Angriff auf Online-Konten deutschsprachiger Anwender

Weimar. Die Sicherheitsexperten von Kaspersky Lab warnen derzeit vor einer neuen Welle des Bank-Trojaners „Emotet“ (www.kaspersky.com).

Aggressiver Schädling „Emotet“ zielt via „social engineering“ auf deutschsprachige Anwender. Foto: imago

Aggressiver Schädling „Emotet“ zielt via „social engineering“ auf deutschsprachige Anwender. Foto: imago

Foto: zgt

Das Besondere an dem Schädling: Er hat sich auf deutschsprachige Online-Banking-Kunden spezialisiert und stiehlt mittels Social Engineering deren CHIP-TAN- sowie SMS-TAN-Nummern. Die abgefischten Nummern werden anschließend von den Kriminellen missbraucht, um Überweisungen von den Konten der Opfer vorzunehmen.

Beim „social engineering“ versucht der Angreifer, sein Opfer mit psychologischen Tricks zu einer bestimmten Handlung zu überreden. Im Falle von „Emotet“ versenden die Kriminellen dazu täuschend echt wirkende Mails, die angeblich von deren Bank stammen. Der Inhalt soll das Opfer unter Druck setzen und es so dazu bringen, den verseuchten E-Mail-Anhang zu öffnen. Der wiederum infiziert unbemerkt den Rechner – und die Falle ist bereit zuzuschnappen

Im Falle von „Emotet“ sieht der Trick folgendermaßen aus: Sobald sich das Opfer mit seinem infizierten Rechner auf die Webseite seiner Bank begibt, erkennt der Trojaner dies und blendet auf der (echten) Seite eine (falsche) Mitteilung ein. Darin wird beispielsweise erklärt, dass man vorerst nur eingeschränkten Zugriff auf sein Konto habe. Erst nach einer „Testüberweisung“ erlange man den vollen Zugriff.

Da die getürkte Mitteilung auf der echten Banken-Webseite erscheint, ist die Gefahr groß, dass man darauf hereinfällt. Und das kann sich bitter rächen: Die für die angebliche Testüberweisung benötigte Transaktionsnummer (TAN) des Opfers ist schließlich echt und ermöglicht es den Angreifern, in wenigen Augenblicken eine reale Überweisung von dessen Konto vorzunehmen.

Eine erste Version des Schädlings tauchte laut Kaspersky bereits im Sommer 2014 auf, eine zweite dann im Herbst desselben Jahres. Seit Kurzem nun ist die dritte, verbesserte Version des Trojaners im Umlauf, die den Aktionsradius des Schädlings noch einmal erweitert.

„Der Schädling ist für Angriffe auf deutschsprachige Nutzer konzipiert“, erklärt dazu Christian Funk, Leiter des deutschen Forschungsteams bei Kaspersky Lab. „Bereits die ersten beiden Versionen hatten Nutzer von deutschen und österreichischen Banken im Visier. Mit der dritten Version werden nun die Vorbereitungen für den Angriff auf Schweizer Online-Banking-Nutzer getroffen.“ Die Kaspersky-Fachleute gehen deshalb davon aus, dass dies in Kürze stattfindet und eine neuerliche Angriffswelle nach zieht.

Gute Antiviren-Lösungen sollten den „Emotet“-Trojaner eigentlich erkennen und gar nicht erst auf den Rechner lassen. Allein darauf sollte man sich aber nicht verlassen. Das hat unter anderem damit zu tun, dass der Schädling modular aufgebaut ist. Im Prinzip genügt es also, dass der Angreifer ein oder mehrere Module ändert, um das Aufspüren von „Emotet“ durch Antiviren-Programme zu erschweren.

Die Sicherheitsexperten raten Anwendern deshalb, beim Online-Banking erhöhte Vorsicht und gesunden Menschenverstand walten zu lassen: Wenn auf der eigenen Online-Banking-Seite beispielsweise von heute auf morgen von geänderten Login-Mechanismen, Prozessen oder Überweisungs-Verfahren die Rede ist, sollten beim Anwender alle Alarmglocken schrillen. Wer auf Nummer sicher gehen will, greift dann zum Telefon, wählt die ihm bekannte Rufnummer der Bank und erkundigt sich bei seinem Kundenberater, ob alles mit rechten Dingen zugeht.