Online-Banking-Trojaner hat es auf chipTAN-Nutzer abgesehen

Der Trojaner Tatanga versucht derzeit mit einer neuen Masche Online-Banking-Nutzer abzuzocken, die das sogenannte chipTAN-comfort-Verfahren nutzen.

Bei chipTAN comfort muss bei jeder Transaktion die Bankkarte in ein spezielles Lesegerät gesteckt werden, das anschließend auf ein blinkendes Feld auf dem PC-Bildschirm gehalten wird – den sogenannten Flickercode. Durch das Blinken übermittelt die Bank Informationen über die anstehende Transaktion an den Reader, woraufhin dieser eine hierzu passende Transaktionsnummer (TAN) generiert. Mit der Eingabe der TAN schließt der Bankkunde die Transaktion schließlich ab.

Die Virenexperten von Trusteer haben eine Tatanga-Version entdeckt, die als Man-in-the-Browser nach dem dem Login in die Bankenwebseite vorgibt, dass ein Test des chipTAN-Verfahrens durchgeführt werden muss. Hierzu soll der Nutzer den Reader auf einen Flickercode halten und die generierte TAN in ein spezielles Formular eintippen. Wer der Aufforderung Folge leistet, ist anschließend ärmer: Die vermeintliche Test-TAN wird von den Ganoven für eine echte Überweisung genutzt.

Die Anweisungen erhält das Opfer in passablem Deutsch:

1. Stecken Sie Ihre Chipkarte in den TAN-Generator und drücken "F".
2. Halten Sie den TAN-Generator vor die animierte Grafik. Dabei müssen die Markierungen (Dreiecke) von der Grafik mit denen auf Ihrem TAN-Generator übereinstimmen.
3. Prüfen Sie die Anzeige auf dem Leserdisplay und drücken "OK".
4. Prüfen Sie die Hinweise (Empfänger-Kontonummer (ohne führende Nullen), Bankleitzahl des Empfängers und Betrag) auf dem Leserdisplay und bestätigen diese dann jeweils mit "OK" auf Ihrem TAN-Generator.

Zwar werden die Daten zu der betrügerischen Überweisung tatsächlich auch im Display des Readers angezeigt, doch darauf sind die Abzocker vorbereitet: Sie lassen die Daten auch auf dem Bildschirm des Opfers erscheinen und fordern es auf, die Angaben zu der vermeintlichen Test-Überweisung auf PC-Bildschirm und Reader zu vergleichen.

Damit der Schwindel nicht allzu schnell auffliegt, manipuliert Tantanga die Online-Banken-Webseite künftig so, dass die betrügerische Transaktion nicht sichtbar ist. Auch den Kontostand passt der Trojaner entsprechend an. Wie verbreitet die Malware ist, dazu macht Trusteer keine Angaben. (rei)