Web-Sicherheit

März 24, 2011

Bankentrojaner für Handys

Filed under: Allgemein — sebastiankuebeck @ 11:29
Tags: , , , , ,

Im Kampf gegen Phishing-Angriffe auf das Onlinebanking werden von Banken immer wieder neue Techniken ersonnen, um ihren Kunden eine sichere Autorisierung von Transaktionen zu gewährleisten. Begonnen hat das mit TANs (Transaktionsnummern). Nachdem dieses Verfahren schnell von Autoren von Phishing-Mails ausgehebelt wurde, folgten iTANs, welche wiederum erfolgreich angegriffen wurden. Der jüngste Autorisierungsmechanismus – mTAN genannt – verwendet das Handy des Kunden, um Transaktionen zu autorisieren.

 

Beim mTAN-Verfahren bekommt der Kunde per SMS eine
Transaktionsnummer zugeschickt. Mit dieser autorisiert
er seine Transaktion auf der Onlinebanking-Seite. (Bild: Postbank)

Dieses Verfahren wurde zum ersten Mal in Australien erfolgreich angegriffen: Der Angreifer brachte den Mobilfunkanbieter dazu, die Handynummer eines Kunden auf sein eigenes Handy umzuleiten. Nun bekam der Angreifer die SMS mit der Transaktionsnummer und konnte so das Opfer dazu bringen, ihm selbst Geld zu überweisen.

Vor einiger Zeit berichtete nun der Sicherheitsdienstleister Kaspersky, wie der Trojaner ZeuS das mTAN-Verfahren aushebelt: Anlassfall waren zahlreiche Angriffe in Polen auf Kunden der ING-Bank. Im Gegensatz zu früheren ZeuS-Versionen nistet sich dieses Exemplar nicht am PC des Kunden sondern auf dessen Handy ein.

Damit ist jetzt eingetreten, wovor Sicherheitsexperten schon seit Jahren warnen: Schadsoftware verbreitet sich nun auch auf Mobiltelefonen. Laut Kaspersky attackiert ZeuS die Plattformen Windows Mobile 9 und Blackberry.

Inzwischen warnt auch das deutsche BSI for Angriffen auf das mTAN-Verfahren. Bei den Angriffen in Deutschland wird der Angriff durch eine Schadsoftware auf dem PC des Kunden eingeleitet, indem der Kunde aufgefordert wird, seine Handynummer, das Handy-Modell oder die Geräteidentifikationsnummer (IMEI) auf der Webseite des Angreifers, die natürlich der realen Seite der Bank täuschend echt nachempfunden ist, einzugeben. Nach Eingabe dieser Daten erhält der Nutzer eine SMS mit einem Link, dem er folgen soll, um ein notwendiges Zertifikat-Update zu installieren. Dahinter verbirgt sich in Wirklichkeit aber ein Spionage-Programm, dass die mTAN aus der SMS ausliest und an den Angreifer weiterleitet.

Ein erfahrener Computerbenutzer wird natürlich stutzig, wenn er nach dem Handy-Modell gefragt wird, allerdings genügt es den Angreifern, wenn nur eine geringe Anzahl an Kunden auf diesen Schwindel hereinfällt. Wir werden uns also früher oder später wohl damit abfinden müssen, auch Virenscanner auf dem Handy zu betreiben, mit all den negativen Konsequenzen (Performanceeinbußen, häufige Updates, Falschmeldungen), die wir bereits von den PCs her kennen…

Schreibe einen Kommentar »

Es gibt noch keine Kommentare.

RSS feed for comments on this post. TrackBack URI

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

Bloggen auf WordPress.com.

%d Bloggern gefällt das: