Operation Emmental: Löchrige Bankensicherheit

Originalartikel von David Sancho, Senior Threat Researcher

Die Sicherheit von Online Banking-Konten kann so löchrig sein wie Schweizer Käse. Die Banken setzen schon lange Mechanismen ein, um zu verhindern, dass Kriminelle auf die Online-Konten ihrer Kunden zugreifen. Passwörter, PINs, TANs, Sitzungs-Tokens – all dies soll den Betrug abwehren. Kürzlich deckten die Bedrohungsforscher von Trend Micro einen Angriff auf, der darauf ausgerichtet war Sitzungs-Token auszuhebeln.
Die kriminelle Bande hatte Banken im Visier, die Sitzungs-Token über SMS verschickte. Dies ist eine Zwei-Faktor-Authentifizierungsmethode, die die Mobiltelefone der Benutzer als zweiten Kanal einsetzt. Bei der Anmeldung auf einer Banking-Webseite verschickt die Bank eine SMS an die Mobilnummer des Benutzers, der die Zahl zusammen mit ihrem Benutzernamen und dem Passwort eingeben muss, um Zugriff auf sein Online-Konto zu erhalten. Diese Methode nutzen einige Banken in Österreich, Schweden, der Schweiz und anderen europäischen Ländern.

Cyberkriminelle verschicken Spam-Mails, die vermeintlich von bekannten Online-Versandhändlern kommen, an Nutzer in diesen Ländern. Klicken die Nutzer auf einen bösartigen Link oder öffnen sie den Anhang, so wird der Rechner infiziert. Dies ist der typische Ablauf eines solchen Angriffs. Doch ab diesem Punkt wird es interessant, denn der Computer wird nicht wirklich infiziert, jedenfalls nicht mit der üblichen Banking-Schadsoftware.

Die Malware unternimmt lediglich Modifikationen an der Konfiguration und enfernt sich dann selbst – eine raffinierte Methode, um unentdeckt zu bleiben. Auch sind die Änderungen nur geringfügig, aber mit weitreichenden Auswirkungen, denn die Schadsoftware ändert die DNS-Einstellungen, sodass sie auf einen von den Cybekriminellen kontrollierten Server zeigen. Die Schadsoftware installiert ein gefälschtes SSL Root-Zertifikat auf den Systemen, damit die bösartigen HTTPS-Server vertrauenswürdig erscheinen und keine Sicherheitswarnung ausgegeben wird.


Bild 1. Der Zwei-Faktor-Authentifizierungsprozess während der “Operation Emmental”, wenn der PC der infiziert ist

Wenn Nutzer mit infizierten Computern versuchen, auf die Website der Bank zuzugreifen, werden sie auf eine bösartige Site, die die ihrer Bank täuschend echt nachahmt, umgeleitet. Was wie ein Phishing-Angriff aussieht, geht jedoch weiter. Sobald ein Nutzer seine Anmeldedaten eingegeben hat, wird er aufgefordert, eine App auf seinem Smartphone zu installieren. Diese bösartige Android-App tarnt sich als der Bank-eigene Generator von Sitzungs-Token. Tatsächlich aber fängt sie SMS-Nachrichten von der Bank ab und leitet sie an einen C&C-Server oder eine andere Mobilnummer weiter. Der Cyberkriminelle erhält also nicht nur über die Phishing-Site die Zugangsdaten zum Bankkonto des Opfers, sondern auch den Sitzungs-Token, der für das Banking erforderlich ist. Damit aber hat er die volle Kontrolle über das Bankkonto des Opfers.

Man kann mit Fug und Recht von einer großangelegten Schadsoftware-Operation sprechen: lokaliserter Spam, flüchtige Schadsoftware, gefälschte DNS-Server, Phishing-Seiten, Android-Schadsoftware, C&C-Server sowie reale Backend-Server sind involviert.

Erst im Mai fügten die Cyberkriminellen japanische Internet-Nutzer ihrer Liste von möglichen Opfern hinzu. Die Bedrohungsforscher konnten die Akteure auf ihre Aliases zurückverfolgen: -=FreeMan=- und Northwinds. Diese Akteure sind seit 2011 aktiv. Damals verbreiteten sie vorgefertigte Schadsoftware, wie etwa SpyEye und Hermes. Aus den kürzlich installierten Binaries lässt sich ablesen, dass sie mindestens zwei verschiedene Krypto-Dienste nutzten. Einer davon wird von einem Usbeken betrieben, den anderen konnten die Forscher nicht identifizieren.

Weitergehende Informationen zu diesem Angriff gibt es in dem Forschungsbericht „So löchrig wie Schweizer Käse: Operation Emmental“. Auch SWITCH.CH, das CERT für Schweizer Universitäten erforschten Emmental und haben ihre Ergebnisse auf der eigenen Website publiziert.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*