Thema: Sicherheitsrisiko Online-Banking

[SiLæncer]

Das Online-Banking hat in der Gunst der Deutschen weiter zugelegt. Aktuellen Zahlen des Bundesverbandes deutscher Banken (BdB) zufolge wickeln inzwischen nahezu vier von zehn Deutschen zumindest die Standardvorgänge ihrer Bankgeschäfte online ab. Davon wollen Kriminelle profitieren -- mit immer ausgefeilteren Methoden.

Seit Sommer vergangenen Jahres beobachtet der Verband Versuche, Bankkunden durch so genannte Phishing-E-Mails zur Preisgabe ihrer Geheimzahlen zu bewegen. "Waren es zunächst Phishing-Wellen, ist mittlerweile kein Abflauen mehr zu beobachten", sagte Verbandssprecherin Kerstin Altendorf der Finanz-Nachrichtenagentur dpa-AFX.

Im Vergleich zum Kreditkartenbetrug ist der finanzielle Schaden Branchenkreisen zufolge gering. Viele Banken sähen dies als hinzunehmenden Teil der Betriebskosten. Eine der ersten europäischen Banken, deren Kunden gezielt angeschrieben wurden, war die Postbank. Sie hat inzwischen auf ein System umgestellt, bei dem der Kunde die für einen Online-Banking-Auftrag erforderliche Transaktionsnummer (TAN) nicht mehr selbst auswählen kann. "Es wäre erstaunlich, wenn da kein Geld verschwunden wäre", sagte Martha Bennett, Research Director bei Forrester Research. "Systeme, bei denen die Nutzer die TAN-Nummer selbst aussuchen können, halten den heutigen Gegebenheiten nicht mehr stand."

Inzwischen sei aus dem Baltikum ein erster Fall gemeldet worden, bei dem ein Hacker die Online-Banking-Sitzung eines Bankkunden übernehmen und selbst Überweisungen tätigen konnte (man in the middle attack). "Gegen solche Attacken gibt es derzeit keinen wirkungsvollen Schutz", sagte Benning am Freitag auf einer Fachkonferenz in London. Neben bösartiger Software, die Tastatureingaben aufzeichnet und auf diese Weise Geheimnummern ausspioniert ("keystroke logging"), gibt es jetzt auch Anwendungen, mit denen sich die Bewegungen des Mauszeigers auf dem Bildschirm verfolgen lassen ("screen scraping"). Damit haben die Hacker auf die "virtuellen Tastaturen" reagiert, mit denen einige Institute ihren Nutzern ermöglichen, Geheimzahlen ohne Tastatur einzugeben. In England, Irland, aber auch in Teilen Frankreichs, Italiens und Spaniens lassen sich Konten mit dem Benutzernamen und der PIN-Nummer ausräumen. In Deutschland ist zusätzlich eine TAN-Nummer für jede Transaktion erforderlich.

Russland und Weißrussland gelten als mögliche Herkunftsländer der Angriffe. Die benachbarten baltischen Staaten dienten offenbar als Testgelände, heißt es in Branchenkreisen. Um zu verschleiern, wohin die gestohlenen Gelder fließen, setzen die Kriminellen auf Mittelsmänner -- eine aus dem Drogenhandel bekannte Taktik. So wurden in Australien Studenten und andere Menschen mit kleinen Einkommen angeheuert. Sie sollten Gelder, die zuvor auf ihr Konto transferiert wurden, gegen eine Beteiligung von zehn Prozent auf andere Konten weiterleiten. Als die Polizei zugriff, waren diese Konten längst geleert.

