Trojaner klauen Bank-Kunden PINs und TANs

Nach den ersten Meldungen von fast erfolgreichen Betrugsversuchen durch Phishing mit gefälschten Webseiten mehren sich nun auch die Hinweise, dass auch Trojaner unter Windows bereits aktiv PINs und TANs abfischen und anschließend an Betrüger weiterleiten -- dazu nutzen sie Schwachstellen im Internet Explorer. Die Zeitschrift Internet World berichtet in einer Mitteilung von einem Fall, in dem der Trojaner TR/small.az3 (alias Bizex-E) beim Versuch einer Online-Überweisung eines Dresdner-Bank-Kundens die PIN- und TAN-Eingabe weiterleitete und danach die Verbindung zum Bank-Server mit einer Fehlermeldung im Internet Explorer unterbrach. Anschließend überwiesen Betrüger 6.800 Euro auf ein Konto in Lettland. Erst nachdem der Kunde einen anderen Browser benutzte, gelang ihm der erneute Zugriff auf den Bank-Server -- vom dem bereits das Geld abgebucht worden war. Allerdings konnte die Dresdner Bank die Überweisung noch rechtzeitig rückgängig machen. Weitere Betrugsfälle seien der Bank bislang nicht bekannt, man habe aber Anzeige erstattet.

Heise Security liegen mittlerweile Informationen eines Postbank-Kunden vor, dem eine größere Summe auf die gleiche Weise abhanden gekommen ist. Nach der Eingabe von PIN und TAN brach die Verbindung zum Server ebenfalls zusammen. Wenige Stunden später war das Konto um etliche tausend Euro erleichtert. Nach Angaben der Postbank konnte man auf Grund der schnellen Reaktion des Kunden auch diesen Betrag wieder zurückbuchen. Ein erster Virenscan des Systems durch das Opfer blieb ohne Befund, nach Angaben der Virenspezialisten von H+BEDV sei es auch schwierig, den Schädling zu identifizieren, da er in mehreren Teilen auf das System geladen wird. Zumindest Antivir würde aber mit den seit Montag verfügbaren Signaturen (6.27.00.47) den Trojaner als TR/small.az3 erkennen. Sophos und andere Hersteller von Antivirensoftware führen einen ähnlichen Schädling unter der Bezeichnung Troj/Bizex-E.

Vor dem ersten Bizex-Trojaner warnte schon Kaspersky im Februar. Der Schädling suchte auf infizierten PCs nach Daten installierter Zahlungssysteme und sandte diese an Server ins Internet. Zudem war er in der Lage, HTTPS-Verkehr mitzulesen und diese Daten ebenfalls zu versenden. Damals sollen 50.000 Rechner infiziert worden sein. Obwohl meist Sicherheitslücken im Internet Explorer Ursache für das Eindringen eines Trojaners sind, muss dieser nicht unbedingt den Weg über einen Web-Server ins System finden. Auch das Öffnen manipulierter Phishing-Mails kann bei ungepatchten Browsern zur Infektion führen.

Neben Trojanern sind auch so genannte Browser Helper Objects (BHO) im Internet Explorer in der Lage, Tastatureingaben mitzulesen und weiterzusenden. Vor wenigen Monaten warnte das Internet Storm Center vor solchen Tricks.

Auch wenn bislang nur Einzelfälle zu PIN- und TAN-Klau durch Trojaner bekannt wurden, zeichnet sich doch ein klarer Trend ab: Der Anwender wird an allen Fronten von Betrügern und Trojanern angegriffen. Anwender können sich vor solchen Attacken durch das Installieren der für Windows verfügbaren Sicherheits-Updates schützen. Zudem kann ein Virenscanner in den meisten Fällen vor Trojaner-Infektionen bewahren, eine Personal Firewall ergänzt den Schutz. Seit Service Pack 2 für Windows XP kann der Anwender sich im Internet Explorer auch etwaige installierte BHOs mit dem Add-on-Manager anzeigen lassen und gegebenenfalls deaktivieren.

Weitere Hinweise zum Schutz vor Viren, Würmer und Trojaner gibt es auf den Antiviren-Seite von heise Security.

Wer sich nicht mehr sicher ist, ob sein System infiziert ist, sollte im Zweifelsfall lieber die Überweisung am Bankschalter abgeben und alsbald seinen Rechner genauestens untersuchen. Um den TAN-Klau zu erschweren, hat beispielsweise die Postbank seit November vergangenen Jahres die mobile TAN eingeführt, die für jede Transaktion auf das Handy gesendet wird und nur wenige Minuten gültig ist. Bei Problemen mit dem Online-Banking und vermuteten Betrugsversuchen sollten sich Kunden immer zuerst an ihre Bank wenden. (dab)