SECURITY2. Juli 2014

Malware räumt Bankkonten ab

Bild: jhphotos/bigstock.com

Schadsoftware wie Citadel oder SpyEye will hauptsächlich eins: Bankkonten über das Netz abräumen. Selbst das SMS-TAN-Verfahren bietet keinen Schutz gegen die erschreckend leistungsstarke Malware. Strafverfolger sind den Hackern und Hintermännern nicht gewachsen – deshalb heuern Banken zunehmend ein Team aus israelischen Ex-Soldaten an: die RSA.

Einstiegspreis: 1500 US-Dollar. So viel müssen angehende Online-Kriminelle für Citadel ausgeben. Citadel ist die derzeit wohl tückischste und leistungsfähigste Schadsoftware zum Abzocken von Online-Bankingnutzern. Der Schädling ist nach wie vor gewissermassen frei verkäuflich: Seine Macher priesen den digitalen Dieb in Untergrundforen an. Neben der Basisvariante wurden Erweiterungsmodule verkauft, beispielsweise ein Tool zum Entfernen anderer Banking-Trojaner vom PC des Opfers (100 US-Dollar). Oder ein Modul zum Aufzeichnen von Tastatureingaben in Banking-Software oder auf Online-Pokerwebseiten (100 Dollar). Wer vollständige Paket „VIP Extreme Edition“ einschließlich aller Erweiterungen will, muss 3000 US-Dollar bezahlen.

Executive Summary
Sicherungsverfahren wie mTAN sind nicht mehr sicher. Hacker schleusen Malware in Browser ein, die die Inhalte des Online-Bankings verändern. Schädlinge greifen auf den Maschinen alles ab, was sich später eventuell im Untergrund zu Geld machen lässt. Der Artikel gibt einen Überblick über die gängigsten Schädlinge und Angriffsmuster der Kriminellen.
Das ist nicht viel Geld angesichts der zu erwartenden Beute: Laut einer Untersuchung, die von den Antivirenspezialisten von McAfee zusammen mit dem Sicherheitsunternehmen Guardian Analytics, wollte ein einzelner Ring von Online-Betrügern 60 Millionen Euro von den Bankkonten seiner Opfer per Schadsoftware abzweigen. Einzelne Überweisungen betrugen bis zu 100.000 Euro. Eine Million sollte von knapp 170 deutschen Konten stammen. Die von den Forschern „Operation High Roller“ („High Roller“ werden in Spielcasinos die Spieler bezeichnet, die sehr hohe Summen setzen) getaufte Untersuchung brachte zu Tage, dass die Gauner theoretisch bis zu zwei Milliarden Euro hätten erbeuten können. Wie hoch der tatsächliche Schaden ist konnten die Unternehmen nicht zu sagen.

Dass die Schäden beträchtlich sind, ist unbestritten: „ Jeden Tag sehe ich, wie Kriminelle sich um hunderttausende Euro, Dollar oder Pfund bereichern“, sagt Allesa Koll. Sie arbeitet beim IT-Sicherheitsunternehmen #RSA und durchforstet Tag für Tag die Niederungen des Internets. Dabei ist sie immer in Kontakt mit Online-Betrügern.

Digitale Datendiebe

Gemeinsam mit 130 Kollegen überwacht sie im Schichtdienst rund um die Uhr über 170 Untergrundforen, in denen allerlei Zweifelhaftes gehandelt wird: Von Schadsoftware wie Citadel über Waffen bis hin zu verschreibungspflichtigen Medikamenten. Außerdem beobachten die in RSAs „Anti Fraud Commanc Center (AFCC)“ beschäftigten Mitarbeiter Chat-Kanäle, in denen zwielichtige Händler geklaute Kreditkartendaten in Hunderter- oder Tausenderpaketen feil bieten; Phishing-Webseiten, die den Originalen so täuschend ähnlich sehen, dass selbst gut informierte Zeitgenossen fatalerweise ihre Anmeldedaten dort eingeben – und sie damit sofort dem Cyber-Untergrund übereignen.

