Bei kaum einer Dienstleistung im Internet ist den Nutzern das Risiko so bewusst wie beim Online-Banking. Kein Wunder, denn geraten Login-Daten und im schlimmsten Fall auch noch TAN-Nummern in die falschen Hände, kann das Konto problemlos von überall in der Welt aus leergeräumt werden. Trotzdem gehen viel zu viele Anwender sorglos damit um, wodurch jährlich Schaden in Milliardenhöhe entsteht.
Der geheime Mithörer
Vor einigen Jahren war Phishing die meistgenutzte Methode Krimineller, um an Online-Banking Login-Daten zu gelangen. Heute hingegen ist meist sehr komplexe Malware das Mittel der Wahl. Die auf das Bankkonto der Opfer abzielende Malware-Sparte ist mittlerweile so umfangreich, dass sich gleich zwei Bezeichnungen dafür etabliert haben: Financial Malware sowie Banking Trojaner. Die modernsten Abkömmlinge dieser Kategorie setzen gezielt auf eine spezielle Form der „Man-in-the-middle“ Attacke, genannt „Man-in-the-browser“.
„Man-in-the-middle“ (Deutsch: „Man in der Mitte“) bedeutet, dass die Kommunikation zwischen zwei Kommunikationspartnern (z.B. Ihnen und Ihrer Bank) abgefangen wird, um diese dann mitzuhorchen und gegebenenfalls zu manipulieren. Im Falle der „Man-in-the-browser“ Attacke findet dieses Abfangen direkt in Ihrem Browser statt. Gemeinerweise helfen genau deswegen Verschlüsselungsverfahren wie SSL nicht, die eigentlich vor klassischen „Man-in-the-middle“ Angriffen schützen sollen.
In der Regel injiziert sich Financial Malware in laufende Browser Prozesse und erlangt so die volle Kontrolle. Dies bedeutet, dass die Financial Malware nicht nur darüber informiert ist, welche Webseiten Sie ansteuern und was genau Sie auf diesen Webseiten machen – inklusive aller eingetippten Benutzerdaten und Kennwörter. Sondern es ist ihr ebenfalls möglich, angezeigte Webseiten zu manipulieren, ohne dass Sie eine Möglichkeit hätten dies zu bemerken. Besonders schlimm für das Opfer ist dies, wenn beispielsweise getätigte Überweisungen manipuliert und auf andere Konten umgeleitet werden. Auch existierende Formulare auf den Bankseiten können subtil geändert werden, so dass statt einer gleich mehrere TANs abgefragt werden. Mit den TANs und den ausgespähten Login Daten hat der Angreifer schließlich volle Kontrolle über das Konto.
Das Opfer hat kaum eine Chance
Es gibt mehrere zusammenhängende Gründe, wieso sich Angriffe auf Online-Konten so großer Beliebtheit erfreuen. Der Angreifer erhält sofort Zugriff auf ein Konto und gelangt damit ohne Umschweife an sein Ziel: Geld. Der Zugriff bleibt gemeinerweise oft lange unbemerkt. Das liegt an folgenden Gründen:
- Fehlende Sicherheitssoftware, kein Echtzeitschutz oder keine Verhaltensanalyse
Die Zeiten, in denen das Öffnen eines dubiosen E-Mail-Anhangs die Hauptgefahrenquelle war, sind lange vorbei. Heute werden vielmehr Schwachstellen („Exploits“) in weit verbreiteten Anwendungen wie der Java Laufzeitumgebung, Adobes Acrobat und Flash Player oder seitens Microsoft Programmen wie Windows oder dem Internet Explorer genutzt.Bei Verwendung von veralteter, ungepatchter Software reicht schon der Besuch einer entsprechend präparierten Webseite für eine Infektion. Dabei muss es sich noch nicht einmal um unseriöse Webseiten aus den Grauzonen des Internets handeln. Regelmäßig werden Fälle bekannt, in denen Exploits über Werbenetzwerke auch auf häufig besuchte Webseiten wie Nachrichtenportale gelangen.
Ist ein Computer direkt mit dem Internet verbunden, also ohne die Verwendung eines Routers oder einer Firewall, können sogar direkt von außen Schwachstellen ausgenutzt werden. Ihr PC wird infiziert, ohne dass Sie es bemerken. Kostenlose Sicherheitsprogramme verfügen in der Regel nicht über essenzielle Echtzeitschutz-Komponenten. Dazu gehört z.B. eine effektive Verhaltensanalyse, die auch neue und unbekannte Malware-Varianten, die üblicherweise über solche Schwachstellen installiert werden, zuverlässig erkennt. Wer sich nur auf die wöchentliche Reinigung mit gratis Viren- oder Malware-Scannern verlässt, könnte den Kontozugang samt TAN-Liste gleich öffentlich auf Facebook posten.
- Selbst verschlüsselte Verbindungen reichen nicht
In einigen Foren und Security-Guidelines liest man immer wieder diverse Verhaltensregeln, die eine sichere Nutzung des Internets versprechen. Häufiger Tipp: Insbesondere beim Online-Banking verschlüsselte Verbindungen (also https für „secure“) verwenden. Dieses Vorgehen ist gegen neueste Angriffsmethoden, wie der bei Financial Malware extrem weit verbreiteten „Man-in-the-browser“ Attacke, leider absolut nutzlos. Denn die Schadsoftware nutzt direkt den Browser des Benutzers, verschlüsselte Verbindungen wie SSL oder TLS schützen aber nur den Kommunikationsweg zwischen Browser und Bankserver. Stellen Sie sich vor, Sie telefonieren über eine abhörsichere Telefonleitung: Das bringt wenig, wenn der Spion ein Mikrophon direkt in den Hörer eingebaut hat. - Die Online-Banking Website-Darstellung wird manipuliert
Manche Financial Malware Varianten warten darauf, dass der Benutzer eine Transaktion von sich aus tätigt, um diese dann gezielt zu manipulieren. Ergo, Sie überweisen beispielsweise die Miete für den nächsten Monat und geben eine TAN ein. Die Überweisung wird regulär durchgeführt, jedoch die Ziel-Kontonummer geändert. Das Geld landet bei einem sogenannten „Money-Mule“. Dabei handelt es sich um eine dritte Person, die dem Angreifer unbewusst hilft, auf das gestohlene Geld zuzugreifen und dafür eine Provision erhält. Damit Ihnen die veränderte Transaktion nicht auffällt, wird die Kontostandanzeige entsprechend manipuliert. Auch bei der Umsatzanzeige wird die gefälschte Ziel-Kontonummer wieder gegen die eigentliche Kontonummer Ihres Vermieters getauscht. Bis das durch einen Anruf des Vermieters auffällt, vergehen in der Regel Wochen. Zeit genug, um das Konto komplett zu plündern und es quasi unmöglich zu machen, die Überweisung(en) zu stornieren.
Online-Banking – aber sicher!
Auch wenn das bis hierhin anders klingen mag: Natürlich können Sie weiter Online-Banking nutzen. Wir empfehlen aber dringendst den Einsatz einer adäquaten Security Suite wie dem Emsisoft Internet Security Pack. Dieses besteht aus Emsisoft Anti-Malware und Emsisoft Online Armor
und zeichnet sich durch die folgenden Features aus:
- Der enorm leistungsstarke Dual-Engine-Scanner von Emsisoft Anti-Malware wird stündlich mit Updates versorgt. Selbst viele neue Malware-Ausbrüche und Varianten können so zuverlässig erkannt werden.
- Die Verhaltensanalyse von Emsisoft Anti-Malware sowie die proaktiven HIPS-Schutzfunktionen von Emsisoft Online Armor, überwachen ständig alle aktiven Programme und schlagen sofort Alarm, sobald eine suspekte Aktion ausgeführt wird. Damit werden Manipulationsversuche des Browsers durch Financial Malware sofort erkannt und sicher blockiert. Versuchte Umleitungen von Domains an Angreifer-Server verhindert die Überwachung der „Hosts“-Datei.
- Dank dem Internetschutz von Emsisoft Anti-Malware wird der Besuch tausender als schädlich eingestufter Webseiten gleich von vorn herein unterbunden. Die Liste mit Malware- und Phishing-Hosts wird stündlich aktualisiert, so dass vielen Gefahren im Vorfeld aus dem Weg gegangen werden kann.
- Emsisoft Online Armor richtet sich an erfahrene Anwender und ermöglicht die Kontrolle über alle Internetverbindungen. Möchte Malware mit einem Server Kontakt aufnehmen, beispielsweise zum Übersenden von Daten, wie gestohlenen TANs, kann das schnell und einfach unterbunden werden.
Die herausragende Schutzleistung von Emsisoft Anti-Malware in Punkto Online-Banking wurde übrigens von der unabhängigen Anti-Virus-Testagentur MRG-Effitas bestätigt. In einem extrem aufwändigen Test wurden typische Angriffsmuster von Financial Malware wie Zeus, Citadel und SpyEye in mehreren Varianten simuliert.
Dabei wurden auch verschiedene Verbreitungswege wie Download per Internet Explorer oder die Verwendung eines USB-Sticks nachgestellt. Die getesteten Programme mussten zumindest das Senden aufgezeichneter Banking-Daten an einen Server unterbinden, um einen Testdurchlauf zu bestehen.
Das eigentlich erschreckende Ergebnis: Von 32 getesteten Programmen haben es nur 4 geschafft, alle Tests ohne Zuhilfenahme des Benutzers zu bestehen. An vorderster Stelle Emsisoft Anti-Malware, das in allen Durchläufen bereits die Ausführung der Schadsoftware erkannt und zuverlässig blockiert hat. Finanzmalware kommt also nicht einmal dazu, den PC zu infizieren und Daten überhaupt mitzuschneidet. Den ausführlichen Testreport finden Sie hier (Englisch).
Eine Malware freie Zeit wünscht
Ihr Emsisoft Team