Eurograbber Botnetz stiehlt 36 Millionen Euro per mTAN

Mit einer kombinierten Attacke namens Eurograbber haben Kriminelle 36 Millionen Euro von Bankkonten abgebucht. Dazu infizierten sie PCs und Smartphones der Opfer, um per SMS verschickte TANs abzufangen und selbst zu nutzen.

Anzeige

In einer ausführlichen Fallstudie (PDF) bezeichnen die Sicherheitsunternehmen Check Point und Versafe die Aktionen des Systems Eurograbber als "ausgefeilte, mehrdimensionale und gezielte Attacke" auf die Nutzer von Onlinebanking. Dabei sollen von über 30.000 Konten insgesamt 36 Millionen Euro widerrechtlich abgebucht worden sein.

Um das zu erreichen, setzten die Täter eine Kombination aus mehreren Verfahren ein. Zunächst muss der PC eines Opfers mit einer Abwandlung des Zeus-Trojaners infiziert werden. Das geschieht durch klassische Phishing-Mails oder auch das Ausnutzen von Sicherheitslücken in Komponenten wie Flash oder Java.

Wenn sich der Anwender das nächste Mal in sein Konto einloggt, wird die Bankseite per Java manipuliert, schreiben die Security-Forscher. Zu sehen ist dann eine vermeintlich von der Bank stammende Nachricht, die zur Eingabe der Handynummer für das mTAN-Verfahren auffordert. Wenn der Nutzer dem nachkommt, erhält er eine SMS mit einem Link zum Download einer Software auf dem Smartphone, die auch von der Bank stammen soll. Wird auch das im guten Glauben erledigt, ist das Telefon ebenfalls infiziert.

Dabei kommt der schon länger bekannte "Zeus in the mobile"-Trojaner (Zitmo) zum Einsatz, den es mindestens für Android-Smartphones und Blackberry-Geräte geben soll - ohne das ausdrücklich zu erwähnen, zeigt Check Point in seiner Fallstudie aber auch Screenshots eines iOS-Geräts. Ob der Trojaner auch für iPhones existiert, ist damit nicht belegt.

Buchungen werden umgeleitet

Bei der nächsten Transaktion über den PC schlagen beide Trojaner zu: Die Buchung wird nicht mit dem gewünschten Ziel und der richtigen Summe ausgeführt, sondern für ein Konto der Kriminellen vorbereitet. Daraus generiert die Bank dann eine mTAN, die auf das infizierte Smartphone geschickt wird. Dort leitet sie der Handy-Trojaner an das Botnetz weiter, das die Buchung bei der Bank bestätigt, wiederum über den infizierten PC.

Das System des Onlinebankings wird damit also nicht direkt angegriffen, aus Sicht der Bank sind alle Daten in Ordnung. Sie wurden nur von den Trojanern so manipuliert, dass das Geld woanders ankommt. Wie viel der Anwender am PC davon mitbekommt, schreiben die Sicherheitsexperten leider nicht. Denkbar ist aber, dass auch die eigentlich gewünschte Buchung als bestätigt angezeigt wird, da sich die Ausgaben der Bank ohnehin fälschen lassen. Das Login für das Konto kennt der Trojaner zu diesem Zeitpunkt ohnehin schon. Das Verfahren ist schon länger bekannt, im November 2012 warnte beispielsweise die Berliner Polizei vor Missbrauch von mTANs.

Vor allem italienische Konten wurden von den Angriffen betroffen, 20 Prozent der geschädigten Nutzer stammen aber aus Deutschland, weitere Fälle gab es in Spanien und den Niederlanden. Neben der technisch ausgefeilten Attacke setzt das Verfahren des Eurograbber auf die Gutgläubigkeit von Anwendern: Banken fordern nicht zum Download von Software per Mail auf, weder an PCs noch an Smartphones. Wer solchen Hinweisen dennoch folgt, kann nur Glück haben, wenn sein Virenscanner die sich ständig verändernden Trojaner erkennt.

Kommentarübersicht
Re: Zielkonto - Geldfluss ist doch nachvollziehbar?
uruguay 08. Jan 2013

Adieu Sparkasse...
S4bre 20. Dez 2012

...umstellung auf MTAN vor einiger Zeit...und Wegfall PIN/ITAN...schon war meine völlig...

Re: Selbst Schuld!
Hu5eL 11. Dez 2012

Wenn du vorher gefragt wirst und mit "ja" Anwortet bist du wirklich selbts schuld..

Re: TAN ist nicht wirklich das Problem, sondern Java!
Hu5eL 11. Dez 2012

Java-Bashing. Genauso ist es mit allen anderen Anwendungen, welche Lücken aufweise.

Re: mTAN ist viel zu unsicher!!!1eins!!!1
justanotherhusky 07. Dez 2012

Selber Schuld sagt sich so leicht. Wenn mir meine Bank (endlich) eine sinnvolle E...

