiert, hat weniger zu befürchten, als derjenige, der den Link unkommentiert veröffentlicht oder sich sogar dazu bekennt. Vollkommen nutzlos sind jedenfalls die im Internet lange Zeit beliebten sogenannten Disclaimer, in denen sich Webseitenbetreiber häufig ganz allgemein von ihren Links distanziert haben. "Man kann sich nicht abstrakt von unrechtmäßigen Verhalten freisprechen, so Vetter". Foto: dpa
Impressum Mit der Einführung des Telemediengesetzes wurde 2007 eine Impressumspflicht in Deutschland für "geschäftsmäßige" Webauftritte eingeführt. Was dabei genau als geschäftsmäßig gilt, ist rechtlich nicht abschließend geklärt. Twitter beispielsweise gehört eindeutig nicht dazu - bei einem Blog ist das schon schwieriger zu beantworten. In der Praxis hat diese Pflicht für private Webangebote allerdings keine Relevanz, so der Düsseldorfer Rechtsanwalt Udo Vetter. "Faktisch gilt die Pflicht nur für Gewerbetreibende, weil sie sonst nicht durchgesetzt wird", so der Anwalt. Unstrittig ist, dass das Impressum auf der Seite leicht zu erreichen sein muss und eine leichte Form der Kontaktaufnahme ermöglichen muss. "Am besten man gibt die Adresse wie üblich an, also inklusive Telefonnummer, E-Mail-Adresse und Fax", sagt Vetter. Foto: dpa
Fremde Inhalte Das Netz wimmelt nur so vor Webforen. Wer einem Hobby nachgeht, will sich darüber häufig mit anderen Enthusiasten austauschen. Auch viele normale Websites bieten den Nutzern über ein Forum an, sich auszutauschen oder Kommentare zu hinterlassen. "Im Grundsatz gilt: Wer Angebote unterhält, auf dem Dritte Inhalte veröffentlichen können, haftet nicht dafür", erklärt Vetter. Als Ausnahme gilt, wenn der Betreiber auf einen offensichtlich rechtswidrigen Inhalt hingewiesen wird. In diesem Fall besteht eine unverzügliche Prüfungspflicht. Sollte später ein Gericht feststellen, dass der Inhalt illegal war und der Betreiber nicht eingegriffen hat, setzt die sogenannte Mitstörerhaftung ein. Weiterhin gilt auch eine Ausnahme, sollten die nutzergenerierten Inhalte optisch so dargestellt werden, dass sich der Betreiber die Inhalte zu eigen macht. Ein Beispiel ist das Urteil gegen die Rezepteseite chefkoch.de. Nutzer der Seite haben das Urheberrecht systematisch verletzt und der Betreiber wurde verurteilt, weil der Webseitenbesucher den Eindruck haben musste, dass die Inhalte vom Betreiber stammen. Wer einmal wegen eines illegalen Nutzerinhalts abgemahnt wurde, muss außerdem ein Auge auf den entsprechenden User und dessen Themen haben. Foto: ap
Online-Banking Wer haftet bei Schäden, die durch Cyber-Kriminelle beim Thema Online-Banking entstehen? Es kommt drauf an: Handelt es sich beispielsweise um einen einfach zu durchschauenden Angriff wie eine E-Mail in schlechtem Deutsch, die einen dazu auffordert, sensible Informationen auf einer fremden Webseite zu hinterlassen, hat der Kunde in jedem Fall eine Überprüfungspflicht und haftet selbst für auf diese Art entstandene Schäden, führt Rechtsanwalt Vetter aus. Gegen solcherlei plumpe Angriffe ist man mit einem aktuellen Browser ohnehin geschützt, so lange man darauf achtet, dass ein grünes Symbol auf die Echtheit des Zertifikats bei der Bank hinweist. Anders verhält es sich bei ausgefeilteren Angriffen, etwa wenn Cyber-Kriminelle mit aufwendigen Methoden arbeiten und beispielsweise Trojaner einsetzen, die den Browser manipulieren und somit sogar ein gültiges Zertifikat vorgaukeln. In solchen Fällen ist dem Nutzer keine Verletzung der Sorgfalt nachzuweisen, so lange er ein Anti-Viren-Programm installiert hat und regelmäßig aktualisiert. Tipp für Windows-Nutzer: Sie können Microsofts Anti-Viren-Lösung Security Essentials kostenlos herunterladen. In vielen Vorgängen der Vergangenheit zeigten sich Banken allerdings auch sehr kulant bei derartigen Vorfällen. "Meiner Erfahrung nach suchen Banken nicht den Konflikt in solchen Fällen", so Vetter. Foto: dpa
Urheberrecht Wer Inhalte im Netz veröffentlicht, muss dabei das Urheberrecht achten. Bei allen Werken, die nicht von einem selbst stammen, benötigt man die Erlaubnis des Urhebers. Allerdings gibt es im Internet auch eine große und gewachsene Kultur des freiwilligen Teilens. Diese hat auch eine juristische Entsprechung im Netz gefunden: Sogenannte freie Lizenzen gibt es nicht nur für Software, sondern auch für andere urheberrechtlich geschützte Werke wie Texte und Bilder. Allerdings bedeutet "freie Lizenz" nicht gleich "Freiwild" - bedienen ohne Regeln ist nicht erlaubt. Nutzer von freien Lizenzen - wie beispielsweise die GNU Free Document License, die Wikipedia verwendet oder die verschiedenen Varianten der bekannten Creative-Commons-Lizenzen - verschenken ihre Werke nur unter strengen Auflagen. Nur Werke in der sogenannten Public Domain sind wirklich gemeinfrei, dürfen also beliebig verwendet werden. Fast alle anderen Lizenzen fordern zumindest die Namensnennung des Urhebers. Darüber hinaus gibt es aber auch andere möglichen Auflagen: So verbieten einige Creative-Commons-Lizenzen die kommerzielle Verwendung. Zum guten Ton gehört es in jedem Fall die Originalquelle zu verlinken. Ein großer Fundus von Bildern unter freien Lizenzen bietet der Online-Bilderdienst Flickr. In der erweiterten Suche kann gezielt nach Bildern unter freien Lizenzen gesucht werden. Auch Google bietet in der erweiterten Suche die Möglichkeit an, gezielt nach Bilder und Texten unter freien Lizenzen zu suchen. Foto: ap
Datenschutz Wer als Daten über Personen speichert speichert - egal ob als Anbieter im Internet oder sonst ein anderes Unternehmen - ist gegenüber den Personen, deren persönliche Daten gespeichert werden, auskunftspflichtig. Sie können nicht nur verlangen, dass Daten, die nicht zur Aufrechterhaltung eines Vertragsverhältnisses notwendig sind, gelöscht werden, sondern auch Auskunft darüber verlangen, welche Daten zu welchem Zweck gespeichert werden - und wo diese herkommen. Weigert sich ein Unternehmen, hilft es meist schon den zuständigen Landesdatenschutzbeaufragten zu informieren. Bei Nicht-Umsetzung der gesetzlichen Regeln drohen den Firmen empfindliche Geldbußen. Foto: dpa
Offene WLANs Wer sein WLAN für andere öffnet, geht gewisse Risiken ein. "Grundsätzlich gibt es keine gesetzliche Pflicht das WLAN zu verschlüsseln", erklärt Vetter. Mit der spanischen Firma FON gibt es ja sogar ein Netzwerk, das das freiwillige Teilen von WLAN-Netzen auf der ganzen Welt organisiert. Ein Risiko sind dabei jedoch Tauschbörsen mit illegal kopierten Inhalten, die unbekannte Fremde über das offene Netz nutzen könnten. In diesem Fall kann ein geschädigtes Unternehmen zwar keine Schadenersatzforderung gegen den Anschlussinhaber geltend machen, erklärt Vetter - wohl aber die Abmahnkosten des beauftragten Anwalts in Rechnung stellen. Die üblichen Kosten bewegen sich in solchen Fällen laut Vetter im Bereich von 200 bis 400, in Ausnahmefällen auch schon mal 600 Euro. Anders sieht es bei strafrechtlich relevanten Inhalten wie Kinderpornografie aus: In diesem Fällen gibt es keine Störerhaftung, sollten Fremde das eigene Netz in dieser Art missbrauchen. Allerdings kann ein derartiger Vorfall beispielsweise zu einer Hausdurchsuchung beim Anschlussinhaber führen.
Privatkopien Nach wie vor besteht in Deutschland ein Recht auf Privatkopie. Von legal erworbener Musik können für den privaten Gebrauch so viele Kopien erstellt werden, wie man benötigt - z.B. für das Auto, den Mp3-Player usw. Auch an eng verbundene Personen wie Freunde und Familie dürfen Musik und Filme weitergebenen werden, erklärt Rechtsanwalt Vetter. So lange man nicht mehr als sieben Kopien an Personen weiter gibt, mit denen man persönlich Umgang hat, sei man auf jeden Fall auf der sicheren Seite. Ob das Herunterladen von urheberrechtlich geschützten Dateien aus dem Internet illegal ist, sei umstritten, erklärt der Anwalt. In jedem Fall rechtswidrig ist aber das Hochladen solcher Dateien über Online-Tauschbörsen. Allerdings gibt es auch legale Wege, kostenlos beispielsweise an Musik zu kommen: Sowohl das Mitschneiden von Internetradio-Streams als auch beispielweise die Nutzung eines Programms wie dem Youtube-Mp3-Converter, der Youtube-Videos in Mp3-Dateien verwandelt, seien vollkommen legal, erklärt Vetter. Foto: dpa