IT-Sicherheitsunternehmen wie RSA durchforsten die Niederungen des Internets Bild: Uli Ries / AFCC
IT-Sicherheitsunternehmen wie RSA durchforsten die Niederungen des Internets
Bild: Uli Ries / AFCC

Quelle der verkauften Daten sind fast immer mit Trojanern wie Citadel oder SpyEye infizierte PCs. Letzterer ist einer von Microsoft veröffentlichten Statistik zufolge die in Deutschland am weitesten verbreitete Schadsoftware: Mehr als 20 Prozent aller von Malware bereinigten PCs waren mit SpyEye verseucht.

Die Schädlinge greifen auf den Maschinen alles ab, was sich später eventuell im Untergrund zu Geld machen lässt. Auf den düsteren Cyber-Marktplätzen sind die Gauner aber nicht unter sich – sondern stets unter Beobachtung, zum Beispiel durch das AFCC. Die RSA-Mitarbeiter gehen im Auftrag der großen Namen der internationalen Finanzwelt undercover in den Untergrund: Barclays, Charles Schwab, HSBC, ING, Mastercard, Visa sind offiziell Kunden – viele wollen nicht genannt werden. Obwohl ihre Logos gut sichtbar die Eingangstür zum AFCC zieren, wollen sich die RSA-Kunden nicht äußern, warum man ein privates Unternehmen mit Aufgaben betraut, die üblicherweise von Strafverfolgungsbehörden erledigt werden. Auch das Bundeskriminalamt will auf Nachfrage keinen Kommentar abgeben. 

Bild: Uli Ries / AFCC
Bild: Uli Ries / AFCC

Wir zahlen niemals für Konto- oder Kreditkartendaten. Die Informationen, die wir zum Sperren der Konten und Karten an die Banken weitergeben, stammen sämtlich aus Testlieferungen. Die Betrüger schicken sie uns, um die Qualität ihrer geklauten Datenbestände zu untermauern“, sagt die ehemalige Polizistin Allesa Koll.

Mehr als eine Million Kreditkartennummern will das AFCC bislang aufgespürt haben. Es obliegt nach Alarmierung durch das AFCC dann der jeweiligen Bank, den betroffenen Kunden darüber zu informieren, dass sein PC wahrscheinlich mit der gefährlichen Schadsoftware verseucht ist.

Allein die Funktion zum Absaugen von Daten würde Citadel und seine Vorgänger ZeuS und SpyEye noch nicht so gefährlich machen. Das Besondere an der Crimeware-Familie – Urahn ist ZeuS, auf dessen Programmcodebasis dann später SpyEye und zuletzt Citadel entstanden – sind die speziellen Angriffsfunktionen auf Onlinebankingsysteme von Banken.

Typischerweise basiert ein ZeuS-, SpyEye- oder Citadel-Crimeware-System auf mehreren Modulen:
1 Einem Tool namens Exe- oder Citadel-Builder (je nach Version), mit dessen Hilfe der eigentliche Trojaner erzeugt und dessen Konfigurationsdateien verschlüsselt werden; in der Konfigurationsdatei steht beispielsweise, unter welcher Adresse der Command & Control-Server zu erreichen ist.
2 Einem Command & Control-Server, der die infizierten PCs zu weiteren Aktionen neben dem Datenklau anweist; zu diesen Aktionen gehören typischerweise der Versand von Spam oder die Teilnahme an einer DDoS (Distributed Denial of Service)-Attacke.
3 Einem Web-Interface, mit dem die infizierten PCs ferngesteuert werden (im Fall von ZeuS beispielsweise ZeuS Admin Panel genannt).
4 Einer sogenannten Dropzone, in der die erbeuteten Daten abgelegt werden.