Geprellte Kunden wurden bislang von den Banken entschädigt. "Mir ist kein Fall bekannt, bei dem Kunden auf ihren Schäden sitzen geblieben sind", sagte Altenburg. Das eigentliche Risiko für die Finanzinstitute sieht Bennett allerdings nicht im unmittelbaren finanziellen Schaden. "Wenn sich die Kunden irgendwann vom Online-Banking abwenden, waren nicht nur die Investitionen dafür in den Sand gesetzt. Die Kosten für die Kundenbetreuung in den Filialen oder per Telefon gingen auch nach oben." In Deutschland, den Niederlanden und in Schweden fühlen sich Online-Banking-Nutzer den Untersuchungen von Forrester zufolge am sichersten. Knapp drei Viertel der deutschen Nutzer sind Zahlen des BdB zufolge von der Sicherheit des Mediums überzeugt. "Die Banken in Deutschland haben viel zu verlieren", sagte Bennett. "Momentan stehen sie sehr gut da."

Die Marktforscherin Bennett rät den Instituten, neben der Zugangskontrolle mehr im Hintergrund tätig zu werden, etwa bei der Auswertung des Online-Verhaltens der Nutzer. Wenn sich dann jemand plötzlich aus Minsk einlogge, könne man ja auch einmal anrufen, um zu prüfen, ob es sich tatsächlich um den Kunden handele. Zudem sollten Banken ihren Kunden ermöglichen, Auslandsüberweisungen oder Einmalüberweisungen an Dritte von ihren Konten auszuschließen.

Quelle und Links : http://www.heise.de/newsticker/meldung/64965

[SiLæncer]

Knapp 70 Prozent der Deutschen haben keine Vorstellung davon, mit welchen technischen Verfahren sie ihre Online-Bankgeschäfte am besten sichern können.

Bei der Mehrheit der Kunden besteht über das Sicherheitsniveau der verschiedenen TAN-Verfahren ebenso Unklarheit wie über die Schutzmöglichkeiten mit Kartenlesegeräten und elektronischer Signatur. Das ist das Ergebnis einer Studie des Hamburger Software- und Beratungshauses PPI.


Diese Unkenntnis sei angesichts rapide ansteigender Fallzahlen bei der Kriminalität im Online-Banking bedenklich, hieß es. So warnte das Bundeskriminalamt jüngst vor Internet-Tätern, die im bislang unvorstellbaren Ausmaß gezielt das deutsche iTAN-Verfahren angreifen.

Die Sicherheitsexperten weisen daher Verbraucher ausdrücklich darauf hin, ihre Verschlüsselungssoftware regelmäßig auf dem neuesten Stand zu halten und sich bei ihrem Institut über die modernsten Sicherheitsverfahren zu informieren.

Bei vielen Homebanking-Nutzern besteht jedoch in dieser Hinsicht großer Nachholbedarf. Das von Experten als sicher eingestufte mTAN-Verfahren ist beispielsweise 92 Prozent der befragten Bankkunden als modernes Schutzsystem nicht bekannt. Die TAN wird dem Kunden dabei aufs Handy geschickt und ist nur kurzzeitig gültig. Das erschwert den Tätern den Zugriff auf die Kundendaten.

Aber auch andere technische Fortschritte bei der Absicherung des Online-Bankings sind bei den Kunden bisher nicht ausreichend präsent. Dazu gehört die besonders sichere Variante, über spezielle, relativ kostengünstige Kartenlesegeräte (ZKA-Secoder) und elektronische Signaturen die Homebanking-Daten der Kunden gegen kriminelle Angriffe zu schützen.

80 Prozent sind über die Vorteile des Systems nicht informiert. Stattdessen geht jeder dritte aktive Online-Banking Nutzer davon aus, dass das iTAN-Verfahren die Bankgeschäfte per Internet besonders zuverlässig schützt. Ein folgenschwerer Irrtum, wie die Kriminalitätsstatistik offen legt, denn aktuelle Trojaner greifen gerade das iTAN-Verfahren an.

Quelle : http://winfuture.de

[SiLæncer]

Das Bundeskriminalamt (BKA) warnt vor einer neuen Betrugstaktik beim Online-Banking. Bei dieser wird den Opfern mit Hilfe eines Trojaners vorgetäuscht, sie hätten irrtümlich eine Gutschrift auf ihr Konto erhalten. Um ihr Konto zu entsperren, müssten sie die Gutschrift zurück überweisen. Die neue Taktik ist in vieler Hinsicht raffinierter und überzeugender als andere gängige Betrugsversuche.