In einer ausführlichen Fallstudie (PDF) bezeichnen die Sicherheitsunternehmen Check Point und Versafe die Aktionen des Systems Eurograbber als "ausgefeilte, mehrdimensionale und gezielte Attacke" auf die Nutzer von Onlinebanking. Dabei sollen von über 30.000 Konten insgesamt 36 Millionen Euro widerrechtlich abgebucht worden sein.

Um das zu erreichen, setzten die Täter eine Kombination aus mehreren Verfahren ein. Zunächst muss der PC eines Opfers mit einer Abwandlung des Zeus-Trojaners infiziert werden. Das geschieht durch klassische Phishing-Mails oder auch das Ausnutzen von Sicherheitslücken in Komponenten wie Flash oder Java.

Wenn sich der Anwender das nächste Mal in sein Konto einloggt, wird die Bankseite per Java manipuliert, schreiben die Security-Forscher. Zu sehen ist dann eine vermeintlich von der Bank stammende Nachricht, die zur Eingabe der Handynummer für das mTAN-Verfahren auffordert. Wenn der Nutzer dem nachkommt, erhält er eine SMS mit einem Link zum Download einer Software auf dem Smartphone, die auch von der Bank stammen soll. Wird auch das im guten Glauben erledigt, ist das Telefon ebenfalls infiziert.

Dabei kommt der schon länger bekannte "Zeus in the mobile"-Trojaner (Zitmo) zum Einsatz, den es mindestens für Android-Smartphones und Blackberry-Geräte geben soll - ohne das ausdrücklich zu erwähnen, zeigt Check Point in seiner Fallstudie aber auch Screenshots eines iOS-Geräts. Ob der Trojaner auch für iPhones existiert, ist damit nicht belegt.

Buchungen werden umgeleitet

Bei der nächsten Transaktion über den PC schlagen beide Trojaner zu: Die Buchung wird nicht mit dem gewünschten Ziel und der richtigen Summe ausgeführt, sondern für ein Konto der Kriminellen vorbereitet. Daraus generiert die Bank dann eine mTAN, die auf das infizierte Smartphone geschickt wird. Dort leitet sie der Handy-Trojaner an das Botnetz weiter, das die Buchung bei der Bank bestätigt, wiederum über den infizierten PC.

Das System des Onlinebankings wird damit also nicht direkt angegriffen, aus Sicht der Bank sind alle Daten in Ordnung. Sie wurden nur von den Trojanern so manipuliert, dass das Geld woanders ankommt. Wie viel der Anwender am PC davon mitbekommt, schreiben die Sicherheitsexperten leider nicht. Denkbar ist aber, dass auch die eigentlich gewünschte Buchung als bestätigt angezeigt wird, da sich die Ausgaben der Bank ohnehin fälschen lassen. Das Login für das Konto kennt der Trojaner zu diesem Zeitpunkt ohnehin schon. Das Verfahren ist schon länger bekannt, im November 2012 warnte beispielsweise der Berliner Polizei vor Missbrauch von mTANs.

In Arbeit
Bitte entschuldigen Sie. Hier steht ein Element, an dem derzeit noch gearbeitet wird. Wir kümmern uns darum, alle Elemente der WirtschaftsWoche zeitnah für Sie einzubauen.

Vor allem italienische Konten wurden von den Angriffen betroffen, 20 Prozent der geschädigten Nutzer stammen aber aus Deutschland, weitere Fälle gab es in Spanien und den Niederlanden. Neben der technisch ausgefeilten Attacke setzt das Verfahren des Eurograbber auf die Gutgläubigkeit von Anwendern: Banken fordern nicht zum Download von Software per Mail auf, weder an PCs noch an Smartphones. Wer solchen Hinweisen dennoch folgt, kann nur Glück haben, wenn sein Virenscanner die sich ständig verändernden Trojaner erkennt.

Dieser Artikel ist zuerst auf golem.de erschienen.

© Handelsblatt GmbH – Alle Rechte vorbehalten. Nutzungsrechte erwerben?
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%