Kommentieren

Trackbacks
Anzeige
Stellenmarkt
  1. Softwareentwickler/in Java / JEE
    BBF GmbH, München
  2. Prüfer/-in für die IT-Revision
    Kreissparkasse Tübingen, Tübingen
  3. EWM Junior Consultant (m/w)
    Fresenius Netcare GmbH, Bad Homburg (Reisebereitschaft)
  4. Netzwerkspezialist für 2nd-Level Software Support (m/w)
    REALTECH Services GmbH, Walldorf

 

Detailsuche

Folgen Sie uns
       
Videos
Nokia Lumia 925 - Trailer Nokia Lumia 925 - Trailer
Ticker
  1. Sailfish-Smartphone

    Jolla stellt "The Other Half" vor

  2. Internet und Krieg

    Wenn Social Networks zum Schützengraben werden

  3. Instant Messenger

    Whatsapp in Deutschland immer beliebter

  4. Milliarden-Deal

    Yahoo kauft Blogging-Plattform Tumblr

  5. Electronic Arts

    Leitender EA-Entwickler bezeichnet Wii U als "Mist"

  6. Apple-Zulieferer

    Wieder drei Suizide bei Foxconn

  7. Cast AR

    Gefeuerte Valve-Entwickler zeigen Räumliche-Objekte-Brille

  8. Ventus

    Mit der Netzgemeinde gegen den Klimawandel

  9. Offline-Karten-App für Android

    Maps With Me Pro gratis in Amazons App-Shop

  10. Linux-Kernel

    P-States verringern Leistungsaufnahme auf Intel-CPUs

Newsletter-Abo
Haben wir etwas übersehen?

E-Mail an news@golem.de

Anzeige
DSL
Drosselung: Piratenchef fordert Verstaatlichung der Netze der Telekom
Drosselung
Piratenchef fordert Verstaatlichung der Netze der Telekom

Piratenchef Schlömer holt die alte Forderung "Netze in Nutzerhand" wieder hervor und will das Festnetz der Deutschen Telekom wegen der DSL-Drosselungspläne verstaatlichen.

  1. Vectoring Vodafone wird VDSL mit 100 MBit/s anbieten
  2. Vectoring der Telekom Bundesnetzagentur genehmigt VDSL mit 100 MBit/s
  3. Kündigungsgrund Wenn der Telefon-DSL-Anschluss nicht voll funktioniert
Samsung Galaxy S4
Samsung: Mehr als 10 Millionen Galaxy S4 in Rekordzeit verkauft
Samsung
Mehr als 10 Millionen Galaxy S4 in Rekordzeit verkauft

Samsung wird in der kommenden Woche insgesamt über 10 Millionen Galaxy S4 verkauft haben - in weniger als vier Wochen. Beim Galaxy S3 dauerte es für diese Zielmarke etwa doppelt so lange. Zudem wurde das Galaxy Note 3 offiziell für die nächste Ifa angekündigt.

  1. Smartphone Google bringt Galaxy S4 mit purem Android
  2. iFixit Galaxy S4 bekommt gute Noten
  3. Samsung Galaxy S4 im Test Nur ein Quantensprung
Golem.de
In eigener Sache: Bitte schalte deinen Adblocker aus!
In eigener Sache
Bitte schalte deinen Adblocker aus!

Viele Nutzer betrachten Adblocker als legitime Notwehr gegen die aggressive Werbung im Netz. Für Websites wie Golem.de ist das ein großes Problem. Am Ende verlieren alle. Suche nach Auswegen aus dem Dilemma.

  1. In eigener Sache Golem.de und das Leistungsschutzrecht
Forumsbeiträge »
  1. Drosselung Piratenchef fordert Verstaatlichung der Netze der Telekom

    Re: Wie wärs mit einem dritten Eigentumsverhältnis?

    benji83 | 15:25

  2. In eigener Sache Bitte schalte deinen Adblocker aus!

    Re: FAQ zum Aufruf, die Adblocker abzuschalten

    tehsre | 15:25

  3. Instant Messenger Whatsapp in Deutschland immer beliebter

    Re: Ich hoffe mehr auf Google Hangouts

    cry88 | 15:24

  4. Cast AR Gefeuerte Valve-Entwickler zeigen Räumliche-Objekte-Brille

    Re: Coole Frau

    Kernschmelze | 15:22

  5. Sailfish-Smartphone Jolla stellt "The Other Half" vor

    Nicht Meego -> Mer

    Kelteseth | 15:21

Ticker »
  1. Sailfish-Smartphone Jolla stellt "The Other Half" vor

    14:35

  2. Internet und Krieg Wenn Social Networks zum Schützengraben werden

    14:25

  3. Instant Messenger Whatsapp in Deutschland immer beliebter

    13:25

  4. Milliarden-Deal Yahoo kauft Blogging-Plattform Tumblr

    11:48

  5. Electronic Arts Leitender EA-Entwickler bezeichnet Wii U als "Mist"

    14:15

  6. Apple-Zulieferer Wieder drei Suizide bei Foxconn

    13:48

  7. Cast AR Gefeuerte Valve-Entwickler zeigen Räumliche-Objekte-Brille

    12:33

  8. Ventus Mit der Netzgemeinde gegen den Klimawandel

    14:00

Zum Artikel