Die auf den Rechnern der Betroffenen installierte Malware ist sogar darauf programmiert, die Umsatzanzeige beim Online-Banking verfälscht anzuzeigen, so dass die angebliche Gutschrift dort auftaucht. Tatsächlich hat das Opfer diese natürlich nie erhalten. Um die Zurückzahlung des angeblich erhaltenen Geldes zu erleichtern, wird sogar ein ausgefülltes Formular für die Online-Überweisung eingeblendet.

Tatsächlich geht das Geld natürlich an die Online-Kriminellen. Da die Betroffenen die Überweisung freiwillig tätigen, gibt es wenig Chancen, das Geld zurück zu bekommen. Wer eine solche Meldung auf seinem Computer erhalte, solle nicht die geforderte Rücküberweisung tätigen, sondern die Polizei informieren, riet das BKA am Freitag in Wiesbaden. Der Rechner sei zu diesem Zeitpunkt bereits mit der Schadsoftware infiziert.

Schützen können sich Nutzer vor diesem Betrug am ehesten mit den üblichen Sicherheitsmaßnahmen gegen Schadsoftware. Das Betriebssystem und installierte Programme sollten aktuell gehalten werden. Auch eine sinnvolle Rechtevergabe ist wichtig - gerade Nutzer, die noch Windows XP verwenden, sind häufig mit Administrator-Konten im Internet unterwegs, was eine Infektion mit Schadsoftware erleichtert. Daneben kommt die Nutzung geeigneter Antiviren-Software in Betracht, bei der ebenfalls darauf geachtet werden sollte, dass sie stets auf dem neuesten Stand ist. Neben diesen technischen Maßnahmen ist ein generelles Misstrauen bei unbekannten Links oder Dateianhängen in E-Mails angebracht. Auch Social Networks werden zunehmend zum Tummelplatz von Betrügern; auch hier sollten unbekannte Links mit Misstrauen behandelt werden. Auch Apps sind mitunter ein Sicherheitsrisiko.

Quelle : www.gulli.com

[SiLæncer]

Wie eine Sprecherin des BKA auf Nachfrage von gulli:News mitteilte, gebe es derzeit "keine belastbaren Informationen" zum Verbreitungsweg des Trojaners. Generell seien E-Mails ebenso denkbar wie Drive-by-Downloads oder die bereits angesprochenen Social-Media-Dienste. Nach Erkenntnissen des BKA wird die Schadsoftware von gängigen Sicherheits-Programmen erkannt.

Quelle : www.gulli.com

[SiLæncer]

Das IT-Sicherheitsunternehmen Trend Micro warnt vor einer neuen, äußerst diskret durchführbaren Angriffsmethode auf Online-Banking-Anwendungen. Mit dieser sollen sogar Kunden, die sichere Authentifizierungsverfahren wie SMS-TAN beziehungsweise mTAN nutzen, angegriffen werden können.

Trend Micro beschreibt die Angriffe mit Hilfe des Tools "Automatic Transfer System" (ATS) als nahezu unsichtbar. Fast ohne Spuren zu hinterlassen wurden bereits einer ganzen Reihe von Bankkunden - darunter einigen Deutschen - die Konten leer geräumt. Zwei-Faktor-Sicherheitssysteme wie etwa per SMS verschickte TANs bieten keinen zuverlässigen Schutz.

