Neuigkeiten

Eurograbber-Attacke erbeutet 36 Millionen Euro von 30.000 Bankkunden

Europaweit sollen 30.000 Bankkunden um insgesamt 36 Millionen Euro erleichtert worden sein. 12,8 Millionen davon, sollen auf deutsche Bankkunden entfallen. Zu diesem Ergebnis kommen die beiden Anbieter von Sicherheitssoftware Versafe und Check Point in einer gemeinsamen Studie. Das geschilderte hört sich ganz nach dem Trojaner an, vor dem kürzlich die Berliner Polizei warnte: Trojaner bedroht Sicherheit von SMS-TAN-/mTAN-Verfahren.

Als erstes wurden Bankkunden in Italien “reingelegt”, es folgten Spanien, Holland und auch Deutschland. Den Angriff hat man daher den Namen “Eurograbber” gegeben. Betroffen sind Android und Black Berry-Nutzer. Die Angreifer gehen folgendermaßen vor:

Die Infiltrierung

Schritt 1
Der Desktopcomputer oder Laptop des Betroffenen wird mit einem Zeus-Trojaner infiziert. Dies kann über eine E-Mail oder beim Ansurfen einer Webseite passieren. Nach der Infizierung wartet der Trojaner auf die Nutzung von Onlinebanking.

Schritt 2
Beim nächstem Einloggen ins Onlinebanking greift der Trojaner ein und erweitert die Bankseite um einen Javascript-Code. Über dieses weist man ihn dann auf ein notwendiges Sicherheits-Update hin. Das kann zum Beispiel folgendermaßen aussehen:

Eurograbber Javascript Inject

Schritt 3
Die Eingaben des Infizierten werden gespeichert.

Schritt 4
Die Informationen werden genutzt um eine SMS an den Betroffenen zu schicken. In dieser findet sich ein Link. Diesen soll er aufrufen um das Sicherheitsupdate durchzuführen. Hier die SMS in italienischer Sprache.

Eurograbber SMS

Schritt 5
Nachdem die SMS abgeschickt wurde, erscheint auch auf dem Desktoprechner oder Laptop eine neue Nachricht. Er solle den Instruktionen der SMS folgen um sein System zu aktualisieren und zu sichern. Nach Abschluß soll man den Aktivierungscode eintragen. Die Angreifer werden also auch noch informiert, dass sie nun aktiv werden können.

Schritt 6
Nach Installation erscheint auf dem Smartphone eine Box. Diese verkündet die erfolreiche Installaton und zeigt den Aktivierungscode an.

Eurograbber Aktivierungscode

Schritt 7
Auf seinem Computer wird der Betroffene ebenfalls über die erfolreiche Installation des Sicherheitsupdates informiert. Er könne nun normal mit der Nutzung von Onlinebanking fortfahren.

Der Diebstahl

Schritt 1
Der Bankkunde loggt sich ins Onlinebanking ein.

Schritt 2
Mit dem Login des Bankkunden wird der Trojaner aktiv. Er überweist einen vordefinierten Prozentsatz des Geldes vom Kundenkonto auf ein von den Angreifern kontrolliertes Konto.

Schritt 3
Angesichts der angeforderten Überweisung sendet die Bank per SMS eine TAN an den Kunden.

Schritt 4
Der Trojaner auf dem Smartphone fängt die SMS ab und versteckt sie vor dem Nutzer. Sie wird außerdem an eine Handynummer der Angreifer weitergeleitet und gespeichert.

Schritt 5
Der Trojaner auf dem Computer ruft die TAN ab und nutzt sie um die Überweisung zu bestätigen. Während des ganzen Vorganges zeigt sich dazu dem unbedarftem Bankkunden keinerlei Information.

Versafe und Check Point haben sich mit dem Thema ausführlicher beschäftigt und eine Fallstudie veröffentlicht. Entsprechend empfehlen Versafe und Check Point hier auch nur die eigenen Produkte um sich vor dem Eurograbber-Angriff zu schützen. Man gibt allerdings auch noch zwei allgemeine Tipps. Immer den eigenen Computer auf dem aktuellem Stand halten. Das betrifft das Betriebssystem als auch verwendete Programme. Dazu gehören auch Java und Flash. In diesem konkretem Fall hätten die Betroffenen außerdem gut daran getan, die Phishing-Email zu ignorieren.

Über Jojo

Kopf hinter Androider. Blogger seit 2005. Seit über 10 Jahren PHP-Frickler aus Überzeugung. Werder Bremen-Fan und Golf-Newbie.
Nach oben