Laut Trend Micro sind neue Websites in Internet aufgetaucht, die Online-Banking Portalen ähneln und den User auffordern, seine TANs (Transaktionsnummern) dort zu hinterlassen.
Dies besorgt ein so genanntes Trojanisches Pferd, das beim Aufruf von Online-Banking Portalen der Postbank und anderen Bankinstituten den User auf eine gefälschte Webseite lenkt. Da erfährt der unbedarfte Anwender von einer vermeintlichen Umstellung des Transaktionsverfahrens und wird dort aufgefordert, seine Transaktionsnnummern einzutippen.
Um diese gefakte Webseite noch authentischer wirken zu lassen, blendet das Trojanische Pferd ein Bild eines DigiPass-Tokens zur dynamischen Passwort-Generierung ein. Trend Micro rät allen Online-Bank-Kunden zu erhöhter Vorsicht, da die gefälschte Website äußerst professionell gestaltet ist.
So erhalten dort die Benutzer den Hinweis, dass die Bank zum 17. Mai 2007 das iTAN-Verfahren zur Authentifizierung von Online-Transaktionen einstellt. An die Stelle des iTAN-Verfahrens sollte die "sicherere" Lösung durch DigiPass-Tokens treten. Die Anwender werden aufgefordert, 40 iTANs auf der Seite einzugeben.
Da sich das Trojanische Pferd lokal auf dem Rechner befindet und die gefälschten Inhalte während des Zugriffs auf das echte Banking-Portal einschleust, bleibt auch die Anzeige einer sicheren SSL-Verbindung bestehen. Um die Ankündigung der vermeintlichen Umstellung noch vertrauenswürdiger erscheinen zu lassen, lädt die Malware ein Bild des Go3-Tokens von Vasco. Dieser Hersteller hat mittlerweile das Bild durch eine Datei ersetzt, die eine Warnung für die Betroffenen enthält.
Online-Banken in Deutschland verlangen nie die Eingabe von mehreren Transaktionsnummern. Derartige Aufforderungen sowie Fehlermeldungen beim Aufruf der echten Portale lassen auf ungewollte Aktivitäten im Hintergrund schließen. Um finanzielle Schäden zu vermeiden, sollte in diesem Fall der Vorgang unbedingt abgebrochen und das Browser-Fenster geschlossen werden. Trend Micro erkennt das trojanische Pferd als TSPY_AGENT.POA. (rw)