Anzeige
Ein Bankraub des 21. Jahrhunderts funktioniert ohne Waffen.
Ein Bankraub des 21. Jahrhunderts funktioniert ohne Waffen. (Bild: epSos.de/CC BY 2.0)

Carbanak: Kriminelle sollen Millionen durch Bankhacks erbeutet haben

Ein Bankraub des 21. Jahrhunderts funktioniert ohne Waffen.
Ein Bankraub des 21. Jahrhunderts funktioniert ohne Waffen. (Bild: epSos.de/CC BY 2.0)

Hacker sollen angeblich Hunderte Millionen US-Dollar von über 100 Banken in 30 Ländern erbeutet haben. Kaspersky Lab berichtet, dass dabei die Rechner von Bankangestellten durch Malware über E-Mail-Links verseucht und dann ihre PCs ausspioniert und fernbedient worden seien.

Anzeige

Es soll ein Bankbetrug im großen Stil gewesen sein. Innerhalb mehrerer Jahre sollen Kriminelle Banken weltweit um bis zu eine Milliarde US-Dollar geschädigt haben. Dabei wurden gezielt die PCs von Bankangestellten angegriffen, wie Kaspersky Lab berichtet. Interpol, Europol und andere Ermittlungsbehörden sind an der Aufklärung beteiligt. Die New York Times hatte zuerst über den "virtuellen Bankraub" berichtet.

  • Weltweit sind Banken von Carbanak getroffen worden. (Bild: Kaspersky Lab)
  • Die Spuren, die Carbanak hinterließ (Bild: Kaspersky Lab)
  • So gingen die Cybergangster vor. (Bild: Kaspersky Lab)
So gingen die Cybergangster vor. (Bild: Kaspersky Lab)

Die Kriminellen sollen seit zwei Jahren tätig gewesen und Teil einer Bande sein, deren Mitglieder aus Russland, der Ukraine, weiteren Teilen Europas sowie China stammen.

In Ermittlerkreisen wird die Gruppierung Carbanak genannt. Sie attackierte nicht Heimanwender und ihre Homebanking-Aktivitäten oder Geldautomaten-Transaktionen, sondern die Banken selbst, die nach Angaben von Kaspersky Labs ihren Sitz in Deutschland und in der Schweiz sowie in Russland, den USA, China, Ukraine, Kanada, Hongkong, Taiwan, Rumänien, Frankreich, Spanien, Norwegen, Indien, Großbritannien, Polen, Pakistan, Nepal, Marokko, Island, Irland, Tschechien, Brasilien, Bulgarien und Australien haben.

Pro Schadenvorgang sollen bis zu 10 Millionen US-Dollar erbeutet worden sein. Jeder Angriff soll nach den Informationen von Kaspersky Labs, die den "Überfall" publik gemacht haben, etwa 2 bis 4 Monate gedauert haben. Dabei mussten die Täter mehrere Hürden überwinden. Zum einen musste erst einmal der passende Mitarbeiter ausfindig gemacht werden, sein Rechner durch eine E-Mail infiziert, dann das Netzwerk mit Hilfe der Malware überwacht, das Verhalten der Mitarbeiter ausspioniert und schließlich der eigentliche Betrug durchgeführt werden.

Spear-Phishing und Videoüberwachung gegen Bankangestellte

Die Methode nennt sich Spear-Phishing und erfordert erheblich mehr Aufwand als eine normale Phishing-Attacke, weil sie zielgerichtet auf das Opfer zugeschnitten wurde. Dabei wird Vertrauen zur Zielperson aufgebaut und ein E-Mailverkehr initiiert, der letztlich dazu dient, dass ein Link zu einer Malware angeklickt wird, die den Kriminellen dann weitere Möglichkeiten gibt, ihren eigentlichen Angriff durchzuführen.

Nach Informationen von Kaspersky Labs wurde dann der für die Videoüberwachung zuständige Rechner der Administratoren aufgespürt und übernommen, um die Bildschirme der Angestellten einzusehen. Dabei wurde auch eine Remote-Desktop-Funktion verwendet. Die Kriminellen konnten die Arbeitsweise der Bankangestellten erkennen und imitieren. So kam es auch zu dem Eindruck, die Bank sei gar nicht angegriffen worden.

Kriminelle überwachen Bankangestellte

Die Kriminellen konnten so Online-Banking- oder internationale E-Payment-Systeme nutzen, um Geld abzuzweigen und auf die Konten anderer Banken zu überweisen. Selbst in Buchhaltungssystemen wurde gearbeitet: Die Angreifer erhöhten Saldi und überwiesen danach die "überschüssigen" Mittel auf andere Konten. So wurde der ursprüngliche Kontobetrag gar nicht angetastet. Auch Geldautomaten sollen angewiesen worden sein, zu bestimmten Zeiten Auszahlungen vorzunehmen. Genaue Details wurden - wohl auch aus Gründen der Geheimhaltung - nicht veröffentlicht. Unklar ist, wie die Sicherheitssysteme der Banken überwunden und vor allem die interne Kontrolle so lange überlistet werden konnte.

