zurück zum Artikel

Die Hintermänner von Online-Banking-Trojanern legen neuerdings falsche Fährten, um ihre Verfolger in die Irre zu führen. Dabei könnten dann Unbeteiligte in den Verdacht der Geldwäsche geraten.

Die Hintermänner von Online-Banking-Trojanern legen neuerdings falsche Fährten, um Strafverfolger in die Irre zu führen. So hat Aviv Raff von den RSA FraudAction Research Labs herausgefunden [1] , dass der Kontroll-Server des URLZone-Bot-Netzes absichtlich falsche Daten liefert, wenn er Verdacht schöpft, dass man ihn aushorchen will.

Für Betrügereien beim Online Banking setzen die Kriminellen schon seit Längerem so genannte "Money Mules" ein. Diese "Geldesel" agieren bei gefälschten Überweisungen als Geldwäscher. Sie verpflichten sich, das eingehende Geld – abzüglich ihrer Provision – über Dienste wie Western Union an eine Adresse im Ausland zu schicken. Der Banking-Trojaner auf dem PC des Betrugsopfers holt sich die Kontonummer des Finanzagenten, auf die er die Überweisungen umleiten soll, jeweils vom Kontroll-Server seines Herrn und Meisters.

Die im Auftrag der Banken arbeitenden Sicherheitsspezialisten wie die RSA FraudAction Research Labs versuchen deshalb, die ihnen bekannten Bot-Net-Server auszuhorchen, indem sie sich als infizierte Opfer tarnen. Wenn man die aktiven Finanzagenten einer Gang kennt, kann man die fingierten Überweisungen frühzeitig entdecken und sperren. Dabei hat der Sicherheitsexperte Aviv Raff jetzt festgestellt, dass ihm der Server die Kontodaten von Unbeteiligten unterjubeln wollte. Offenbar hat der Bot-Netz-Server erkannt, dass es sich bei dem angeblichen Zombie nicht wirklich um ein Opfer handelte, und legte deshalb bewusst falsche Fährten aus.

Interessanterweise waren die Daten der gefälschten Esel nicht zufällig gewählt. Laut Raff handelte es sich durchweg um Kontodaten, die zuvor ein Trojaner-Opfer als Empfänger einer echten Überweisung benutzt hatte. Indem sie die Aktivitäten ihrer Opfer beobachten, erstellen die Gangster im Lauf der Zeit eine lange Liste von gültigen Bankverbindungen, die sie unter anderem für falsche Spuren einsetzen können. Die nichts Böses ahnenden Eigentümer könnten dann unter Umständen sogar in den Verdacht der illegalen Geldwäsche geraten, weil ja auf ihr Konto Geld überwiesen werden sollte.

Erst kürzlich wies die Sicherheitsfirma Finjan darauf hin, dass URLZone noch ein paar andere Spezialitäten im Repertoire hat. Dass Banking-Trojaner als "Man in the Browser" die angezeigten Web-Seiten der Bank manipulieren und die Liste der Überweisungen und Kontostand anpassen, um ihre Aktivitäten möglichst lange zu verschleiern, ist bereits seit einiger Zeit bekannt. Doch URLZone geht noch einen Schritt weiter und überprüft vor einem Raubzug anscheinend Kontostand und Dispo-Kredit seines Opfers, um nicht versehentlich durch Überziehung des Kontos Alarm zu schlagen und aufzufliegen.

All das zeigt, dass die Betrüger ganz offenbar auf den zunehmenden Druck durch private Ermittler und Strafverfolgungsbehörden reagieren. Besonders beunruhigend: URLZone hat sich offenbar auf Europa und dabei insbesondere auf deutsche Banken spezialisiert. Finjans Beispiele [2] beziehen sich auf die Postbank. Deren Kunden könnten sich jedoch durch den Einsatz von mTANs [3] schützen. Bei der Kontrolle von Betrag und Empfängerkonto in der SMS mit der mobilen TAN fliegt der Betrugsversuch dann unweigerlich auf.

Siehe dazu auch:

• BKA: iTAN-Verfahren keine Hürde mehr für Kriminelle [4] auf heise Security

(ju [5])

URL dieses Artikels:
https://www.heise.de/-813074

Links in diesem Artikel:
[1] http://rsa.com/blog/blog_entry.aspx?id=1530
[2] http://www.finjan.com/Content.aspx?id=1367
[3] http://www.postbank.de/privatkunden/pk_direktportal_vorteile_mtan.html
[4] https://www.heise.de/news/BKA-iTAN-Verfahren-keine-Huerde-mehr-fuer-Kriminelle-219497.html
[5] mailto:ju@ct.de

Copyright © 2009 Heise Medien