Nach Angaben der Sicherheitsforscher können die Internet-Kriminellen mit Hilfe des ATS-Tools und Varianten der populären Baukasten-Trojaner "SpyEye" und "ZeuS" einen so genannten Man-in-the-Browser-Angriff (MitB) ausführen. Darunter versteht man laut Wikipedia "eine Angriffsform auf Rechner, bei der ein Trojaner den Browser des Nutzers infiziert und dann bei Nutzung des Onlinebankings oder eines Social Networks die Darstellung von Webseiten verändert und Transaktionen eigenständig durchführen kann. Im Gegensatz zum Phishing können die Eingriffe des Schadprogramms dabei vom Nutzer im Normalfall nicht bemerkt werden, da der Nutzer sich auf den echten Seiten der Anbieter bewegt, korrekt eingeloggt ist und die unerwünschten Transaktionen für den Nutzer wie normale Vorgänge angezeigt werden." Der Angriff funktioniert, ohne dass die Angreifer selbst online sind und aktiv eingreifen, da die getätigte Überweisung mit Hilfe der Benutzerdaten des Opfers automatisiert wird. Die Schadsoftware läuft - anders als bei bisherigen, ähnlichen Angriffen - komplett im Hintergrund und fast ohne Spuren zu hinterlassen.

Betroffen sind von dem neuen Angriff bislang soweit bekannt Bankkunden in Deutschland, Großbritannien und Italien. In allen bisher dokumentierten Fällen nutzten die Betroffenen das Betriebssystem Microsoft Windows, was darauf hindeutet, dass die Angreifer derzeit keine passende Malware-Variante für alternative Betriebssysteme nutzen.

"Die Angriffe sind deshalb so besorgniserregend, weil sie nicht nur herkömmliche Sicherheitsvorkehrungen umgehen können, sondern auch fortschrittliche wie das hierzulande bekannte Zweifaktor-Authentisierungsverfahren. Das ATS-Tool führt scheinbar völlig unsichtbar für den Anwender Überweisungen aus und manipuliert den angezeigten Kontostand", kommentiert Raimund Genes, Chief Technology Officer bei Trend Micro. "Das Fazit kann also nur lauten: Die Infektion des Rechners lässt sich nur verhindern oder zumindest entdecken, wenn der Schutz direkt an den Endpunkten ansetzt, und wenn Web-Reputationsdienste zum Einsatz kommen: Denn sie blockieren bösartige URLs sowie die Kommunikation mit den Kontroll- und Kommandoservern eines Botnetzes". Daneben schützt derzeit auch die Nutzung eines alternativen Betriebssystems - unter Umständen in Form einer virtuellen Maschine - vor dem beschriebenen Angriff.

Quelle : www.gulli.com

[SiLæncer]

Der AV-Hersteller McAfee hat nach eigenen Angaben zusammen mit dem Sicherheitsunternehmen Guardian Analytics einen Ring von Online-Banking-Betrügern entdeckt, die es gezielt auf prall gefüllte Firmenkonten abgesehen hatten. Laut dem Bericht (PDF-Datei) der beiden Unternehmen sollen die Täter so versucht haben, mindestens 60 Millionen Euro zur erbeuten, davon rund 1 Million von deutschen Bankkunden. In den Niederlanden sollen sie sogar 35 Millionen Euro ins Visier genommen haben. Über den tatsächlich entstandenen Schaden machen die Unternehmen keine Angaben.

Darüber hinaus waren die Betrüger im Rahmen der von McAfee "Operation High Roller" getauften Aktion auch in Italien, Lateinamerika und Nordamerika aktiv. Einzelne Überweisungen beliefen sich auf bis zu 100.000 Euro – eine Transaktion, die auf einem Firmenkonto nicht unbedingt auffällt. Die Abzocker sollen auch Konten angezapft haben, die durch eine Zwei-Faktor-Authentifizierung geschützt sind.

Laut McAfee nutzten die Täter für ihren Coup stark angepasste Versionen der allseits bekannten Online-Banking-Trojaner ZeuS und SpyEye. Insgesamt hat das Unternehmen 426 bislang unbekannte Varianten der Spionageprogramme entdeckt, die durch Rootkit-Funktionen vor der Erkennung durch Virenscanner geschützt waren. Die Gauner haben unter anderem durch Recherchen im Netz herausgefunden, bei welchem Bankinstitut das ausgesuchte Opfer Kunde ist, um ihm anschließend den Link zu einer speziell präparierten Webseite zu schicken, die die Infektion vornahm.

Während die Opfer zum Warten angehalten wurde,
haben die Betrüger im Hintergrund bis zu 100.000 Euro
vom Konto abgeräumt.Bild vergrössern

Wenn sich das Opfer mit dem infizierten System beim Online-Banking eingeloggt hat, wurde zunächst einmal als Man-in-the-Browser die finanzielle Situation ausspioniert. Erst beim nächsten Login wurde der Schädling aktiv: In der Regel hat die Malware vollautomatisch einen festen Prozentsatz (etwa 10 Prozent) von dem Konto mit dem höchsten Guthaben auf das Konto eines Finanzagenten transferiert. In Einzelfällen sollen die Betrüger auch manuell eingegriffen haben, um höhere Summen abzubuchen.

Damit das Opfer nichts von den betrügerischen Aktivitäten merkt, hat der Schädling die Abbuchung von der Transaktionsliste ausgeblendet und sämtliche Links zu online ausdruckbaren Kontoauszügen entfernt. Laut McAfee konnte die eingesetzten Malware auch Zwei-Faktor-Authentifizierungen umgehen, indem sie dem Opfer vorgegaukelt hat, dass die Authentifizierung neuerdings schon während der Logins nötig ist. Den so generierten Token hat die Malware für die betrügerische Abbuchung eingesetzt.

McAfee erwähnt, dass so auch Bankkunden angegriffen wurden, die zum Login das EMV-Verfahren (Chip and PIN) einsetzen. In Deutschland ist im Privatkundenbereich jedoch nicht üblich, dort setzt man HBCI ein. Ob die Kriminellen ihre Malware auch an hierzulande verbreitete Zwei-Faktor-Verfahren wie mTAN oder chipTAN angepasst haben, ist bislang noch unklar.

Die eigentliche Überweisung hat die Malware für das Opfer unsichtbar in einem iFrame durchgeführt. In späteren Fällen waren jedoch auch 60 Server im Spiel, die die Online-Banking-Sitzung des Opfers übernommen und auf denen die Transaktion dann durchgeführt wurde. Die Transaktionsserver zogen mehrfach um, um ein Entdecken zu erschweren. Die Sicherheitsexperten haben nach eigenen Angaben Hinweise gefunden, dass bei einer Transaktion der Zugriff eines Täters auf einen dieser Server aus Moskau erfolgte.

Die im McAfee-Bericht geschilderten Vorfälle haben sich seit Jahresbeginn abgespielt. Insgesamt sind Kunden von mehr als 60 Banken betroffen. Um welche genau es sich handelt, wollte das Unternehmen gegenüber heise Security nicht preisgeben. Der AV-Hersteller arbeitet seit März mit den Ermittlungsbehörden zusammen, um den Abzockerring den Garaus zu machen.

Quelle : www.heise.de

[SiLæncer]

Online-Ganoven versuchen offenbar verstärkt auch die Smartphones von Online-Banking-Nutzern zu infizieren, um mTans abzugreifen. Bei der Berliner Polizei sind "in den letzten Wochen" mehrere Strafanzeigen von Opfern betrügerischer Geldabbuchungen eingegangen, bei denen die Smartphones der Opfer eine entscheidende Rolle spielten.

Zunächst infizieren die Abzocker den Rechner mit einem Trojaner, der die Zugangsdaten zum Online-Banking-Portal der Bank ausspäht. Darüber hinaus zeigt die Malware einen vermeintlichen Warnhinweis der Bank an, laut dem der Kunde unbedingt ein wichtiges Sicherheitsupdate auf seinem Smartphone installieren müsse. Hierzu fragt der Trojaner die Handynummer des Opfers in spe ab.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Cyber-Ganoven versuchen Geld von den Konten deutscher Online-Banking-Kunden über SEPA-Transaktionen abzubuchen, wie die zu Intel gehörende Sicherheitsfirma McAfee berichtet. Durch SEPA werden Transaktionen innerhalb der EU unkomplizierter, da nicht mehr zwischen inländischen und grenzüberschreitenden Vorgängen unterschieden wird. Davon profitieren in diesem Fall auch die Online-Ganoven, die zumeist Geld vom Konto ihres Opfers auf Konten im Ausland transferieren.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Ein Kunde der Sparkasse Hannover sollte durch eine Schadsoftware um fast 10.000 Euro erleichtert werden. Das berichtet die Hannoversche Allgemeine Zeitung in ihrer heutigen Wochenendausgabe. Der Windows-Trojaner namens "Matsnu.J" hatte einen Firmenrechner befallen und sich dort in eine Online-Banking-Sitzung eingeklinkt. Nach dem Login wurde dem Mann aus Langenhagen ein Hinweis angezeigt, laut dem es zu einer fehlgeleiteten Gutschrift in Höhe von 9900 Euro gekommen war.

Perfiderweise soll der Trojaner außerdem die Kontoübersicht so manipuliert haben, dass der Eindruck entstand, das Geld sei tatsächlich eingegangen. Das Opfer wurde aufgefordert, das Geld an ein Konto bei einer anderen Sparkasse zu überweisen, und schickte den Auftrag tatsächlich ab. Die Ausführung scheiterte jedoch daran, dass für das Konto des Betroffenen ein Überweisungslimit von 5000 Euro gilt. Ob ähnliche Angriffe auf andere Kunden stattgefunden haben und die Täter möglicherweise bereits abkassieren konnten, ist noch unklar.

Wer sich nicht auf diese Weise überrumpeln lassen will, sollte vor derartigen Transaktionen zunächst mithilfe eines unverdächtigen Systems – etwa einem Auszugdrucker seiner Bank – oder eines Bankmitarbeiters davon überzeugen, dass er nicht aufs Glatteis geführt wird. Dass das Empfängerkonto für die "Rücküberweisung" wie in diesem Fall unverdächtig wirkt, darf nicht als Vertrauensbonus gelten, denn dieses kann wiederum unbemerkt von Kriminellen missbraucht werden.

Die Tatsache, dass ein so hochspezialisierter Trojaner auf einem Firmen-PC aktiv wurde, erinnert an den Fall "High Roller". Hier wurden Unternehmen noch um deutlich höhere Summen geschädigt. Die für private Trojaner-Opfer ungewöhnlich hohe Summe von fast 10.000 Euro trug hier dazu bei, dass die Sache für den Betroffenen glimpflich ausging.

Quelle : www.heise.de

[Jürgen]

Bei solchen Beträgen darf man wirklich nicht zu faul sein, zum Telefonhörer zu greifen und die Bank bzw. Sparkasse anzurufen, um den vermeintlichen Zahlungseingang prüfen zu lassen.

Je nach Art einer Zubuchung kann es außerdem sein, dass diese ohnehin noch eine gewisse Zeit rückrufbar ist.
So könnte selbst dann ein solcher Betrug gelingen, wenn tatsächlich eine Buchung vorgenommen bzw. angezeigt wurde.
Das aber hat ein Bank-/Sparkassenmitarbeiter auch zu prüfen und auf diese Möglichkeit verbindlich hinzuweisen, damit nicht die Bank in eine Mithaftung gerät.
Übertriebene Eile ohne gründlichste Prüfung ist ohnehin nicht geboten. Insbesondere dann natürlich, wenn man selbst keinen Fehler gemacht hat.

Ich habe das selbst schon vor Jahren einmal anlässlich einer eigenen Fehlbuchung (Nummerndreher) klären lassen müssen, zum Glück mit einem wesentlich geringeren Betrag.
Die Prüfung hat damals drei Banktage gedauert, bis ich endlich Nachricht bekam, und erst nach einer Woche war das Ganze wirklich erledigt.
Dafür haben für den Ausgleich auf beiden Seiten ausschließlich Bankmitarbeiter gehandelt.

Ohne solche Rückendeckung bewegt man sich da auf sehr dünnem Eis...

Jürgen

[SiLæncer]

Bislang konnten sich Linuxer entspannt zurücklehnen, wenn die Rede auf Viren, Trojaner und ähnliche Malware kam: Alles kein Problem unter Linux – als Folge der geringen Verbreitung von Linux auf dem Desktop die erfreuliche Kehrseite des Fehlens von Photoshop, iTunes und Co. Schad-Software in der Linux-Welt beschränkte sich bislang auf zwei Klassen: Demos für Exploits, die nie "in the wild" gesichtet wurden, und gezielte Angriffe auf Lücken in Server-Software.

Diese goldenen Zeiten für Linux-Anwender könnten sich jetzt dem Ende zuneigen: Die Security-Spezialisten der EMC-Tochter RSA berichten in ihrem Blog über den Banking-Trojaner "Hand of Thief", der ausschließlich Linux-Rechner attackiert und derzeit in Untergrund-Foren für 2000 US-Dollar (rund 1500 Euro) angeboten wird. Laut RSA soll eine professionelle Truppe aus Russland dahinterstecken.

Verglichen mit Windows-Trojanern ist "Hand of Thief" ziemlich primitiv: Der Trojaner richtet eine Backdoor auf dem Linux-Rechner und liest Formulareingaben im Browser mit. Die Malware soll auf 15 Linux-Distributionen – darunter Ubuntu, Fedora und Debian – und mit verschiedenen Browsern wie Firefox und Chrome funktionieren. "Hand of Thief" nutzt keine spezielle Linux-Sicherheitslücke aus; der Benutzer muss ihn selbst installieren, indem er beispielsweise ein Mail-Attachment ohne nähere Prüfung ausführt oder Programmpakete aus anderen Quellen als den Repositories seiner Distribution installiert.

Quelle : www.heise.de

[SiLæncer]

Experten warnen vor verstärkten Infektionen mit dem Android-Trojaner FakeToken. Die Software kopiert empfangene SMS, die TANs enthalten. Ganoven können dann das Konto des Opfers leer räumen.

Der Antivirus-Hersteller Kaspersky berichtet, dass Smartphone-Trojaner verstärkt mTANs abgreifen, um die Konten der Handy-Besitzer leer zu räumen. Besonders Infektionen mit dem Android-Trojaner FakeToken hätten sich seit Anfang des Jahres deutlich vermehrt. Mittlerweile soll der Trojaner weltweit für fast fünf Prozent aller Angriffe auf Mobilgeräte verantwortlich sein. Beim mTAN-Verfahren muss der Kunde zusätzlich zu seinem Passwort einen Code eingeben, der ihm per SMS auf sein Handy geschickt wird – und genau diesen Code können Trojaner auf Android-Geräten relativ einfach abfangen.

TAN-Generatoren sollen sicherer sein

In einem Bericht des Spiegels kommt ein Bankenexperte des Bundesverbands der Verbraucherzentralen zu Wort, der vom mTAN-Verfahren abrät und Kunden empfiehlt, auf TAN-Generatoren umzusteigen. In Deutschland ist dieses System in der Regel mit zusätzlichen Kosten verbunden, da Kunden ein Gerät bei ihrer Bank bestellen müssen, das die EC-Karte ausliest und daraufhin eine TAN generiert. Der Spiegel zitiert allerdings auch einen Beamten des Bundeskriminalamtes (BKA), der zu Bedenken gibt, dass auch TAN-Generatoren in Zukunft angegriffen würden. Genau wie bei gedruckten TAN-Listen verleiten Kriminelle ihre Opfer oft mit psychologischen Tricks, ihnen die Anmeldecodes zu verraten.

Auf eine Anfrage von heise Security hin sagte eine Sprecherin des BKA, dass die Behörde nicht pauschal von der Benutzung des mTAN-Verfahrens abrate. Sie habe lediglich auf mögliche Angriffe hingewiesen.