Vor dem Verkauf von gestohlenen Kreditkartendaten ist es üblich dem Käufer mit Testdaten die Qualität der Lieferung zu beweisen. Bild: Uli Ries / AFCC
Vor dem Verkauf von gestohlenen Kreditkartendaten ist es üblich dem Käufer mit Testdaten die Qualität der Lieferung zu beweisen.
Bild: Uli Ries / AFCC

Der Schädling selbst bringt eine Sammlung sogenannter Webinjects mit. Dies sind auf die Website der jeweiligen Bank abgestimmte Module, die das Layout der Bankenseiten kennen und daher an der genau passenden Stelle sowie in der richtigen Schriftart und -größe Hinweise oder neue Formularfelder einblenden können.

Spear Phishing entkommt der Überwachung

Wie gut die Schädlinge sind, lässt sich gut an der für die Operation High Roller verwendeten, angepassten Versionen der Online-Banking-Trojaner ZeuS und SpyEye erläutern. Insgesamt wollen McAfee und Guardian Analytics über 420 bis dahin unentdeckte Varianten der Schadsoftware entdeckt haben. Infiziert wurden die Rechner der Opfer – in diesem Fall durchgängig Mitarbeiter in Unternehmen, da die Angriffe nur gut gefüllte Firmenkonten ins Visier nahmen – durch bösartig modifizierte Webseiten. Auf diese wurden die PC-Nutzer mittels Spear Phishing gelockt. Beim Spear Phishing wird die Nachricht nur an eine geringe Zahl von Empfängern oder sogar nur eine E-Mail-Adresse geschickt. Durch vorherige Recherche wissen die Betrüger, welche E-Mail-Inhalte der Empfänger als glaubwürdig einstuft und damit auf den in der Nachricht enthaltenen Link klickt. Spear Phishing fliegt in aller Regel unter dem Radar von Dienstleistern wie dem AFCC, da die einzeln versandten E-Mails kein Aufsehen im Web erregen.

Meldet sich das Opfer mit dem verseuchten System zum ersten Mal bei der Online-Banking-Website an, kundschaftete die High-Roller-Malware den Kontostand aus. Möglich ist dies, da sich SpyEye & Co. als App beziehungsweise Bestandteil in den Browser einklinken und so jeden Datenverkehr vom und zum Server der Bank mitlesen und verändern können. Die übliche Verschlüsselung durch SSL (Secure Socket Layer, zu erkennen am „https“ in der Adresszeile des Browsers) wird dabei ausgehebelt. Das Verfahren „Man in the Browser“ (angelehnt an „Man in the Middle“-Attacken) kann so bereits auf die vom Browser entschlüsselten Daten zugreifen.

Erst bei der darauffolgenden Anmeldung durch den Banking-Anwender griff der Schädling dann ein und überwies einen zuvor von den Gaunern festgelegten Prozentsatz des auf dem Konto verfügbaren Betrags auf das Konto eines sogenannten „Money Mules“. Dies sind nichts ahnende, zuvor per Spam-Kampagne angeworbene Privatmenschen, deren Konten den wahren Empfänger der geklauten Summen verschleiern sollen.

Um die betrügerische Abbuchung im Onlinebankingsystem vor dem Opfer zu verbergen, manipuliert der „Man in the Browser“ die Transaktionsliste und verbirgt seine Überweisung. Eventuell auf der Seite vorhandene Links, mit denen sich den Raubzug entlarvende Kontoauszüge ausdrucken lassen, werden ebenfalls ausgeblendet.

