Pressemitteilungen

So löchrig wie Schweizer Käse

„Operation Emmental“: Wie Angreifer Sicherheitsmechanismen für Online-Banking aushebeln

Tags: #operationemmental #online-banking #bankgeheimnis #zwei-faktor-authentifizierung #sitzungs-token #sessiontoken #bedrohung #malware #schadsoftware #betrug #datenklau #informationsdiebstahl #trendmicro

Hallbergmoos, 22. Juli 2014. Die Schokolade, das Uhrenhandwerk, der Käse, das Bankgeheimnis: Es gibt viele Dinge, für die die Schweiz auf der ganzen Welt bekannt ist. Doch ausgerechnet beim Online-Banking könnte der gute Ruf Kratzer bekommen. Zwar haben Banken verschiedene Methoden entwickelt, um Cyberkriminellen den Zugriff auf die Online-Konten ihrer Kunden zu verwehren. Doch ein von Forschern des japanischen IT-Sicherheitsanbieters Trend Micro nun aufgedeckter Angriff („Operation Emmental“) umgeht eine häufig genutzte Form der Zwei-Faktor-Authentifizierung und hebelt den Schutz durch Sitzungs-Token aus, die per SMS an die mobilen Endgeräte der Bankkunden gesendet werden. Hinter dem Angriff stecken aller Wahrscheinlichkeit nach Cyberkriminelle, die in einem russischsprachigen Land leben. Betroffen sind Bankkunden in der Schweiz und in Österreich. Trend Micro hat die betroffenen Banken und Unternehmen über den Angriff informiert.

Die Palette der Schutzmechanismen beim Online-Banking reicht von simplen Passwörtern über PIN- und TAN-Nummern bis hin zu Sitzungs-Token, die per SMS an die Mobilgeräte gesendet werden, so dass Anwender ihre Identität authentifizieren und die Banking-Sitzungen aktivieren können. Da die Token über einen separaten Kanal gesendet werden, wird diese Methode der Zwei-Faktor-Authentifizierung allgemein als sicher angesehen. Einige der untersuchten Banken nutzen beispielsweise auch Foto-TANs oder die Ausgabe physischer Kartenlesegeräte. Beim Großteil ihrer Kunden kommen jedoch Sitzungs-Token zum Einsatz, die per SMS übertragen werden.

Auf der Suche nach den Löchern: Vorbereitung des Angriffs
Dies machten sich die Cyberkriminellen zunutze und umgingen den Schutz auf komplexe Art und Weise: Der Angriff beginnt mit einer E-Mail, die vermeintlich von einem bekannten Online-Versandhändler oder einem ebenfalls weit verbreiteten Konsumgüterunternehmen stammt (siehe Abbildung 1 im Forschungsbericht). Sobald Anwender die Datei im E-Mail-Anhang öffnen, wird eine zweite Datei („netupdater.exe“) heruntergeladen und ausgeführt, die den Rechner infiziert.

Die Malware nimmt drei Änderungen vor:

  • Sie ändert die DNS-Servereinstellungen (DNS = Domain Name System) des Systems und verweist auf einen Server, der unter der Kontrolle der Angreifer steht – ab diesem Punkt können die Angreifer steuern, wie das infizierte System Namen von Internet-Domains auflöst.
  • Sie installiert ein neues SSL-Zertifikat einer Root-Certificate-Authority (SSL = Secure Sockets Layer) – hierdurch können die Angreifer Inhalte von SSL-verschlüsselten Phishing-Websites anzeigen, ohne eine Browser-Warnung auszulösen. SSL-Verschlüsselung wird vor allem mit dem https-Übertragungsprotokoll eingesetzt.
  • Sie löscht sich selbst, ohne Spuren zu hinterlassen – dies erschwert es Anwendern, die Infektion nach der Installation zu entdecken. Die eigentliche Infektion ist nicht die Malware, sondern lediglich eine Konfigurationsänderung im System. Wenn der Infektionsversuch nicht sofort entdeckt wurde, wird bei darauf folgenden Malware-Suchen keine Bedrohung erkannt, da die Datei dann nicht mehr vorhanden ist (siehe Abbildung 5 im Forschungsbericht).

 

Löcher gibt es nicht nur im Käse: Ablauf des Angriffs
Anwender, deren Rechner infiziert wurden, werden bei jedem Versuch, Online-Banking zu betreiben, auf einen Phishing-Server umgeleitet und landen auf einer gefälschten Seite. Weil diese Kommunikation über eine sichere https-Verbindung erfolgt, können Anwender nicht erkennen, dass sie nicht mit ihrer Bank kommunizieren: Da auf dem System ein gefälschtes Zertifikat installiert ist, wird ihnen keine Browser-Warnung angezeigt.

