22. Juli 2014 | pArtikel drucken | kKommentieren

Hacker knacken mTAN-Verfahren

Hacker finden eine neue Möglichkeit, mTANs zu knacken. Dabei umgehen sie  die Zwei-Faktor-Authentifizierung.

Laut Trend Micro verwenden Cyber-Kriminelle neue Methoden, um von fremden Online-Banking-Konten bis zu fünfstellige Beträge abfließen zu lassen. Die Angriffsmethode trägt den Namen „Operation Emmental“. Umgangen wird dabei die Zwei-Faktor-Authentifizierung, bei der beispielsweise PIN und TAN per SMS über zwei getrennte Kanäle laufen.

Die falsche Bankseite

Der Angriff beginnt mit einer E-Mail, die vermeintlich von einem bekannten Online-Versandhändler stammt. Denkbar ist beispielsweise auch eine gefälschte Ebay-Rechnung. Sobald der Anwender den Anhang der Mail öffnet, wird im Hintergrund eine zweite Datei heruntergeladen, die den Rechner infiziert.

Trend Micro Bild1

Verblüffend echte Fake-Bankhomepage. Quelle: Trend Micro

Bevor sich die Malware gleich wieder selbst löscht, ändert sie die DNS-Einstellungen. Somit können die Angreifer steuern, wie das System die Domains im Browser des Opfers auflöst. Wird nun die URL der Hausbank eingeben, wird der Anwender auf einen „bösartigen“ Phishing-Server weitergeleitet.

Im Netz gefangen

Passwort

Beispiel eines gefälschten Kennworts, das von der bösartigen App generiert wurde.

Auf der vermeintlichen Seite der Bank nun angekommen, bemerken Nutzer keinerlei Unterschiede und melden sich mit Kontonummer und Passwort an. In einem weiteren Schritt werden Kontoinhaber trickreich darauf hingewiesen, neue Sicherheitsvorkehrungen zu treffen. Dafür sollte die dazugehörige App der Bank auf dem Smartphone installiert werden. Per vermeintlichen mTAN-Verfahren klappt scheinbar die Koppelung von App und Konto problemlos.

In Wirklichkeit wurde damit allerdings das Handy mit Malware infiziert, auf das die Angreifer damit vollen Zugriff haben. Wenn die Opfer später auf der Original-Bank-Homepage unterwegs sind und sich die TAN auf ihr Mobiltelefon schicken, fängt die App diese einfach ab und leitet sie an den Angreifer weiter. Zusammen mit den zuvor abgefischten Anmeldedaten haben die Angreifer alles, was sie für ihr illegales Handeln brauchen.

Täter schwer zu fassen

Betroffen sind bislang Bankkunden in der Schweiz und Österreich. Genauere Angaben zu den betroffenen Banken durfte Trend Micro nicht machen. Aller Wahrscheinlichkeit nach handle es sich um Angreifer aus russischsprachigen Ländern. Nachzuweisen sei das Ganze nur sehr schwer, da sich die Malware wieder löscht, sobald sie ihren Zweck erfüllt hat.

Hier schreibt Wolfgang Emmer für Sie

Mehr Artikel vom Autor

Lesen Sie weiter auf CANCOM.info