E-Banking-Trojaner in der Schweiz

E-Banking-Trojaner in der Schweiz

Artikel erschienen in IT Magazine 2017/09
Die oben stehende Zeitlinie zeigt die verschiedenen Wellen, welche im Juni 2016 aufgetaucht sind. Es ist deutlich zu sehen, dass aktuell Retefe sehr aktiv ist. Vor einem Jahr war es vor allem Dridex, der sehr grosse Schäden verursacht hat.

Die Landschaft der Bankentrojaner ist in einem konstanten Wandel, es kommen laufend neue Familien und Versionen dazu und verschwinden wieder. Darüber hinaus gibt es auch immer wieder finanzielle Schäden, die nicht durch Malware verursacht werden, sondern durch einfachen Betrug ("CEO Fraud").

Im Folgenden soll kurz das Verhalten von Dridex erklärt werden und wie diese Schadsoftware erfolgreich Firmen angreifen kann.
• Die Angreifer versenden – meist sehr gut gemachte – E-Mails mit der Malware im Anhang, getarnt z.B. als angebliche Rechnung.
• Dridex enthält eine Detektionsmöglichkeit für installierte Offline-Zahlungssoftware, wie z.B. Mammut, Crealogix oder Abacus.
• Ist kein solches Programm installiert, versucht Dridex allfällige Online-Banking-Sitzungen anzugreifen.
• Findet Dridex eine Offline-Zahlungssoftware, installiert der Angreifer zusätzliche Malware auf dem Gerät (Carbanak und weitere Werkzeuge).
• Mit Hilfe dieser Malware kann er – falls nötig – ein zweites Konto, welches Zahlungen bestätigen kann, übernehmen. Danach kann der Angreifer beliebige Zahlungen auslösen.
• Carbanak ist im Rahmen von gross angelegten Angriffen auf Banken in Osteuropa bekannt geworden. Nun wird diese Malware ebenfalls bei Angriffen gegen KMUs eingesetzt. Darüber hinaus haben wir auch den Einsatz von Mimikatz beobachtet. Mimikatz ist ein Werkzeug, um in einem Active Directory die Zugangsdaten der Benutzer zu stehlen.

Dridex hat zu sehr grossen Schäden in der Schweiz geführt, da die Zahlungs­limite bei KMUs um ein Vielfaches höher sind als bei Privatkunden. Eine ausführliche Beschreibung des Invektionsvektors von Dridex findet sich auf dem Blog von GovCERT.ch.

Schutzmöglichkeiten:

Endbenutzer:
Es ist wichtig, dass die üblichen Sicherheitsvorkehrungen beachtet werden:
• Einspielen von Sicherheitsaktualisierungen.
• Einsatz von Antivirenprodukten und einer lokalen Firewall.
Diese Schutzmassnahmen alleine sind aber nicht mehr ausreichend. Aus diesem Grund kommt einer vorsichtigen Grundhaltung grosse Bedeutung zu:
• Unbekannte Dateien nicht öffnen, im Zweifelsfall auf einem anderen Kanal den Sender anfragen, ob er das Mail wirklich geschickt hat.
• Regelmässige Datensicherung auf mehreren Medien, wobei immer mindestens eines Offline (vom Computer getrennt) aufbewahrt werden muss.
• Infizierte Geräte sollten immer neu aufgesetzt werden.
• Prüfen Sie Zahlungsbestätigungen (MTANs, CrontoSign, etc.) immer aufmerksam, bevor Sie diese freigeben.
• Wählen Sie sichere Passwörter und verwenden Sie wo immer möglich eine Zwei-Faktor-Authentisierung
Weitere Hinweise sind auf den Webseiten von MELANI und SISA zu finden.

Neuen Kommentar erfassen

Anti-Spam-Frage Wie hiess im Märchen die Schwester von Hänsel?
Antwort
Name
E-Mail
SPONSOREN & PARTNER