29.06.2012, 00:00 Uhr
Globaler High Roller-Hackerring plündert Firmenkonten
Nach eigenen Angaben haben der Antivirenhersteller McAfee und das Sicherheitsunternehmen Guardian Analytics gemeinsam einen seit Anfang des Jahres agierenden internationalen Ring von Online-Banking-Kriminellen aufgespürt. Einem Bericht (PDF-Datei) zufolge räumten Hacker des sogenannten ?High Roller?-Rings weltweit mindestens 60 Millionen Euro bis geschätzte zwei Milliarden Euro von globalen Firmenkonten ab. Dabei standen mit ungefähr 35 Millionen Euro besonders niederländische Firmen im Visier der Täter. Von 176 Konten deutscher Firmen sollen die Täter etwa eine Million Euro erbeutet haben. Auch in Italien, Lateinamerika und Nordamerika sind die Kriminellen aktiv.
Laut Hans-Peter Bauer, dem Europa-Chef von McAfee, zielten die jetzt entdeckten Attacken auf die gesamte Finanzbranche ab. Dabei sind globale Banken ebenso betroffen wie kleine Regionalbanken. Die ?High Roller? seien dabei aufgeteilt in mindestens zwölf professionelle Gruppen, die offenbar über tiefergehende Kenntnisse von Banktransaktionen verfügen. Sie verwenden dabei eine Malware, die das erbeutete Geld automatisch auf legale Kurierkonten ("Mule-Konten") überweist, die das Geld dann wiederum auf andere Konten weiterleiten. Für die Transaktion benötigt das Schadprogramm keine Interaktion des Benutzers. Die einzelnen Überweisungen belaufen sich dabei auf bis zu 100.000 Euro.
Laut McAfee machte der Ring mit angepassten Versionen der Online-Banking-Trojaner ZeuS und SpyEye auch keinen Halt vor Konten mit Zwei-Faktor-Authentifizierung. Zuvor fanden die Kriminellen durch einfache Recherchen im Netz heraus, bei welchen Finanzinstituten die jeweiligen Firmen Kunden sind. Anschliessend lockten sie die Opfer per Link auf eine speziell präparierte Webseite, um von dort aus die Spionagesoftware einzuschleusen.
Sobald sich Opfer mit infizierten Systemen dann beim Online-Banking anmelden, spionieren die Täter zunächst die Konten mithilfe eines Man-in-the-Browsers aus. Erst bei erneutem Einloggen räumt dann die Malware etwa 10 Prozent von dem Konto ab, auf dem sich das höchste Guthaben befindet. Um unentdeckt zu bleiben, blendet der Schädling die Abbuchungen selbst und die Möglichkeit, sie online auszudrucken, von der Transaktionsliste aus.
Um die Zwei-Faktor-Authentifizierungen zu umgehen, gab das Programm vor, dass sich der Bankkunde aufgrund einer Umstellung schon während der Logins authentifizieren muss. Auf diese Weise ermittelte der Schädling die frisch generierten Token, die für Abbuchungen erforderlich sind. Geschädigt wurden aber auch Bankkunden, die sich mit dem EMV-Verfahren, also mit Chip und PIN einloggen. Die Überweisungen selbst führte der Schädling dann in einem iFrame im Hintergrund durch. Es sollen dabei insgesamt 60 Server zum Einsatz gekommen sein, über die die Transaktionen abliefen. (ph/com!)
Siehe auch: Android-App soll über NFC spionieren, Nullsoft beseitigt kritische Lücken in Winamp, Das überarbeitete Microsoft Sicherheitstool EMET warnt vor Angriffen, Botfrei.de bietet jetzt Browser- und Plugin-Check
Laut Hans-Peter Bauer, dem Europa-Chef von McAfee, zielten die jetzt entdeckten Attacken auf die gesamte Finanzbranche ab. Dabei sind globale Banken ebenso betroffen wie kleine Regionalbanken. Die ?High Roller? seien dabei aufgeteilt in mindestens zwölf professionelle Gruppen, die offenbar über tiefergehende Kenntnisse von Banktransaktionen verfügen. Sie verwenden dabei eine Malware, die das erbeutete Geld automatisch auf legale Kurierkonten ("Mule-Konten") überweist, die das Geld dann wiederum auf andere Konten weiterleiten. Für die Transaktion benötigt das Schadprogramm keine Interaktion des Benutzers. Die einzelnen Überweisungen belaufen sich dabei auf bis zu 100.000 Euro.
Laut McAfee machte der Ring mit angepassten Versionen der Online-Banking-Trojaner ZeuS und SpyEye auch keinen Halt vor Konten mit Zwei-Faktor-Authentifizierung. Zuvor fanden die Kriminellen durch einfache Recherchen im Netz heraus, bei welchen Finanzinstituten die jeweiligen Firmen Kunden sind. Anschliessend lockten sie die Opfer per Link auf eine speziell präparierte Webseite, um von dort aus die Spionagesoftware einzuschleusen.
Sobald sich Opfer mit infizierten Systemen dann beim Online-Banking anmelden, spionieren die Täter zunächst die Konten mithilfe eines Man-in-the-Browsers aus. Erst bei erneutem Einloggen räumt dann die Malware etwa 10 Prozent von dem Konto ab, auf dem sich das höchste Guthaben befindet. Um unentdeckt zu bleiben, blendet der Schädling die Abbuchungen selbst und die Möglichkeit, sie online auszudrucken, von der Transaktionsliste aus.
Um die Zwei-Faktor-Authentifizierungen zu umgehen, gab das Programm vor, dass sich der Bankkunde aufgrund einer Umstellung schon während der Logins authentifizieren muss. Auf diese Weise ermittelte der Schädling die frisch generierten Token, die für Abbuchungen erforderlich sind. Geschädigt wurden aber auch Bankkunden, die sich mit dem EMV-Verfahren, also mit Chip und PIN einloggen. Die Überweisungen selbst führte der Schädling dann in einem iFrame im Hintergrund durch. Es sollen dabei insgesamt 60 Server zum Einsatz gekommen sein, über die die Transaktionen abliefen. (ph/com!)
Siehe auch: Android-App soll über NFC spionieren, Nullsoft beseitigt kritische Lücken in Winamp, Das überarbeitete Microsoft Sicherheitstool EMET warnt vor Angriffen, Botfrei.de bietet jetzt Browser- und Plugin-Check