Operation Emmental: Sicherheitsmechanismen für Online-Banking ausgehebelt

Ob Schokolade, Uhren, Käse oder das Bankgeheimnis – es gibt viele Dinge, für die die Schweiz weltweit bekannt ist. Doch ausgerechnet beim Online-Banking könnte der gute Ruf Kratzer bekommen. Zwar haben Banken verschiedene Methoden entwickelt, sodass Cyberkriminelle keinen Zugriff auf Online-Konten bekommen. Forscher des IT-Sicherheitsanbieters Trend Micro haben jetzt einen Angriff („Operation Emmental“) aufgedeckt, bei dem eine häufig genutzte Form der Zwei-Faktor-Authentifizierung genutzt wird und der Schutz durch Sitzungs-Token, die per SMS an die mobilen Endgeräte der Kunden gesendet werden, ausgehebelt wird.

Hinter dem Angriff stecken aller Wahrscheinlichkeit nach Cyberkriminelle, die in einem russischsprachigen Land leben. Laut Trend Micro sind Bankkunden in der Schweiz und in Österreich betroffen, der Anbieter hat die betroffenen Banken und Unternehmen über den Angriff informiert.

Die Palette der Schutzmechanismen beim Online-Banking reicht von simplen Passwörtern über PIN- und TAN-Nummern bis hin zu Sitzungs-Token, die per SMS an die Mobilgeräte gesendet werden, so dass Anwender ihre Identität authentifizieren und die Banking-Sitzungen aktivieren können. Da die Token über einen separaten Kanal gesendet werden, wird diese Methode der Zwei-Faktor-Authentifizierung allgemein als sicher angesehen. Einige der untersuchten Banken nutzen beispielsweise auch Foto-TANs oder die Ausgabe physischer Kartenlesegeräte. Beim Großteil ihrer Kunden kommen jedoch Sitzungs-Token zum Einsatz, die per SMS übertragen werden.

So löchrig wie Schweizer Käse: Vorbereitung des Angriffs

Dies machten sich die Cyberkriminellen zunutze und umgingen den Schutz auf folgende Weise: Der Angriff beginnt mit einer E-Mail, die vermeintlich von einem bekannten Online-Versandhändler oder einem ebenfalls weit verbreiteten Konsumgüterunternehmen stammt. Sobald Anwender die Datei im E-Mail-Anhang öffnen, wird eine zweite Datei („netupdater.exe“) heruntergeladen und ausgeführt, die den Rechner infiziert. Die Malware nimmt nun drei Änderungen auf dem PC vor:

– Sie ändert die DNS-Servereinstellungen (DNS = Domain Name System) des Systems und verweist auf einen Server, der unter der Kontrolle der Angreifer steht – ab diesem Punkt können die Angreifer steuern, wie das infizierte System Namen von Internet-Domains auflöst.

– Sie installiert ein neues SSL-Zertifikat einer Root-Certificate-Authority (SSL = Secure Sockets Layer) – hierdurch können die Angreifer Inhalte von SSL-verschlüsselten Phishing-Websites anzeigen, ohne eine Browser-Warnung auszulösen. SSL-Verschlüsselung wird vor allem mit dem https-Übertragungsprotokoll eingesetzt.

– Sie löscht sich selbst, ohne Spuren zu hinterlassen – dies erschwert es Anwendern, die Infektion nach der Installation zu entdecken. Die eigentliche Infektion ist nicht die Malware, sondern lediglich eine Konfigurationsänderung im System. Wenn der Infektionsversuch nicht sofort entdeckt wurde, wird bei darauf folgenden Malware-Suchen keine Bedrohung erkannt, da die Datei dann nicht mehr vorhanden ist (siehe Abbildung 5 im Forschungsbericht).

Löcher gibt es nicht nur im Käse: Ablauf des Angriffs

Anwender, deren Rechner infiziert wurden, werden bei jedem Versuch, Online-Banking zu betreiben, auf einen Phishing-Server umgeleitet und landen auf einer gefälschten Seite. Weil diese Kommunikation über eine sichere https-Verbindung erfolgt, können Anwender nicht erkennen, dass sie nicht mit ihrer Bank kommunizieren: Da auf dem System ein gefälschtes Zertifikat installiert ist, wird ihnen keine Browser-Warnung angezeigt.

Sobald die Anwender Benutzername, Konto- und PIN-Nummer eingeben, werden sie aufgefordert, eine App auf ihrem Smartphone zu installieren (siehe Abbildung 10 im Forschungsbericht). Angeblich ist ohne die App in Zukunft kein Online-Banking mehr möglich. Diese bösartige Android-App gibt vor, ein Session-Token-Generator der Bank zu sein – in Wirklichkeit dient sie dazu, die SMS-Nachrichten der Bank abzufangen und sie an einen Befehls- und Kontroll-Server (C&C-Server) weiterzuleiten. Die Angreifer erhalten über die Phishing-Website sowohl die Anmeldeinformationen der Anwender zum Online-Banking als auch die für das Online-Banking nötigen Session-Token. Nun haben sie die volle Kontrolle über das Bankkonto der Anwender und können in deren Namen Online-Transaktionen ausführen.

Martin Rösler, Leiter des Bedrohungsforscher-Teams bei Trend Micro, erklärt zu dem Angriff: „Bei ‚Operation Emmental‘ handelt es sich um einen komplexen Angriff mit mehreren Komponenten und einer umfangreichen Infrastruktur. Dass sich der markanteste Teil des Angriffs – die PC-Malware – selbst löscht, ohne Spuren zu hinterlassen, half den Angreifern vermutlich, sich relativ bedeckt zu halten.“

„Anders als bei mTAN-Verfahren, bei denen für jede Transaktion eine einzelne TAN-Nummer angefordert wird, können die Cyberkriminellen mithilfe des Sitzungs-Token unbemerkt mehrere Transaktionen während einer Sitzung ausführen“, ergänzt Rainer Link, Mitglied des Bedrohungsforscher-Teams bei Trend Micro und einer der Autoren. „Sie können die Online-Banking-Sitzung selbst starten, während die Anwender davon erst beim aufmerksamen Durchlesen ihrer Kontoauszüge erfahren. Das teilweise sehr umständliche Deutsch der Anweisungen heißt nicht zwangsweise, dass die Gefahr niedrig ist. Vielmehr ist es auch sehr gut möglich, dass die Cyberkriminellen hier Geldwäsche betreiben. Und sich dafür der Anwender bedienen, die weniger aufmerksam oder weniger versiert sind, was Online-Gefahren betrifft, und deshalb weniger auf die in einer Nachricht verwendete Sprache achten.“

Der Forschungsbericht zu „Operation Emmental“ kann hier kostenfrei heruntergeladen werden. (sg)