Die APP "Android Security Suite Premium" (alias New ZitMo) fängt SMS ab und leitet die Information in Echtzeit auf einen Zielserver weiter. Bild: Uli Ries / AFCC
Die APP “Android Security Suite Premium” (alias New ZitMo) fängt SMS ab und leitet die Information in Echtzeit auf einen Zielserver weiter.
Bild: Uli Ries / AFCC

Sicher geltendes Verfahren ausgehebelt

Eine der wohl am meisten Besorgnis erregenden Erkenntnisse der Operation High Roller: Den Gaunern ist es mit Hilfe der Schädlinge gelungen auch Zwei-Faktor-Authentifizierungen zu umgehen! Dieses Sicherheitsverfahren fußt auf etwas, was der Nutzer kennt (Passwort, PIN-Code, TAN-Code) und etwas, was er besitzt. Mit letzterem sind beispielsweise Smartcards und die dazu gehörigen Lesegeräte gemeint. Ob das in Deutschland gängige HBCI (Home Banking Computer Interface)-Verfahren von der High-Roller-Malware ausgehebelt wurde, ist nicht bisher bekannt.

Hingegen seit längerem beobachtet werden erfolgreiche Angriffe auf SMS-TAN (mTAN) durch SpyEye & Co. Auch hier beginnt alles mit der Infektion des Windows-PCs des Online-Banking-Nutzers. Der Man in the Browser schleust per Webinject in die Webseite der Bank dann eine Meldung ein, dass beispielsweise neue Sicherheitszertifikate auf dem Smartphones des Kunden notwendig sein soll.
Diese vermeintlich die Sicherheit erhöhenden Zertifikate müssen vom Anwender entweder selbst über den entsprechenden Link installiert werden, oder kommen per MMS aufs Smartphone. Die eigene Handynummer gibt das Opfer in das vom Schädling in die Bankenseite eingeschleuste Feld ein.

Speziell in Untergrundforen  werden (vorzugsweise per IRC) werden die Geschäfte abgewickelt. Bild: Uli Ries / AFCC
Speziell in Untergrundforen werden (vorzugsweise per IRC) werden die Geschäfte abgewickelt.
Bild: Uli Ries / AFCC

Natürlich handelt es sich beim Download nicht um Zertifikate, sondern um eine weiteres Stück Malware. Einmal auf dem Smartphone (Android, Windows Mobile, Symbian, Blackberry; iPhone-Varianten sind derzeit nicht bekannt) installiert, leitet der Schädling von der Bank stammende TAN-Codes an die Hintermänner weiter. Diese können dann die vom PC aus eingeleitete Überweisung mit Hilfe des echten, geklauten Codes auf eigene Konten umleiten.

Im Fall von High Roller war es offenbar noch nicht einmal mehr notwendig, dass die Gauner selbst vor dem PC saßen und quasi live im Hintergrund die Überweisungsdetails wie Betrag und Empfänger manipulierten: Die Schadsoftware manipulierte die Anmeldeseite der Onlinebanking-Systeme so, dass die Opfer bereits an dieser Stelle alle notwendigen Daten an die Systeme der Betrüger übermitteln – inklusive des Einlegens einer eventuell notwendigen Smartcard. All das passiert vollkommen automatisch und ohne manuellen Eingriff durch die Kriminellen. Ihre Serversysteme – mehr als 60 verschiedene solcher Server entdeckte McAfee – kommunizieren mit den infizierten PCs und verzögern beispielsweise die Aktionen der Anwender entsprechend, um selbst im Hintergrund mit Hilfe der geklauten Codes Überweisungen ausführen zu können.

Undercover im Untergrund

Damit es gar nicht erst soweit kommt, dass potentielle Opfer auf Phishing-Links klicken, durchforsten die 25jährige Allesa Koll und ihre meist unter 30 Jahre alten Kollegen das Web. So gut wie alle der jungen Männer und Frauen sind ehemalige Soldaten der israelischen Armee. Daniel Cohen weiß, was er an den beim militärischen Sicherheitsdienst ausgebildeten Spürhunden hat: „Beim Umgang und vor allem beim Austausch mit Kriminellen ist Menschenkenntnis unabdingbar“, sagt der Leiter des eigens für das Aufspüren der Online-Kriminellen geschaffenen, nördlich von Tel Aviv in einem herkömmlichen Bürogebäude angesiedelten „Anti Frau Command Center“.

Eine Kundenliste gibt es bei der RSA nicht, aber die Kundenschilder am Eingang lesen sich wie das Who-is-Who der Branche. Bild: Uli Ries / AFCC
Eine Kundenliste gibt es bei der RSA nicht, aber die Kundenschilder am Eingang lesen sich wie das Who-is-Who der Branche.
Bild: Uli Ries / AFCC

Der Arbeitsalltag von AFCC-Spezialisten wie der gebürtigen Russin Koll macht deutlich, warum Banken sich Hilfe zukaufen: „Die Kreativität der Betrüger beim Abzocken ihrer Opfer ist faszinierend. Der Handel mit geklauten Logindaten für Online-Bankingzugänge oder Kredikarteninformationen blüht“, sagt Koll. Cohen ergänzt: „Wir wehren pro Tag zirka 1000 Angriffe auf Kunden des AFCC ab. Würden wir stets die internationalen Strafverfolger mit einbeziehen, könnten wir niemals so effizient arbeiten“, so Cohen weiter.

Nur kurze Wege bringen Erfolg

Stattdessen kontaktieren Koll und ihre Kollegen zuerst den Internetprovider, auf dessen Servern die vom AFCC ausfindig gemacht Passwortklau-Site installiert wurde. „Meistens reagieren die Kollegen bei den Providern weltweit umgehend und nehmen die Seiten aus dem Netz. Ignorieren sie unsere Bitten, wenden wir uns zu erst an die im jeweiligen Land zuständigen Internet-Notfallteams, die CERTs. Bleibt auch das ohne Folgen, erstatten wir Anzeige“, erklärt Daniel Cohen.

Koll spricht mehrere Sprachen, wie alle ihre Kollegen. Auch einen deutschsprachigen Kollegen trifft man im AFCC. So kann das Center die gängigen internationalen Schwarzmärkte überwachen und reibungslos mit den Kriminellen kommunizieren. „Ich habe mir eine maskuline Sprache angewöhnt, um mit den Betrügern im Netz zu sprechen“, sagt die junge Frau, die während ihrer Militärzeit im Polizeidienst stand.

Koll weiter: „Russische Abzocker sind nicht nur cleverer beim Erdenken von Betrugsmaschen als Betrüger aus anderen Staaten. Sie stehen auch eher zu ihrem Wort als beispielsweise afrikanische Online-Kriminelle. Wenn mein Alter Ego auf einem Untergrundmarktplatz undercover mit einem Russen eine Testlieferung vereinbart hat, dann löst er sein Versprechen auch ein. Nigerianer beispielsweise prahlen oft, können aber kaum liefern. Sie wollen andere Betrüger übers Ohr zu hauen.“ Ein gewagtes Spiel, da laut RSA-Mann Cohen zumindest in Russland das organisierte Verbrechen hinter großen Teilen der illegalen Onlinedeals steckt.

Eine Extravaganz der russischen und ukrainischen Kriminellen: Sie schädigen Opfer weltweit – nur nicht in der Heimat. „Auf diese Art fliegen die Betrüger zumindest bislang unter dem Radar der heimischen Strafverfolger. Sie verlassen sich darauf, dass ausländische Polizisten und Staatsanwälte mit ihren Ersuchen gar nicht soweit kommen, Ermittlungen in Russland anzustoßen“, sagt Daniel Cohen.

Die Vorsichtsmaßnahmen gehen soweit, dass sich Citadel nicht auf PCs mit russischer oder ukrainischer Tastaturbelegung installiert. So wollen die Betrüger einem Feind entgehen, vor dem selbst sie Respekt haben: den russischen Sicherheitsbehörden.

Autor: Uli Ries, freier Journalist mit Fokus IT-Sicherheit

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert