Trend Micro warnt vor Online-Banking-Attacke Operation Emmental

Trend Micro (Grafik: Trend Micro)

Hacker können eine Zwei-Faktor-Authentifizierung für Anwender von Online-Banking aushebeln. Die Opfer der Attacke, die der Sicherheitsforscher Trend Micro “Operation Emmental” nennt, sitzen vor allem in Österreich und der Schweiz.

Trend Micro warnt vor einer neuen Hacker-Initiative. Bei der “Operation Emmental” umgehen die Angreifer eine gängige Form der Zwei-Faktor-Authentifizierung. Die Angreifer sollen laut dem Sicherheitsunternehmen Russisch sprechen. Derzeit sind vor allem Anwender in Schweiz und Österreich betroffen, die die Methode könnte jedoch auch bei vielen deutschen Instituten greifen.

“Operation Emmental” zielt auf Kunden von Banken, deren Schutzmechanismen Sitzungs-Token vorsehen, die per SMS an die Kunden gesendet werden. Üblicherweise wird diese Methode als sicher eingestuft: Da die Token über einen separaten Kanal (per SMS) übermittelt werden, müsste ein Angreifer nicht nur den Rechner, sondern auch das Mobiltelefon des Opfer kompromittieren oder in Händen halten.

Mit Safe Mobile Workforce will Trend Micro einen virtuellen, mobilen Arbeitsplatz auf Android- und iOS-Geräten schaffen (Bild: ITespresso).
Operation Emmental hebelt über einen Umweg die Zwei-Faktoren-Authentifizierung von Online-Banking aus. Quelle: Trend

Also mussten sich die Hintermänner von Operation Emmental einen anderen Weg finden. Ihr Angriff beginnt daher mit einer E-Mail, die vermeintlich von einem bekannten Online-Versandhändler oder einem Konsumgüterunternehmen stammt, mit dem ebenfalls viele Verbraucher etwas anfangen können. Öffnet der Empfänger die Datei im E-Mail-Anhang, wird eine zweite Datei mit dem Namen netupdater.exe heruntergeladen und ausgeführt, die den Rechner infiziert.

Das ist dann schon die halbe Miete: Denn die Malware nimmt drei Änderungen vor. Zuerst ändert sie die DNS-Servereinstellungen und verweist dann auf einen Server, den die Angreifer kontrollieren. Sie können somit steuern, wie das infizierte System Namen von Internet-Domains auflöst.

Dann installiert netupdater.exe ein neues SSL-Zertifikat einer Root-Certificate-Authority. So können die Angreifer Inhalte ihrer Phishing-Websites SSL-verschlüsselt anzeigen, ohne dass die Anwender unter Umständen durch eine Browser-Warnung stutzig werden.

Drittens löscht sich die Malware im Anschluss selbst, ohne Spuren zu hinterlassen. Wird der Angriff also nicht bereits beim Infektionsversuch erkannt, ist eine spätere Suche nach Malware oder ein routinemäßiger Scan nicht mehr erfolgreich: Schließlich ist die Malware schon weg, nur Konfigurationsänderungen bleiben zurück – und die sind durch die von privaten Nutzern verwendete Sicherheitssoftware in der Regel nicht als Gefahr zu erkennen.

“Bei ‘Operation Emmental’ handelt es sich um einen komplexen Angriff mit mehreren Komponenten und einer umfangreichen Infrastruktur. Dass sich der markanteste Teil des Angriffs – die PC-Malware – selbst löscht, ohne Spuren zu hinterlassen, half den Angreifern vermutlich, sich relativ bedeckt zu halten”, so Martin Rösler, Leiter des Bedrohungsforscher-Teams bei Trend Micro, in einer Pressemitteilung

Ruft ein Anwender mit einem infizierten Rechner anschließend eine Online-Banking-Site auf, wird er vom manipulierten DNS-Server auf einen Phishing-Server mit einer gefälschten Seite umgeleitet. Nachdem die Anwender Benutzername, Konto- und PIN-Nummer eingegeben haben, werden sie aufgefordert, eine App auf ihrem Smartphone zu installieren, ohne die in Zukunft kein Online-Banking mehr möglich sei.

Die Android-App ist angeblich ein Session-Token-Generator der Bank, dient aber tatsächlich dazu, SMS-Nachrichten der Bank abzufangen und sie an die Angreifer weiterzuleiten. Da die Kriminellen über die Phishing-Website sowohl die Anmeldeinformationen zum Online-Banking als auch die für das Online-Banking nötigen Session-Token erhalten haben können sie nun über das Bankkonto im Namen dessen Inhabers Online-Transaktionen ausführen.Operation Emmental

“Anders als bei mTAN-Verfahren, bei denen für jede Transaktion eine einzelne TAN-Nummer angefordert wird, können die Cyberkriminellen mithilfe des Sitzungs-Token unbemerkt mehrere Transaktionen während einer Sitzung ausführen. Sie können die Online-Banking-Sitzung selbst starten, während die Anwender davon erst beim aufmerksamen Durchlesen ihrer Kontoauszüge erfahren”, schildert Rainer Link, Mitglied des Bedrohungsforscher-Teams bei Trend Micro und einer der Autoren, des Berichts zur “Operation Emmental” die Gefahr.

Der Forschungsbericht von Trend Micro zeigt, dass zwar auch bei diesem Angriff wieder eine aktive Mithilfe der Opfer erforderlich ist – indem sie die mail öffnen und später die Android App installieren – dass aber die Methoden der Angreifer, Nutzer zu diesen Aktionen zu bewegen, lange nicht mehr so ungeschickt und plump sind wie früher. Damit nimmt auch die Gefahr für Nutzer zu, die sich aufgrund ihrer Kenntnisse bisher in Sicherheit wähnten. Auch sie sollten künftig noch aufmerksamer sein.

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de