Neue Banking-Trojaner werden polnischer

Illustration von Andrew BanneckerCriminals kann heute aktive Online-Banking-Sitzungen entführen, und neue Trojaner können den Kontostand fälschen, um zu verhindern, dass Opfer sehen, dass sie betrogen werden.

Traditionell hat solche Malware Benutzernamen und Passwörter für bestimmte Banken gestohlen; Der Kriminelle musste jedoch manuell auf das kompromittierte Konto zugreifen, um Geld abzuheben. Um diese Angriffe zu stoppen, entwickelten Finanzdienste Authentifizierungsmethoden wie Geräte-ID, Geolokalisierung und herausfordernde Fragen.

Leider sind Kriminelle, die sich diesen Hindernissen stellen, auch schlauer geworden. Ein Trojanisches Pferd, URLzone, ist so weit fortgeschritten, dass der Sicherheitsanbieter Finjan es als ein Programm der nächsten Generation ansieht.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

Größere Komplexität

Banking-Angriffe sind heute viel verstohlener und in Echtzeit auftreten. Im Gegensatz zu Keyloggern, die lediglich die Tastenanschläge neu codieren, können sich Gauner bei URLzone anmelden, die erforderliche Authentifizierung bereitstellen und die Sitzung durch Spoofing der Bankseiten entführen. Die Angriffe werden als Man-in-the-Middle-Attacken bezeichnet, da das Opfer und der Angreifer gleichzeitig auf das Konto zugreifen und ein Opfer mit seinem Konto möglicherweise nichts Ungewöhnliches bemerkt.

Ein so genialer URLzone-Prozess ermöglicht Kriminellen, den Prozentsatz festzulegen, der vom Bankkonto eines Opfers genommen werden soll. Auf diese Weise stößt die Aktivität nicht die eingebauten Betrugswarnungen eines Finanzinstituts an. Letzten August dokumentierte Finjan einen URLzone-basierten Diebstahl von $ 17.500 pro Tag über 22 Tage von mehreren deutschen Kontoinhabern, von denen viele keine Ahnung hatten, dass dies passierte.

Aber URLzone geht einen Schritt weiter als die meisten Bank-Botnetze oder Trojanische Pferde, sagt das Team von RSA antifraud. Kriminelle, die Banktrojanische Pferde benutzen, greifen in der Regel das Geld und transferieren es vom Konto eines Opfers zu verschiedenen "Maultieren" - Menschen, die einen Schnitt für sich selbst machen und den Rest des Geldes nach Übersee transferieren, oft in Form von Waren an ausländische Adressen.

URLzone scheint auch zu erkennen, wenn sie beobachtet wird: Als die Forscher bei RSA versuchten, zu dokumentieren, wie URLzone funktioniert, transferierte die Malware Geld zu falschen Mules (oft legitime Parteien) und vereitelte die Untersuchung.

Silentbanker und Zeus

Silentbanker, das vor drei Jahren erschien, war eines der ersten Malware-Programme, das eine Phishing-Site einführte. Als die Opfer die gefälschte Banking-Website der Gauner besuchten, installierte Silentbanker Malware auf ihren PCs, ohne einen Alarm auszulösen. Silentbanker hat auch Screenshots von Bankkonten gemacht, Nutzer von legitimen Seiten umgeleitet und HTML-Seiten geändert.

Zeus (auch bekannt als Prg Banking Trojan und Zbot) ist ein Banking-Botnet, das auf kommerzielle Bankkonten abzielt. Laut dem Sicherheitsanbieter SecureWorks konzentriert sich Zeus oft auf eine bestimmte Bank. Es war eines der ersten Banking-Trojaner, das Authentifizierungsvorgänge ablehnte, indem es darauf wartete, bis sich ein Opfer erfolgreich bei einem Konto angemeldet hatte. Es imitiert dann die Bank und injiziert unauffällig eine Sozialversicherungsnummer oder andere persönliche Informationen.

Zeus verwendet herkömmliche E-Mail-Phishing-Methoden, um PCs zu infizieren, unabhängig davon, ob die Person Bank-Zugangsdaten eingibt oder nicht. Ein neuer Zeus-ähnlicher Angriff, der als E-Mail vom IRS ausgegeben wurde.

Im Gegensatz zu früheren Banking-Trojanern ist die Zeus-Infektion jedoch sehr schwer zu erkennen, da jedes Opfer eine etwas andere Version davon erhält.

Clampi

Clampi, ein Zeus ähnliches Bank-Botnet, lag jahrelang still, wurde aber kürzlich ziemlich aktiv. Laut Joe Stewart, Direktor der Malware-Forschung für SecureWorks, erfasst Clampi Benutzernamen und Passwort-Informationen für rund 4500 Finanz-Websites. Es leitet diese Informationen an seine Befehls- und Kontrollserver weiter; Kriminelle können die Daten sofort nutzen, um Gelder zu stehlen oder Waren zu kaufen, oder sie für die spätere Verwendung speichern. Die Washington Post hat Geschichten von mehreren Opfern des Botnets Clampi gesammelt.

Clampi vereitelt die Benutzerauthentifizierung, indem es darauf wartet, dass sich das Opfer bei einem Bankkonto anmeldet. Es wird dann ein Bildschirm angezeigt, der besagt, dass der Bankserver vorübergehend wegen Wartungsarbeiten abgeschaltet ist. Wenn das Opfer weiterzieht, entführen die Betrüger heimlich die noch aktive Banksitzung und transferieren Geld aus dem Konto.

Verteidigung Ihrer Daten

Da die meisten dieser Malware-Infektionen auftreten, wenn Opfer auf eine Phishing-E-Mail reagieren oder surfen auf eine kompromittierte Site, SecureWorks 'Stewart empfiehlt, Ihre Bankaktivitäten auf eine dedizierte Maschine zu beschränken, die Sie nur zum Überprüfen Ihrer Bilanzen oder zum Bezahlen von Rechnungen verwenden.

Alternativ können Sie auch ein freies Betriebssystem wie Ubuntu Linux verwenden eine CD oder ein Thumbdrive. Bevor Sie mit dem Online-Banking beginnen, starten Sie Ubuntu und nutzen Sie den integrierten Firefox-Browser, um auf Ihre Bankseite zuzugreifen. Die meisten Banking-Trojaner werden unter Windows ausgeführt, so dass sie mit einem Nicht-Windows-Betriebssystem vorübergehend nicht mehr funktionieren, ebenso wie das Banking über das Mobiltelefon.

Der wichtigste Schritt ist jedoch, Ihre Antivirus-Software auf dem neuesten Stand zu halten; Die meisten Sicherheitsprogramme erkennen die neuen Banking-Trojaner. Ältere Antivirensignaturdateien können PCs nur langsam gegen die neuesten Angriffe schützen, aber die 2010er Editionen verfügen über einen Cloud-basierten Signaturschutz, um Bedrohungen sofort zu neutralisieren.