Vor allem Android-Nutzer bedroht

Nach wie vor sind hauptsächlich Android-Benutzer in Gefahr. Die gängige Schadsoftware, darunter auch FakeToken, wird Smartphone-Nutzern oft unter einem Vorwand untergeschoben. Das ist nötig, da sie vom Nutzer selbst installiert werden muss. Meist muss dazu das Installieren von Software aus Drittquellen aktiviert sein, da Google seinen App-Store Google Play nach bekannter Schadsoftware durchforstet und diese schnell entfernt. Oft werden die Desktop-Rechner der Opfer ebenfalls mit Trojanern infiziert, um gleichzeitig an die Banking-Passwörter zu kommen.

Quelle : www.heise.de

[SiLæncer]

Bislang urteilten Gerichte in Fällen von Online-Banking-Betrügereien häufig zugunsten des Opfers und sahen die Verantwortung primär bei den Banken. In einem aktuellen Fall bleibt das Opfer jedoch auf einem Schaden von 18.500 Euro sitzen.

Banken haften nicht, wenn das Opfer einen Online-Banking-Betrug hätte erkennen und verhindern können, urteilte das Landgericht Darmstadt. Es weist damit die Klage eines Betrugsopfers ab, dem offenbar durch einen Trojaner 18.500 Euro gestohlen wurden. Die Klägerin hatte auf Erstattung des Schadens durch die Bank geklagt.

Der Knackpunkt war, dass bei den fraglichen Transaktionen das sogenannte Smart-TAN-Plus-Verfahren zum Einsatz kam. Dabei zeigt ein TAN-Generator wie der abgebildete zunächst Betrag und Ziel der Überweisung an. Erst wenn der Anwender diese bestätigt, wird die zugehörige TAN dafür erzeugt. Diese muss der Anwender dann in das Online-Banking am PC übertragen und dann an die Bank senden. Mit diesem Vorgang sieht die Bank eine dem Anwender zuzurechnende Autorisierung der Überweisung als gegeben an.

Den im Urteil geschilderten Fakten lässt sich entnehmen, dass das Opfer wohl zunächst im Online-Banking auf dem PC Überweisungen an Geschäftspartner angestoßen hatte. Allerdings hat wohl ein Online-Banking-Trojaner oder ein Man-in-the-Middle diese Daten manipuliert und den Vorgang mit einem anderen Zielkonto und einem anderen Betrag versehen. Doch diese manipulierten Daten müssen danach auf dem Display des TAN-Generators angezeigt und somit von Anwender bestätigt worden sein, erklärte die beklagte Bank.

Das Gericht folgte dieser Argumentation offenbar und argumentierte "Aus technischer Sicht ist es nach derzeitigem Stand so gut wie ausgeschlossen, dass bei Verwendung dieses Verfahrens tatsächlich erfolgte Online-Überweisungen nicht von dem Bankkunden selbst vorgenommen wurden." Insbesondere hätte "die Klägerin den „Man-in-the-Middle-Angriff“ [..] erkennen und verhindern können" heißt es in dem Urteil vom 28.8.2014 weiter.

Tatsächlich gilt SmartTAN Plus als sicheres Online-Banking-Verfahren – wenn der Anwender die auf dem Display präsentierten Überweisungsinformationen kontrolliert. Nach aktuellem Stand der Technik ist kein realistisches Angriffsszenario denkbar, bei dem der TAN-Generator nicht die Kontonummer und den Betrag der von der Bank tatsächlich durchgeführten Überweisung anzeigt. Denn beide gehen so in die erzeugte TAN ein, dass die Bank sie vor Durchführung der Transaktion prüfen kann.

Einfach gesagt sind TAN, Zielkonto und Betrag fest miteinander verkoppelt – technisch gewährleisten dies kryptografische Hash-Funktionen. Ändert man etwa nachträglich den Betrag, passt die TAN nicht mehr zu der Transaktion. Die wahrscheinlichste Erklärung des Betrugs ist somit, dass das Opfer diesen Informationen nicht genug Beachtung schenkte.

Quelle : www.heise.de