"Diese Attacken unterstreichen wieder einmal, dass Kriminelle jede Schwachstelle in jedem System ausnutzen werden. Klar wird zudem: Es gibt keine Branche, die immun gegen Attacken ist. Sicherheitsabläufe müssen ständig überprüft werden", so Sanjay Virmani, Direktor des Interpol Digital Crime Centre.

Nach Angaben des Sicherheitsunternehmens sind Spuren von Carbanak im Verzeichnis "\Windows\catalogue" zu finden. Dort befindet sich das Tool Paexec. Zudem sollen sich Dateien mit der Erweiterung ".bin" in den Verzeichnissen "all users\%AppData%\Mozilla" oder in "c:\ProgramData\Mozilla" befinden. Dazu ist eine svchost.exe in "Windows\System32\com\catalogue" oder "Windows\Syswow64\com\catalogue" zu finden. In den aktiven Diensten sollte der Admin ebenfalls nachsehen. Dort versucht sich ein Dienst zu tarnen, der an vollkommen reguläre Namen von Diensten ein "sys" anhängt. Läuft der vollkommen normale Dienst "aspnet" wird beispielsweise eine Instanz von "aspnetsys" gestartet.


eye home zur Startseite
__destruct() 16. Feb 2015

Was meinst du damit? Ich habe gerade in einem golem.de-Artikel das Wort "Havana" auch mit...

mg4711 16. Feb 2015

Die im Artikel beschriebenen Ordner sehen irgendwie falsch aus: "all users\%AppData...

thinkagain 16. Feb 2015

Regierung die beteuert Terrorismus das ist klar. Mehr Überwachung. Aufstachlung. Neue...

DaObst 16. Feb 2015

Finanzterrorismus? Dafür müssen wir keinem Russen oder Chinesen was in die Schuhe...

plutoniumsulfat 16. Feb 2015

Ein altbekanntes Problem in der gesamten IT. Erstmal sieht man nur Kosten, aber die...

Kommentieren



Anzeige

Stellenmarkt
  1. BRZ Deutschland GmbH, Augsburg, Stuttgart, Leipzig, Nürnberg
  2. T-Systems on site services GmbH, München, Leinfelden-Echterdingen
  3. Landeshauptstadt München, München
  4. ASCONSIT GmbH, Lüneburg


Anzeige
Hardware-Angebote
  1. 444,90€

Folgen Sie uns
       


  1. Social Media

    Facebook-Nutzer müssen vorerst weiter Klarnamen angeben

  2. Xiaomi Mi Qicycle

    Elektrisches Klappfahrrad mit Smartphone-Anschluss

  3. The Mill Blackbird

    "Transformer"-artiges Fahrzeug für Filmaufnahmen

  4. United Internet

    Festnetzbetreiber heißt jetzt 1&1 Versatel

  5. Kabelnetz

    Störung bei Vodafone dauert an

  6. Android 7.0

    Die nächste Android-Version heißt Nougat

  7. Pleurobot

    Bewegungen verstehen mit einem Robo-Salamander

  8. Überwachung

    Google sammelt Telefonprotokolle von Android-Geräten

  9. Fritzbox

    AVM veröffentlicht FAQ zur Routerfreiheit

  10. Wertschöpfungslücke

    Musiker beschweren sich bei EU-Kommission über Youtube



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Neue Windows Server: Nano bedeutet viel mehr als nur klein
Neue Windows Server
Nano bedeutet viel mehr als nur klein
  1. Windows 10 Microsoft will Trickserei beim Upgrade beenden
  2. Windows 10 Microsoft zahlt Entschädigung für nicht gewolltes Upgrade
  3. Microsoft Patchday Das Download-Center wird nicht mehr alle Patches bieten

Autotracker Tanktaler: Wen juckt der Datenschutz, wenn's Geld gibt?
Autotracker Tanktaler
Wen juckt der Datenschutz, wenn's Geld gibt?
  1. Ubeeqo Europcar-App vereint Mietwagen, Carsharing und Taxis
  2. Rearvision Ex-Apple-Ingenieure entwickeln Dualautokamera
  3. Tod von Anton Yelchin Verwirrender Automatikhebel führte bereits zu 41 Unfällen

Battlefield 1 angespielt: Zeppeline, Sperrfeuer und die Wiedergeburtsspritze
Battlefield 1 angespielt
Zeppeline, Sperrfeuer und die Wiedergeburtsspritze
  1. Electronic Arts Battlefield 1 mit Wetter und Titanfall 2 mit Kampagne
  2. Dice Battlefield 1 spielt im Ersten Weltkrieg

  1. Re: Kostenlos ?

    Endwickler | 09:52

  2. Re: Auch wenn dadurch einfacher würde....

    david_rieger | 09:51

  3. Es gab niemals ein Patent. Golem schreibt die...

    Der Supporter | 09:50

  4. Re: Irgendwann Personen

    M.P. | 09:49

  5. Re: Fernsehsignal nicht betroffen

    TC | 09:49


  1. 09:44

  2. 07:58

  3. 07:37

  4. 06:00

  5. 22:47

  6. 19:06

  7. 18:38

  8. 17:19


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel