Die Sicherheitsexperten von
Trend Micro haben aufgedeckt, dass Schweizer Banken ins Visier von Cyberkriminellen geraten sind, die aus einem russischsprachigen Land stammen sollen. Laut einer Mitteilung soll der Angriff, der bei Trend Micro unter dem Namen "Operation Emmental" läuft, dabei mit einer E-Mail gestartet werden, die vermeintlich von einem bekannten Onlineversandhändler oder einem Konsumgüterunternehmen stammt. Öffnen User die Datei im Anhang, wird eine zweite Datei heruntergeladen und ausgeführt, die den Rechner dann infiziert. Anwender mit infiziertem Rechner werde schliesslich beim Versuch, Online-Banking zu betreiben, auf einen Phishing-Server umgeleitet. Weil diese Kommunikation über eine sichere HTTPS-Verbindung erfolgt, können Anwender nicht erkennen, dass sie nicht mit ihrer Bank kommunizieren. Da auf dem System ein gefälschtes Zertifikat installiert ist, wird ihnen keine Browser-Warnung angezeigt.
Sobald die Anwender Benutzername, Konto- und PIN-Nummer eingeben, werden sie aufgefordert, eine App auf ihrem Smartphone zu installieren, damit auch in Zukunft Online-Banking möglich sei. Diese bösartige Android-App gibt vor, ein Session-Token-Generator der Bank zu sein – in Wirklichkeit dient sie dazu, die SMS-Nachrichten der Bank abzufangen und sie an einen Befehls- und Kontroll-Server weiterzuleiten. Die Angreifer erhalten über die Phishing-Website sowohl die Anmeldeinformationen der Anwender zum Online-Banking als auch die für das Online-Banking nötigen Session-Token. So erlangen sie die volle Kontrolle über das Bankkonto der Anwender und können in deren Namen Onlinetransaktionen ausführen.
Ziel der Angreifer seien nebst Bankkunden aus der Schweiz auch österreichische. Trend Micro hat die entsprechenden Banken und Unternehmen über den Angriff informiert. Den gesamten Forschungsbericht zur "Operation Emmental" findet man
hier.
(abr)