TAN-Trojaner manipuliert Bankenseiten im Browser

Ein neuer Banking-Trojaner soll in der Lage sein, eigene Inhalte in die Seiten echter Bankseiten einzubinden, um Anwendern ihre PIN und TAN zu stehlen.

In Pocket speichern vorlesen Druckansicht 245 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Daniel Bachfeld

Ein neuer Banking-Trojaner soll in der Lage sein, eigene Inhalte in die Seiten echter Bankseiten einzubinden, um Anwendern ihre PIN und TAN zu stehlen. Mitarbeiter des österreichischen Unternehmens AAX Business Solutions sind nach eigenen Angaben bei der Analyse eines infizierten PC auf den Schädling gestoßen. Dieser tauscht offenbar beim Aufruf bestimmer Bankseiten Log-in-Frames im Browser gegen eigene aus, um darin nach der PIN und mehreren TANs zu fragen und nach der Eingabe an den Server der Betrüger zu schicken. Getestet hatten die Mitarbeiter Seiten der österreichischen Banken Raiffeisen, Sparkasse und PSK.

Unglücklicherweise nutzt dem Anwender bei derartigen Angriffen auch das Prüfen der Sicherheitsmerkmale nicht viel: Das Schloss im Browser ist geschlossen, und das Zertifikat stammt auch wirklich von der Bank. Nach den heise Security vorliegenden Informationen macht sich der Trojaner dabei wohl einen Fehler des Internet Explorer zu Nutze. In den Voreinstellungen erlaubt Microsofts Browser so genannte Cross-Domain-Manipulationen. Dabei wertet der Browser auch nur die Sicherheitsinformationen des Hauptframes, aus und die stammen von der echten Seite. Dieses Problem der "Phishing mit Frames" ist bereits seit zwei Jahren bekannt. Bei Browser wie Firefox, Mozilla, Opera, Konqueror und Safari ist es längst behoben, beim Internet Explorer nicht.

Bereits 2004 wies heise Security in seinem Browsercheck auf den Sachverhalt und die Möglichkeit hin, dass Betrüger Phishing-Seiten aufsetzen könnten, die von den echten Seiten der Bank kaum zu unterscheiden sind. Banken wie die SEB, die Postbank und die Deutsche Bank haben mittlerweile ihre Seiten umgestellt und verzichten auf den Einsatz von Frames. Andere ergreifen spezielle Schutzmaßnahmen, um Missbrauch zu verhindern. So arbeitet die Hypo-Bank mit zufälligen Frame-Namen, die Dresdner überwacht via JavaScript die Integrität des Framesets. Die Browsercheck-Demo zeigt jedoch, dass dieses Phishing mit Frames beispielweise bei der DiBa immer noch funktioniert. Auch bei den österreichischen Banken wie der PSK und der Sparkasse kommen aber offenbar teilweise noch ungeschützte Frames zum Einsatz.

Wie der Trojaner auf den Rechner gelangt ist, ist noch unklar. Zahlen über seine Verbreitung liegen nicht vor. Ein installierter Virenscanner soll ihn zudem nicht erkannt haben.

Siehe dazu auch: (dab)