Abo
  • Services:
Anzeige
Ein Bankraub des 21. Jahrhunderts funktioniert ohne Waffen.
Ein Bankraub des 21. Jahrhunderts funktioniert ohne Waffen. (Bild: epSos.de/CC BY 2.0)

Carbanak: Kriminelle sollen Millionen durch Bankhacks erbeutet haben

Hacker sollen angeblich Hunderte Millionen US-Dollar von über 100 Banken in 30 Ländern erbeutet haben. Kaspersky Lab berichtet, dass dabei die Rechner von Bankangestellten durch Malware über E-Mail-Links verseucht und dann ihre PCs ausspioniert und fernbedient worden seien.

Anzeige

Es soll ein Bankbetrug im großen Stil gewesen sein. Innerhalb mehrerer Jahre sollen Kriminelle Banken weltweit um bis zu eine Milliarde US-Dollar geschädigt haben. Dabei wurden gezielt die PCs von Bankangestellten angegriffen, wie Kaspersky Lab berichtet. Interpol, Europol und andere Ermittlungsbehörden sind an der Aufklärung beteiligt. Die New York Times hatte zuerst über den "virtuellen Bankraub" berichtet.

  • Weltweit sind Banken von Carbanak getroffen worden. (Bild: Kaspersky Lab)
  • Die Spuren, die Carbanak hinterließ (Bild: Kaspersky Lab)
  • So gingen die Cybergangster vor. (Bild: Kaspersky Lab)
So gingen die Cybergangster vor. (Bild: Kaspersky Lab)

Die Kriminellen sollen seit zwei Jahren tätig gewesen und Teil einer Bande sein, deren Mitglieder aus Russland, der Ukraine, weiteren Teilen Europas sowie China stammen.

In Ermittlerkreisen wird die Gruppierung Carbanak genannt. Sie attackierte nicht Heimanwender und ihre Homebanking-Aktivitäten oder Geldautomaten-Transaktionen, sondern die Banken selbst, die nach Angaben von Kaspersky Labs ihren Sitz in Deutschland und in der Schweiz sowie in Russland, den USA, China, Ukraine, Kanada, Hongkong, Taiwan, Rumänien, Frankreich, Spanien, Norwegen, Indien, Großbritannien, Polen, Pakistan, Nepal, Marokko, Island, Irland, Tschechien, Brasilien, Bulgarien und Australien haben.

Pro Schadenvorgang sollen bis zu 10 Millionen US-Dollar erbeutet worden sein. Jeder Angriff soll nach den Informationen von Kaspersky Labs, die den "Überfall" publik gemacht haben, etwa 2 bis 4 Monate gedauert haben. Dabei mussten die Täter mehrere Hürden überwinden. Zum einen musste erst einmal der passende Mitarbeiter ausfindig gemacht werden, sein Rechner durch eine E-Mail infiziert, dann das Netzwerk mit Hilfe der Malware überwacht, das Verhalten der Mitarbeiter ausspioniert und schließlich der eigentliche Betrug durchgeführt werden.

Spear-Phishing und Videoüberwachung gegen Bankangestellte

Die Methode nennt sich Spear-Phishing und erfordert erheblich mehr Aufwand als eine normale Phishing-Attacke, weil sie zielgerichtet auf das Opfer zugeschnitten wurde. Dabei wird Vertrauen zur Zielperson aufgebaut und ein E-Mailverkehr initiiert, der letztlich dazu dient, dass ein Link zu einer Malware angeklickt wird, die den Kriminellen dann weitere Möglichkeiten gibt, ihren eigentlichen Angriff durchzuführen.

Nach Informationen von Kaspersky Labs wurde dann der für die Videoüberwachung zuständige Rechner der Administratoren aufgespürt und übernommen, um die Bildschirme der Angestellten einzusehen. Dabei wurde auch eine Remote-Desktop-Funktion verwendet. Die Kriminellen konnten die Arbeitsweise der Bankangestellten erkennen und imitieren. So kam es auch zu dem Eindruck, die Bank sei gar nicht angegriffen worden.

Kriminelle überwachen Bankangestellte

Die Kriminellen konnten so Online-Banking- oder internationale E-Payment-Systeme nutzen, um Geld abzuzweigen und auf die Konten anderer Banken zu überweisen. Selbst in Buchhaltungssystemen wurde gearbeitet: Die Angreifer erhöhten Saldi und überwiesen danach die "überschüssigen" Mittel auf andere Konten. So wurde der ursprüngliche Kontobetrag gar nicht angetastet. Auch Geldautomaten sollen angewiesen worden sein, zu bestimmten Zeiten Auszahlungen vorzunehmen. Genaue Details wurden - wohl auch aus Gründen der Geheimhaltung - nicht veröffentlicht. Unklar ist, wie die Sicherheitssysteme der Banken überwunden und vor allem die interne Kontrolle so lange überlistet werden konnte.

