Automatic Transfer System: Neue Bedrohung für Online-Banking

Betroffen seien sogar Verfahren wie smsTAN, bei denen es nicht nur zwei Authentisierungsfaktoren, sondern auch zwei Kommunikationswege gibt, teilte Trend Micro mit. Durch das Tool "Automatic Transfer System" (ATS) (PDF-Link, englischsprachig) ist es demnach möglich, das Konto eines Bankkunden zu leeren, ohne Spuren eines Einbruchs zu hinterlassen. Die bisherigen Opfer finden sich auch in Deutschland.

Die Cyberkriminellen könnten mithilfe des ATS-Tools und in Verbindung mit Varianten der Schädlinge "SpyEye" und "ZeuS" einen so genannten Man-in-the-Browser-Angriff (MitB)" ausführen, so Trend Micro weiter. Während des Angriffs müssen die Kriminellen demnach nicht selbst online sein, weil die elektronische Geldüberweisung mithilfe der Benutzerdaten des Opfers automatisiert wird. Dies geschehe, ohne dass das Opfer es mitbekomme. Mit ATS seien bereits Bankkunden vorwiegend in Deutschland, Großbritannien und Italien angegriffen worden - auch solche, die Sicherheitsvorkehrungen nach aktuellem Stand der Technik (Transaktionslimit, smsTAN) verwenden. Derzeit sind nur Windows-Anwender betroffen.

Anders als in bisherigen Fällen, in denen Spionage-Tools mit "SpyEye" und "ZeuS" interagieren, öffnen sich beim ATS-Tool laut Trend Micro keine Pop-Up-Fenster. Deshalb sehen die Anwender nicht, wenn ein entsprechender Vorgang stattfindet. Vielmehr führt das ATS-Tool im Hintergrund einige Tasks durch: Es überprüft den Kontostand, führt die elektronischen Überweisungen aus und verändert anschließend die Darstellung der Kontobewegungen so, dass die Spuren des Angriffs verwischt werden.

"Die Angriffe sind deshalb so besorgniserregend, weil sie nicht nur herkömmliche Sicherheitsvorkehrungen umgehen können, sondern auch fortschrittliche wie das hierzulande bekannte Zweifaktor-Authentisierungsverfahren. Das ATS-Tool führt scheinbar völlig unsichtbar für den Anwender Überweisungen aus und manipuliert den angezeigten Kontostand", kommentiert Raimund Genes, Chief Technology Officer bei Trend Micro. Die Infektion des Rechners lasse sich nur verhindern oder zumindest entdecken, wenn der Schutz direkt an den Endpunkten ansetze und Web-Reputationsdienste zum Einsatz kommen: Diese blockierten bösartige URLs sowie die Kommunikation mit den Kontroll- und Kommandoservern eines Botnetzes.