Abo
  • Services:
Anzeige
Ein Bankraub des 21. Jahrhunderts funktioniert ohne Waffen.
Ein Bankraub des 21. Jahrhunderts funktioniert ohne Waffen. (Bild: epSos.de/CC BY 2.0)

Carbanak: Kriminelle sollen Millionen durch Bankhacks erbeutet haben

Ein Bankraub des 21. Jahrhunderts funktioniert ohne Waffen.
Ein Bankraub des 21. Jahrhunderts funktioniert ohne Waffen. (Bild: epSos.de/CC BY 2.0)

Hacker sollen angeblich Hunderte Millionen US-Dollar von über 100 Banken in 30 Ländern erbeutet haben. Kaspersky Lab berichtet, dass dabei die Rechner von Bankangestellten durch Malware über E-Mail-Links verseucht und dann ihre PCs ausspioniert und fernbedient worden seien.

Anzeige

Es soll ein Bankbetrug im großen Stil gewesen sein. Innerhalb mehrerer Jahre sollen Kriminelle Banken weltweit um bis zu eine Milliarde US-Dollar geschädigt haben. Dabei wurden gezielt die PCs von Bankangestellten angegriffen, wie Kaspersky Lab berichtet. Interpol, Europol und andere Ermittlungsbehörden sind an der Aufklärung beteiligt. Die New York Times hatte zuerst über den "virtuellen Bankraub" berichtet.

  • Weltweit sind Banken von Carbanak getroffen worden. (Bild: Kaspersky Lab)
  • Die Spuren, die Carbanak hinterließ (Bild: Kaspersky Lab)
  • So gingen die Cybergangster vor. (Bild: Kaspersky Lab)
So gingen die Cybergangster vor. (Bild: Kaspersky Lab)

Die Kriminellen sollen seit zwei Jahren tätig gewesen und Teil einer Bande sein, deren Mitglieder aus Russland, der Ukraine, weiteren Teilen Europas sowie China stammen.

In Ermittlerkreisen wird die Gruppierung Carbanak genannt. Sie attackierte nicht Heimanwender und ihre Homebanking-Aktivitäten oder Geldautomaten-Transaktionen, sondern die Banken selbst, die nach Angaben von Kaspersky Labs ihren Sitz in Deutschland und in der Schweiz sowie in Russland, den USA, China, Ukraine, Kanada, Hongkong, Taiwan, Rumänien, Frankreich, Spanien, Norwegen, Indien, Großbritannien, Polen, Pakistan, Nepal, Marokko, Island, Irland, Tschechien, Brasilien, Bulgarien und Australien haben.

Pro Schadenvorgang sollen bis zu 10 Millionen US-Dollar erbeutet worden sein. Jeder Angriff soll nach den Informationen von Kaspersky Labs, die den "Überfall" publik gemacht haben, etwa 2 bis 4 Monate gedauert haben. Dabei mussten die Täter mehrere Hürden überwinden. Zum einen musste erst einmal der passende Mitarbeiter ausfindig gemacht werden, sein Rechner durch eine E-Mail infiziert, dann das Netzwerk mit Hilfe der Malware überwacht, das Verhalten der Mitarbeiter ausspioniert und schließlich der eigentliche Betrug durchgeführt werden.

Spear-Phishing und Videoüberwachung gegen Bankangestellte

Die Methode nennt sich Spear-Phishing und erfordert erheblich mehr Aufwand als eine normale Phishing-Attacke, weil sie zielgerichtet auf das Opfer zugeschnitten wurde. Dabei wird Vertrauen zur Zielperson aufgebaut und ein E-Mailverkehr initiiert, der letztlich dazu dient, dass ein Link zu einer Malware angeklickt wird, die den Kriminellen dann weitere Möglichkeiten gibt, ihren eigentlichen Angriff durchzuführen.

Nach Informationen von Kaspersky Labs wurde dann der für die Videoüberwachung zuständige Rechner der Administratoren aufgespürt und übernommen, um die Bildschirme der Angestellten einzusehen. Dabei wurde auch eine Remote-Desktop-Funktion verwendet. Die Kriminellen konnten die Arbeitsweise der Bankangestellten erkennen und imitieren. So kam es auch zu dem Eindruck, die Bank sei gar nicht angegriffen worden.

Kriminelle überwachen Bankangestellte

Die Kriminellen konnten so Online-Banking- oder internationale E-Payment-Systeme nutzen, um Geld abzuzweigen und auf die Konten anderer Banken zu überweisen. Selbst in Buchhaltungssystemen wurde gearbeitet: Die Angreifer erhöhten Saldi und überwiesen danach die "überschüssigen" Mittel auf andere Konten. So wurde der ursprüngliche Kontobetrag gar nicht angetastet. Auch Geldautomaten sollen angewiesen worden sein, zu bestimmten Zeiten Auszahlungen vorzunehmen. Genaue Details wurden - wohl auch aus Gründen der Geheimhaltung - nicht veröffentlicht. Unklar ist, wie die Sicherheitssysteme der Banken überwunden und vor allem die interne Kontrolle so lange überlistet werden konnte.

"Diese Attacken unterstreichen wieder einmal, dass Kriminelle jede Schwachstelle in jedem System ausnutzen werden. Klar wird zudem: Es gibt keine Branche, die immun gegen Attacken ist. Sicherheitsabläufe müssen ständig überprüft werden", so Sanjay Virmani, Direktor des Interpol Digital Crime Centre.

Nach Angaben des Sicherheitsunternehmens sind Spuren von Carbanak im Verzeichnis "\Windows\catalogue" zu finden. Dort befindet sich das Tool Paexec. Zudem sollen sich Dateien mit der Erweiterung ".bin" in den Verzeichnissen "all users\%AppData%\Mozilla" oder in "c:\ProgramData\Mozilla" befinden. Dazu ist eine svchost.exe in "Windows\System32\com\catalogue" oder "Windows\Syswow64\com\catalogue" zu finden. In den aktiven Diensten sollte der Admin ebenfalls nachsehen. Dort versucht sich ein Dienst zu tarnen, der an vollkommen reguläre Namen von Diensten ein "sys" anhängt. Läuft der vollkommen normale Dienst "aspnet" wird beispielsweise eine Instanz von "aspnetsys" gestartet.


eye home zur Startseite
__destruct() 16. Feb 2015

Was meinst du damit? Ich habe gerade in einem golem.de-Artikel das Wort "Havana" auch mit...

mg4711 16. Feb 2015

Die im Artikel beschriebenen Ordner sehen irgendwie falsch aus: "all users\%AppData...

thinkagain 16. Feb 2015

Regierung die beteuert Terrorismus das ist klar. Mehr Überwachung. Aufstachlung. Neue...

DaObst 16. Feb 2015

Finanzterrorismus? Dafür müssen wir keinem Russen oder Chinesen was in die Schuhe...

plutoniumsulfat 16. Feb 2015

Ein altbekanntes Problem in der gesamten IT. Erstmal sieht man nur Kosten, aber die...



Anzeige

Stellenmarkt
  1. ORSAY GmbH, Willstätt, zwischen Freiburg / Karlsruhe
  2. Birkenstock GmbH & Co. KG Services, Neustadt (Wied)
  3. ING-DiBa AG, Nürnberg
  4. Bosch Service Solutions Magdeburg GmbH, Berlin


Anzeige
Blu-ray-Angebote
  1. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)
  2. 12,85€ + 5€ FSK18-Versand
  3. 49,99€ mit Vorbesteller-Preisgarantie

Folgen Sie uns
       


  1. Liberty Global

    Giga-Standard Docsis 3.1 kommt im ersten Quartal 2018

  2. Apache-Sicherheitslücke

    Optionsbleed bereits 2014 entdeckt und übersehen

  3. Tianhe-2A

    Zweitschnellster Supercomputer wird doppelt so flott

  4. Autonomes Fahren

    Japan testet fahrerlosen Bus auf dem Land

  5. Liberty Global

    Unitymedia-Mutterkonzern hat Probleme mit Amazon

  6. 18 Milliarden Dollar

    Finanzinvestor Bain übernimmt Toshibas Speichergeschäft

  7. Bundestagswahl

    Innenminister sieht bislang keine Einmischung Russlands

  8. Itchy Nose

    Die Nasensteuerung fürs Smartphone

  9. Apple

    Swift 4 erleichtert Umgang mit Strings und Collections

  10. Redundanz

    AEG stellt Online-USV für den 19-Zoll-Serverschrank vor



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Apples iPhone X in der Analyse: Ein iPhone voller interessanter Herausforderungen
Apples iPhone X in der Analyse
Ein iPhone voller interessanter Herausforderungen
  1. Face ID Apple erlaubt nur ein Gesicht pro iPhone X
  2. iPhone X Apples iPhone mit randlosem OLED-Display kostet 1.150 Euro
  3. Apple iPhone 8 und iPhone 8 Plus lassen sich drahtlos laden

Metroid Samus Returns im Kurztest: Rückkehr der gelenkigen Kopfgeldjägerin
Metroid Samus Returns im Kurztest
Rückkehr der gelenkigen Kopfgeldjägerin
  1. Doom, Wolfenstein, Minecraft Nintendo kriegt große Namen
  2. Nintendo Das NES Classic Mini kommt 2018 noch einmal auf den Markt
  3. Nintendo Mario verlegt keine Rohre mehr

Galaxy Note 8 im Test: Samsungs teure Dual-Kamera-Premiere
Galaxy Note 8 im Test
Samsungs teure Dual-Kamera-Premiere
  1. Galaxy S8 und Note 8 Bixby-Button lässt sich teilweise deaktivieren
  2. Videos Youtube bringt HDR auf Smartphones
  3. Galaxy Note 8 im Hands on Auch das Galaxy Note sieht jetzt doppelt - für 1.000 Euro

  1. Ein Beitrag voller Grenzfälle

    tkaufmann | 22:06

  2. Re: Kostenlos

    tingelchen | 22:03

  3. Re: Funktioniert Netflix denn mittlerweile bei UM?

    Dragon0001 | 21:58

  4. 84.000 gebuchte Anschlüsse

    plutoniumsulfat | 21:58

  5. Re: Ich dachte, CCleaner selbst ist die Malware ...

    Tuxgamer12 | 21:49


  1. 18:10

  2. 17:45

  3. 17:17

  4. 16:47

  5. 16:32

  6. 16:22

  7. 16:16

  8. 14:28


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel