Gemäss dem aktuellen Halbjahresbericht der Melde- und Analysestelle Informationssicherheit des Bundes (MELANI) haben «klassische» Phishing-Angriffe auf E-Banking-Portale, beziehungsweise deren Kunden, in der Schweiz stark abgenommen. Der Grund ist einfach: Gemäss MELANI war kein einziger dieser Angriffe im ersten Halbjahr erfolgreich, und die Angreifer scheinen darum dieses fruchtlose Tun langsam einzustellen. Bei einem klassischen Phishing-Versuch wird das Opfer einfach per E-Mail mit einem vorgetäuschten Grund aufgefordert, auf eine gefälschte Website zu gehen und dort seine Passwörter einzugeben.
Curiosity killed the Cat
Vermehrt wird dagegen «Malware» verwendet, die einen «Man-in-the-middle»-Angriff ermöglicht. Solche Angriffe wurden gemäss MELANI auch in der Schweiz mit Erfolg durchgeführt.
Die Malware gelangt meistens durch Varianten des klassischen Phishings auf die Rechner der Opfer. Entweder wird sie in einem Phishing-Mail als Anhang mitgeschickt, wobei der Empfänger aufgefordert wird, auf diesen Anhang zu klicken, oder man wird durch einen Link im Mail auf eine von den Betrügern betriebene Website gelockt. Diese ist mit der Malware infiziert und installiert sie selbsttätig auf dem PC des Besuchers. Auch wenn man ein Phishing-Mail als solches erkannt hat und nicht vorhat, Passwörter einzugeben , sollte man also seine Neugier unterdrücken und keinesfalls auf einen Link in einem solchen Mail klicken.
Auch normales Surfen ist nicht gefahrlos
Es gibt aber leider noch eine weitere Methode, mit der diese Malware verbreitet wird, gegen die man sich als Surfer kaum mehr schützen kann. Zunehmend, so MELANI, knacken die Cyberkriminellen völlig legitime Webseiten, beziehungsweise Webserver, und präparieren diese mit ihrer Malware, so dass sie auf die PCs nichtsahneneder Besucher geschleust wird. Infiziert werden gemäss verschiedenen Berichten täglich zehntausende von Websites. Darunter waren im ersten Halbjahr unter anderem die Sites des Football-Teams Miami Dolphins (Gewinner der US-Super Bowl), des koreanischen Hardware-Herstellers Asus, der US-Disease-Control oder des Opernhauses und des Museums für zeitgenössische Kunst in Sidney.
Man in the middle
Bei «Man-in-the-middle»-Angriffen klinkt sich die Malware «live» in eine Transaktion ein, wenn ein User von einem versuchten PC aus ein E-Banking-Portal aufruft. Mit solchen Angriffen können auch starke Zwei-Faktor-Authentisierungssysteme wie Streichlisten, SecurID, usw. ausgehebelt werden. Dabei gibt es gemäss MELANI zwei Hauptmethoden:
Im ersten Fall wird der User nach dem Aufruf des echten Portals auf eine gefälschte Seite weitergeleitet, die genau wie die Echte aussieht. Wie diese fragt sie nach Benutzernamen und Passwort und danach nach einem zweiten Authentisierungsmerkmal (z.Bsp. eine Streichlistennummer oder einem von einem Token generierten Code). Wenn diese Angaben eingetippt worden sind, trennt die gefälschte Seite die Verbindung zum Kunden und zeigt eine Störungsmeldung an. Gleichzeitig nutzt der Angreifer die so erhaltenen Zugangsdaten, um sich (in Echtzeit) bei der richtigen Bankenseite anzumelden und illegale Finanztransaktionen abzuwickeln.
Im zweiten Fall nistet sich die Malware im Browser ein und wartet auf eine echte Finanztransaktion. Bevor die Eingaben des Benutzers verschlüsselt über das Internet an die Bank gelangen, verändert die Software die Kontonummer, den Empfängernamen und den Betrag, welche an die Bank übermittel werden. Die Bestätigung der Bank wird ebenfalls durch die Malware abgefangen und im Browser des Users werden wieder die ursprünglichen Angaben angezeigt. Das Opfer glaubt also, die gewollte Überweisung getätigt zu haben, während in Wahrheit die Zahlung an einen anderen Empfänger erfolgt und allenfalls in ihrer Höhe verändert worden ist. (Inside-IT/mc)