SPIEGEL ONLINE - 29. März 2007, 16:46
URL: http://www.spiegel.de/netzwelt/web/0,1518,474675,00.html

http://www.avertlabs.com/research/blog/?p=231

WEB-KRIMINALITÄT

Wie russische Cracker deutsche Banken knacken

Von Frank Patalong

Dass Cracker ihre Viren und Trojaner heute vor allem als virtuelle Waffen verhökern, hört man immer wieder. Nun dokumentiert ein Virenexperte, wie sie ihre Kunden finden: per Werbung für Programme, mit denen sich Online-Konten knacken lassen. Ihres, zum Beispiel.

Was Dirk Kollberg als kleinen Glücksfall schildert, ist in Wahrheit natürlich das Resultat einer ständigen Beschäftigung mit einem haarigen Thema: den kriminellen Umtrieben von Crackern im Web. Kollberg ist Virenexperte beim IT-Sicherheitsunternehmen McAfee. Vor einigen Tagen, erzählt er, stolperte er über eine Webseite, auf der russische Cracker ihre Dienste anbieten. Das Produkt, das sie ihren Kunden offerieren, ist ein Trojaner, mit dessen Hilfe sich Online-Banking-Konten knacken lassen. Ziel der virtuellen Waffe: Konten der Deutschen Bank und der Postbank.

Der Fall wirft ein Schlaglicht auf ein brandheißes Dauerthema. Dass Cracker heute vor allem mit kriminellen Absichten unterwegs sind, liest man zwar immer wieder. Dass einzelne gefasst werden, die mit Viren, Schutzgelderpressungen, Aktienmanipulationen, Spamversand, DDoS-Attacken oder Phishing eine Menge Geld machen, auch. Dass man ihre Dienste regelrecht anmieten kann, um Konkurrenten abzuschießen, Netznutzer finanziell zu schädigen und sich selbst zu bereichern, sowieso. Eine Frage aber bleibt in aller Regel offen: Wie kommen diese Typen eigentlich an ihre Kunden?

Kollberg hat darauf eine einfache Antwort: "Unter anderem mit Werbung."

Man muss sich das so vorstellen: Es gibt eine Subkultur im Web, in der in Foren und über Webseiten recht offen über solche Dinge diskutiert wird. Da bieten Cracker ihre Dienste an, und sie umwerben ihre potentiellen Kunden. Im konkreten Fall bieten sie unter anderem eine regelrechte Business-Präsentation an, die haarklein demonstriert, wie das von ihnen entwickelte Programm sich Zugangsdaten bis hin zu TAN-Nummern für das Online-Banking erschleicht.

Der Anfang der Abzocke: Eine Fehlermeldung behauptet, eine Transaktion habe nicht durchgeführt werden können. Der User klickt sie weg und nutzt - erfolgreich - eine andere TAN. Die erste wird derweil an den Auftraggeber der Abzocke verschickt
 
Die Falle wird gestellt: Die Schadsoftware injiziert zusätzlichen Code in die aufgerufene Webseite. Ab jetzt lauert auf der Bankingseite im Browserfenster ein Lauscher
... der nicht zu erkennen ist: Anders als beim Phishing befindet man sich wirklich auf der gesicherten bankseite. Das Leck liegt nicht auf der Seite der Bank, sondern auf dem Rechner des Nutzers
Spuren des Trojaners im System: Das verwendete Trojanerprogramm zum Einbringen des Schadprogramms ist ein bewährtes Modell. Es setzt nicht nur Virenscanner außer Kraft, sondern löscht auch Cookies - und zwingt den Nutzer so jedes Mal aufs Neue zur Eingabe aller möglichen Passwörter
Screenshot-Funktionen: Versagt das Keylogging, greift das Programm auf Screenshots zurück. Im Bild zu sehen: Das Ding ist für den Einsatz gegen eine ganze Reihe internationaler Banken optimiert. Obwohl es sie als "nicht relevant" einstuft, gehören dazu in Deutschland auch einige Sparkassen

Das eigentlich Beängstigende daran ist, dass Menschen wie Kollberg überhaupt über so etwas "stolpern" können. Das bedeutet, dass derjenige, der sich intensiv genug mit dem Thema befasst, auch Zugang zu dieser kriminellen Szene findet. Zumindest diese erste, kontaktorientierte werbliche Ebene ist nicht verborgen. Man muss nur herausfinden, wo und wie man sie findet. Der Rest ist Shopping: Keine Frage, dass man etwa auf der Banking-Crack-Seite auch Kontaktmöglichkeiten genannt bekommt.

Und das bieten die Cracker

Kollberg hält das dort geschilderte Modell für plausibel. Die Cracker verkaufen einen Trojaner, der auf verschiedenen Wegen auf einen Rechner eingeschleust werden kann. Das Schadprogramm öffnet dort eine Hintertür, über die es Kontakt mit dem Auftraggeber hält und diesem die auf dem befallenen Rechner gesammelten Informationen zukommen lässt.

Perfide ist die Art und Weise, wie dieser Trojaner seine Daten sammelt: Ganz gezielt reagiert er auf den Aufruf bestimmter Webseiten. Primärziele seien in diesem Fall unter anderem die Online-Banking-Seiten der Postbank und der Deutschen Bank. Die Auswahl wird von den Crackern sogar begründet: "In Deutschland gibt es die Deutsche Bank und die Postbank. Alle anderen sind irrelevant." Ein schmerzhafteres, übertriebeneres Lob haben die wohl auch noch nie bekommen.

Das Schadprogramm protokolliert per Beobachtung der Tastatureingaben ("Keylogging") Nutzerkennungen und Passwörter. Finanziell interessant aber wird der so erschlichene Zugang zu einem fremden Bankkonto erst, wenn man auch Zugriff auf die nach einmaligem Gebrauch verfallenden TAN-Nummern erhält, die man braucht, um eine Transaktion durchzuführen.

Für das russische Cracking-Tool kein Problem: Der Trojaner injiziert innerhalb des Browers quasi Schadcode in die aufgerufene Webseite, in diesem Fall ermöglicht durch eine Sicherheitslücke des Internet Explorer. "Aber für Firefox gibt es Vergleichbares auch", sagt Kollberg.

TAN weg heißt Geld weg

Was danach geschieht, wird für den Geschädigten unter Umständen teuer: Nach Eingabe einer TAN-Nummer erscheint eine Fehlermeldung, die Transaktion habe nicht durchgeführt werden können. Die TAN - in Wahrheit abgespeichert und für die spätere Lieferung an den Tool-Kontrolleur bereit gemacht - scheint dann verfallen. Mit einer anderen TAN gelingt die Transaktion - der Besitzer des Kontos nimmt den Vorgang als kurzzeitige Störung wahr, mehr nicht.

Das ist noch nicht einmal eine neue Methode. Auf genau diese Art und Weise konnten Cracker schon seit einem halben Jahrzehnt jede Passwort-, PIN- oder TAN-Eingabe abschöpfen - zum Beispiel mittels des sogenannten ARP-Spoofings, bei dem der Rechner des Crackers einfach den gesamten Netzwerkverkehr über seinen Rechner routet. Das allerdings funktionierte nur innerhalb geschlossener Netzwerke: Der Feind musste also innerhalb der eigenen Firma sitzen. Moderne Trojaner-Tools bekommen Vergleichbares auch im offenen Internet hin.

Die Schnüffelfunktionen sind noch nicht einmal auf Tastatur-Protokolle beschränkt. Auch die immer beliebtere und auch von den betroffenen Banken angebotene Maus-Eingabe von Zahlencodes per Anklicken eines Nummernfeldes bietet keinen Schutz: Das Tool macht einfach Screenshots.

Kollberg wird seine Recherche am heutigen Abend in seinem Blog öffentlich machen. Die Werbe-Präsentation der Cracker und alle anderen relevanten Angaben sind längst an die Polizeibehörden weitergegeben, sie lagen auch SPIEGEL ONLINE zur Prüfung vor. Und natürlich sind auch die betroffenen Banken im Bilde.

Der Öffentlichkeit enthalten wir die Originalquellen vor, denn sie kommen einer funktionierenden Gebrauchsanweisung zum Ausräumen fremder Konten gleich. Dass die in der Cracker-Präsentation gezeigten Namen und Daten von Kontoinhabern (Opfer wie Nutznießer) dabei augenscheinlich auch noch echt sind - sie sind ohne Probleme über das Telefonbuch zu finden - ist nur ein weiterer Grund.

Nach Gründen fragten wir auch Dirk Kollberg noch einmal. Wenn solche Cracking-Tools wirklich funktionieren, man also einfach die Konten anderer Leute ausräumen kann, warum tun dies die Cracker dann nicht selbst?

"Das ist nicht deren Geschäftsmodell", antwortet Kollberg. Und erklärt es auf die denkbar einfachste Weise: Es gebe Menschen, die Waffen verkaufen und damit viel Geld verdienen, und solche, die damit Banken überfallen."

So einfach ist das.

DER BANKING-TROJANER

um den es hier geht, nutzt eine bekannte Sicherheitslücke aus. Die Schadsoftware ist seit längerem bekannt und wird bereits von den meisten Virenscannern erkannt. Die gewählten Beispiele Deutsche Bank und Postbank sind im Übrigen weniger gefährdet als andere Banken: Sie haben auf das I- TAN- Verfahren umgestellt und sind durch das geschilderte Keylogging nicht mehr so einfach zu attackieren. Das Gefahrenpotenzial bleibt jedoch real: Neue Tricks schaffen neue Möglichkeiten, die Wege zum Trojaner- Kunden sind etabliert, der Markt ist bereitet.

Wer sich vor solchen und anderen Attacken weitestgehend schützen will, sollte elementare Verhaltensregeln beherzigen: Virenschutz- Software sollte stets up to date sein, Firewalls helfen in manchen Fällen, das Meiden finsterer Ecken im Web auch. E- Mails sollten mit Grundmisstrauen behandelt werden, wenn der Absender nicht bekannt ist. Wenn eine Bank eine proprietäre Bankingsoftware anbietet, ist diese dem Browser- basierten Online- Banking unbedingt vorzuziehen.

Ansonsten gilt: Einen völligen Schutz gibt es nicht. Panik ist nicht angebracht, aber seliges Vertrauen auch nicht. Echte Schadensfälle beim Online- Banking sind noch relativ selten. Zu anderen Gefahren und kriminellen Methoden im Internet lesen Sie in der nächsten Woche mehr bei SPIEGEL ONLINE.

 



 
© SPIEGEL ONLINE 2007
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH

 

Zum Thema im Internet:
 

Dirk Kollbergs Blog- Eintrag:Der Trojaner- Banking- Hack
http://www.avertlabs.com/research/blog/?p=231

 


 
[Blocked Ads]