Sobald die Anwender Benutzername, Konto- und PIN-Nummer eingeben, werden sie aufgefordert, eine App auf ihrem Smartphone zu installieren (siehe Abbildung 10 im Forschungsbericht). Angeblich ist ohne die App in Zukunft kein Online-Banking mehr möglich. Diese bösartige Android-App gibt vor, ein Session-Token-Generator der Bank zu sein – in Wirklichkeit dient sie dazu, die SMS-Nachrichten der Bank abzufangen und sie an einen Befehls- und Kontroll-Server (C&C-Server) weiterzuleiten. Die Angreifer erhalten über die Phishing-Website sowohl die Anmeldeinformationen der Anwender zum Online-Banking als auch die für das Online-Banking nötigen Session-Token. Nun haben sie die volle Kontrolle über das Bankkonto der Anwender und können in deren Namen Online-Transaktionen ausführen.

So löchrig wie Schweizer Käse: Zusammenfassung des Angriffs
Martin Rösler, Leiter des Bedrohungsforscher-Teams bei Trend Micro, bilanziert: „Bei ‚Operation Emmental‘ handelt es sich um einen komplexen Angriff mit mehreren Komponenten und einer umfangreichen Infrastruktur. Dass sich der markanteste Teil des Angriffs – die PC-Malware – selbst löscht, ohne Spuren zu hinterlassen, half den Angreifern vermutlich, sich relativ bedeckt zu halten.“

Rainer Link, Mitglied des Bedrohungsforscher-Teams bei Trend Micro und einer der Autoren, ergänzt: „Anders als bei mTAN-Verfahren, bei denen für jede Transaktion eine einzelne TAN-Nummer angefordert wird, können die Cyberkriminellen mithilfe des Sitzungs-Token unbemerkt mehrere Transaktionen während einer Sitzung ausführen. Sie können die Online-Banking-Sitzung selbst starten, während die Anwender davon erst beim aufmerksamen Durchlesen ihrer Kontoauszüge erfahren. Das teilweise sehr umständliche Deutsch der Anweisungen heißt nicht zwangsweise, dass die Gefahr niedrig ist. Vielmehr ist es auch sehr gut möglich, dass die Cyberkriminellen hier Geldwäsche betreiben. Und sich dafür der Anwender bedienen, die weniger aufmerksam oder weniger versiert sind, was Online-Gefahren betrifft, und deshalb weniger auf die in einer Nachricht verwendete Sprache achten.“

Weiterführende Informationen
Der Forschungsbericht zu „Operation Emmental“ kann hier heruntergeladen werden.

Über Trend Micro

Als weltweit führender Anbieter von Sicherheitssoftware und -lösungen hat Trend Micro das Ziel, eine sichere Welt für den Austausch digitaler Daten zu schaffen. Seit 25 Jahren lassen sich unsere Mitarbeiter dazu inspirieren, Einzelpersonen, Familien, Unternehmen und Behörden zu schützen, während sie das Potenzial moderner Technologien und neuer Methoden zum Datenaustausch ausschöpfen.

In modernen Unternehmen sind Daten zum größten strategischen Wert geworden, da sie Wettbewerbsvorteile fördern und optimierte Betriebsabläufe ermöglichen. Mit dem sprunghaften Anstieg bei der Nutzung von mobilen Geräten, sozialen Netzwerken und Cloud-Technologien, stellt der Schutz dieser Daten eine immer größere Herausforderung dar. Unternehmen brauchen eine intelligente Sicherheitsstrategie.

Trend Micro ermöglicht intelligenten Datenschutz durch innovative Sicherheitslösungen, die sich ganz einfach verteilen und verwalten lassen und die sich nahtlos in sich ständig wandelnde Umgebungen einfügen. Lösungen von Trend Micro bieten mehrschichtigen Schutz für digitale Inhalte, sei es auf mobilen Geräten, Endpunkten, Servern, an Gateways oder in der Cloud. Durch den Einsatz dieser Lösungen können Unternehmen ihre Anwender, ihre modernen wachsenden Rechenzentren und Cloud-Ressourcen schützen sowie Daten, die durch komplexe, gezielte Angriffe gefährdet sind.

Alle Lösungen werden unterstützt durch die cloudbasierten Bedrohungsinformationen des Trend Micro™ Smart Protection Network™ sowie durch mehr als 1.200 Bedrohungsexperten weltweit.

Weitere Informationen zu Trend Micro sind verfügbar unter http://www.trendmicro.de.
Anwender informieren sich über aktuelle Bedrohungen unter http://blog.trendmicro.de.
Folgen Sie uns auch auf Twitter unter @TrendMicroDE.