Foto: Reuters/Bader

Experten warnen vor Trojanerangriff auf heimische Bankkunden

8. November 2017, 10:25

Kriminelle nehmen österreichische Bankkunden mit ausgeklügelter Attacke ins Visier

Ein Trojaner macht in Österreich die Runde und zielt auf Bank-Austria-, Raiffeisen und Sparkasse-Kunden ab. Dabei gehen die Kriminellen äußerst ausgeklügelt vor. Mittels täuschend echten Nachbauten der Bank-Portale wird seit mindestens Jänner 2017 der Virus namens "Marcher" den Nutzern untergejubelt. Die IT-Security-Experten von Proofpoint haben die Attacke analysiert und zeigen sich angesichts des großen Aufwands überrascht.

Die Kriminelle nutzen bei der Phishing-Attacke idente Landing Pages mit ähnlichen URLs.
foto: proofpoint

Täuschend echte URLs

Am Anfang des Angriffs erreicht das Opfer eine Mail mit gekürztem Link, der auf eine Website führt, die ident zu den echten Portalen ist. Auch hinsichtlich der URL haben sich die Kriminellen etwas überlegt: Sie nutzen laut Proofpoint zumeist täuschend ähnliche Adressen wie http://online.bankaustria.at.[id].top/". Sobald das Opfer dort seine Login-Daten eingegeben hat, werden Mail-Adresse und Handynummer abgefragt.

Nach dem Login wird der Kunde aufgefordert seine E-Mail-Adresse und Telefonnummer zu hinterlegen ...
foto: proofpoint

Download-Link und Anleitung

In weiterer Folge wird dem User dann gesagt, dass er noch nicht die nötige Sicherheits-App der Bank installiert hat und dies über einen hinterlegten Download-Link oder QR-Code tun soll. Ansonsten werden "wichtige Daten wie mTan-SMS und Online-Banking-Verbindungen unverschlüsselt übertragen". Ferner wird dem Opfer auch eine Anleitung präsentiert wie er die Applikation installieren kann. So soll die Installation von Anwendungen aus unbekannten Quellen in den Android-Einstellungen erlaubt werden.

... tut er dies, wird ihm gesagt, dass er eine Sicherheits-App installieren soll, da seine Verbindungen sonst nicht sicher sind.
foto: proofpoint

Vielzahl von Berechtigungen

Während der Installation fragt der Trojaner dann nach einer Vielzahl von Berechtigungen – so sollen Anrufe von der App durchgeführt oder sogar SMS verschickt werden. Die Applikation geht sogar so weit, dass die Berechtigung zum Geräteadministrator abgefragt wird. Nach der erfolgreichen Installation findet sich auf dem Homescreen eine App mit dem Logo der jeweiligen Bank.

Dem Opfer wird dann auch noch erklärt, wie er die App installieren kann – etwa durch Aushebelung der eigenen Sicherheit.
foto: proofpoint

Popups bei echten Apps

Wurde der Trojaner einmal installiert, öffnet sich beim Ausführen von echten Anwendungen wie Googles Play Store ein Popup, bei dem der Nutzer seine Kreditkartennummer inklusive persönlichen Daten hinterlegen soll. Den Trojaner wird man dann nur mehr los, wenn man das Gerät auf Werkseinstellungen zurücksetzt, beziehungsweise das Smartphone neu aufsetzt.

Bank Austria geht aktiv vor

Proofpoint hat eine URL analysiert und dort öffneten etwa sieben Prozent aller Visitor den Download-Link – insgesamt wurden auf dem Portal innerhalb zwei Wochen fast 20.000 Zugriffe verzeichnet. Auf STANDARD-Nachfrage wurde von Bank-Austria-Pressesprecher Matthias Raftl gesagt, dass man aktiv gegen die Portale und Phishing-Mails vorgehe. Das Schadensausmaß soll deshalb sehr gering sein. Auf einem eigens eingerichteten Sicherheitsportal wird zudem auf aktuelle Gefahren hingewiesen. Generell sollte verinnerlicht werden, dass keine Bank Kunden per E-Mail dazu auffordert, vertrauliche Daten auf einer Website einzugeben. (dk, 08.11.2017)