Warnung vor Cyber-Kriminellen

Online-Banking trotz doppelter Sicherung geknackt

01.10.2010
Ohne fest installierte Security-Software auf den PC-Clients sollten Sie Ihre Kunden auf keinen Fall Online-Banking-Geschäfte erledigen lassen. Security-Spezialisten von Trend Micro haben nämlich heraus gefunden, dass bestimmte ZeuS/ZBOT-Varianten mittlerweile auch in der Lage sind, in Online-Bankkonten einzubrechen, sogar wenn diese über Zweifaktor-Authentifizierungssysteme (PIN und TAN) geschützt sind. Die ZeuS-Abkömmlinge nutzen dafür eine spezielle mobile Schadsoftware, um Systeme zu überlisten, die sich auf Textnachrichten verlassen, die über Handys mit dem Symbian-Betriebssystem verschickt werden.
Ohne fest installierte Security Software auf den PC-Clients, sollten Sie Ihre Kunden auf keinen Fall Online-Banking-Geschäfte erledigen lassen.
Ohne fest installierte Security Software auf den PC-Clients, sollten Sie Ihre Kunden auf keinen Fall Online-Banking-Geschäfte erledigen lassen.

Ohne fest installierte Security-Software auf den PC-Clients sollten Sie Ihre Kunden auf keinen Fall Online-Banking-Geschäfte erledigen lassen. Security-Spezialisten von Trend Micro haben nämlich heraus gefunden, dass bestimmte ZeuS/ZBOT-Varianten mittlerweile auch in der Lage sind, in Online-Bankkonten einzubrechen, sogar wenn diese über Zweifaktor-Authentifizierungssysteme (PIN und TAN) geschützt sind. Die ZeuS-Abkömmlinge nutzen dafür eine spezielle mobile Schadsoftware, um Systeme zu überlisten, die sich auf Textnachrichten verlassen, die über Handys mit dem Symbian-Betriebssystem verschickt werden.

Die Technik hinter diesen Angriffen ist einfach: Eine ZBOT-Variante verändert die Website der angepeilten Bank, sodass jedes Mal, wenn die Bank einen Authentifizierungscode über das Handy anfordert, der Nutzer zuerst seine Handynummer angeben muss. Dann erhält er eine Textnachricht, die einen Link auf eine gefälschte Symbian-Anwendung (SYMBOS_ZBOT.A) enthält.

Sobald dieser mobile Schadcode (SYMBOS_ZEUSMIT.A) installiert ist, fängt er alle Textnachrichten von einem bestimmten Absender (beispielsweise Banken) ab und schickt sie weiter an eine andere Nummer, die von dem Angreifer kontrolliert wird. Da dieser sowohl den Benutzernamen und das Kennwort als auch jeden Authentifizierungscode, der über das Mobiltelefon gesendet wurde, hat, können die Kriminellen ihre bösartigen Machenschaften so führen, als ob es nie eine Zweifaktor-Authentifizierung gegeben hätte.

Die Zweifaktor-Authentifizierung bietet bestimmt eine höhere Sicherheit, doch zeigen die Angriffe, dass auch diese Methode keine Garantie gegen alle Formen des Identitätsdiebstahls liefern kann. (rw)