"Diese Attacken unterstreichen wieder einmal, dass Kriminelle jede Schwachstelle in jedem System ausnutzen werden. Klar wird zudem: Es gibt keine Branche, die immun gegen Attacken ist. Sicherheitsabläufe müssen ständig überprüft werden", so Sanjay Virmani, Direktor des Interpol Digital Crime Centre.

Nach Angaben des Sicherheitsunternehmens sind Spuren von Carbanak im Verzeichnis "\Windows\catalogue" zu finden. Dort befindet sich das Tool Paexec. Zudem sollen sich Dateien mit der Erweiterung ".bin" in den Verzeichnissen "all users\%AppData%\Mozilla" oder in "c:\ProgramData\Mozilla" befinden. Dazu ist eine svchost.exe in "Windows\System32\com\catalogue" oder "Windows\Syswow64\com\catalogue" zu finden. In den aktiven Diensten sollte der Admin ebenfalls nachsehen. Dort versucht sich ein Dienst zu tarnen, der an vollkommen reguläre Namen von Diensten ein "sys" anhängt. Läuft der vollkommen normale Dienst "aspnet" wird beispielsweise eine Instanz von "aspnetsys" gestartet.


eye home zur Startseite
__destruct() 16. Feb 2015

Was meinst du damit? Ich habe gerade in einem golem.de-Artikel das Wort "Havana" auch mit...

mg4711 16. Feb 2015

Die im Artikel beschriebenen Ordner sehen irgendwie falsch aus: "all users\%AppData...

thinkagain 16. Feb 2015

Regierung die beteuert Terrorismus das ist klar. Mehr Überwachung. Aufstachlung. Neue...

DaObst 16. Feb 2015

Finanzterrorismus? Dafür müssen wir keinem Russen oder Chinesen was in die Schuhe...

plutoniumsulfat 16. Feb 2015

Ein altbekanntes Problem in der gesamten IT. Erstmal sieht man nur Kosten, aber die...



Anzeige

Stellenmarkt
  1. Fraunhofer-Institut für Integrierte Schaltungen IIS, Erlangen
  2. mobileX AG, München
  3. Horváth & Partners Management Consultants, Zürich (Schweiz)
  4. T-Systems International GmbH, München, Frankfurt, Hamburg, Bonn, Berlin


Anzeige
Hardware-Angebote
  1. 89,90€ + 3,99€ Versand
  2. 382,84€
  3. bei Caseking

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie
  2. Kritische Bereiche der IT-Sicherheit in Unternehmen
  3. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation


  1. Raspberry Pi

    Compute Module 3 ist verfügbar

  2. Microsoft

    Hyper-V bekommt Schnellassistenten und Speicherfragmente

  3. Airbus-Chef

    Fliegen ohne Piloten rückt näher

  4. Cartapping

    Autos werden seit 15 Jahren digital verwanzt

  5. Auto

    Die Kopfstütze des Fahrersitzes erkennt Sekundenschlaf

  6. World of Warcraft

    Fans der Classic-Version bereuen "Piraten-Server"

  7. BMW

    Autonome Autos sollen mehr miteinander quatschen

  8. Blackberry DTEK60 im (Sicherheits-)Test

    Sicher, weil isso!

  9. Nissan Leaf

    Autonome Elektroautos rollen ab Februar auf Londons Straßen

  10. Sunfleet

    Volvo plant globales Carsharing



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Reverse Engineering: Mehr Spaß mit Amazons Dash-Button
Reverse Engineering
Mehr Spaß mit Amazons Dash-Button

Tado im Test: Heizkörperthermostate mit effizientem Stalker-Modus
Tado im Test
Heizkörperthermostate mit effizientem Stalker-Modus
  1. Focalcrest Mixtile Hub soll inkompatible Produkte in Homekit einbinden
  2. Airbot LG stellt Roboter für Flughäfen vor
  3. Smarte Lautsprecher Die Stimme ist das Interface der Zukunft

Routertest: Der nicht ganz so schnelle Linksys WRT3200ACM
Routertest
Der nicht ganz so schnelle Linksys WRT3200ACM
  1. Norton Core Symantec bietet sicheren Router mit Kreditkartenpflicht
  2. Routerfreiheit bei Vodafone Der Kampf um die eigene Telefonnummer
  3. Router-Schwachstellen 100.000 Kunden in Großbritannien von Störungen betroffen

  1. Re: Seit 6 Monaten

    nille02 | 11:56

  2. Re: Blizzard muss nicht ...

    Muhaha | 11:55

  3. Re: Win7 wird mein letztes gewesen sein

    hum4n0id3 | 11:55

  4. Re: WoW 2 wäre mal ganz cool

    LH | 11:53

  5. Re: Win10 läuft 2025 aus??? Das sollte doch ewig...

    redmord | 11:52


  1. 12:01

  2. 11:58

  3. 11:48

  4. 11:47

  5. 11:18

  6. 11:09

  7. 09:20

  8. 09:04


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel