Kloiber: Wie gehen die Hacker genau vor, Peter Welchering?
Welchering: Bis vor kurzem lief das Password-Fishing nach einem regelrechten Standardverfahren ab. Und das sah so aus: Per Mail schickten die Täter Bankkunden einen Link, eine vorbereitete Internet-Adresse, auf die geklickt werden soll, um angeblich eine Sicherheitsüberprüfung der Zugangsdaten des Kunden vorzunehmen. Die Bankkunden landeten in allen Fällen auf nachgebauten Web-Seiten, die den Internet-Seiten der jeweiligen Bank verblüffend ähnlichen sahen. Dort wurden sie aufgefordert, ihre Kontonummer, ihren Namen, die persönliche Identifikationsnummer, PIN, und mehrere Transaktionsnummern, TAN genant, einzugeben. Ausgestattet mit diesen Zugangsdaten versuchten die Betrüger, die Konten der hereingelegten Bankkunden zu plündern. Darauf haben die Banken mit indizierten Transaktionsnummern ja schon vor längerer Zeit reagiert. Das heißt, wenn der Bankkunde jetzt eine Überweisung vornehmen will, wird er vom System aufgefordert eine bestimmte Transaktionsnummer einzugeben, zum Beispiel die 52. TAN auf seiner Liste. So wird verhindert, dass der Hacker mit einer beliebigen TAN einfach Geld abbuchen kann. Das Verfahren wird bei den neuerlichen Phishing-Attacken unterlaufen. Und das klappt, weil die Online-Bankräuber Software für eine Online-Durchsuchung einsetzen.
Kloiber: Aber es hat doch nicht jeder Online-Bankkunde alle seine Zugangsdaten auf der Festplatte gespeichert. Wie kommen die Online-Bankräuber denn an die indizierte TAN, wenn die nicht auf der Festplatte hinterlegt ist?
Welchering: Ja, das ist tatsächlich der eine Punkt. Mittels Online-Durchsuchung der Festplatte erbeuten die virtuellen Bankräuber die Zugangsdaten zum Bankkonto. Das klappt aber nur bei relativ wenigen Online-Bankkunden. Erfolgversprechender ist da eine zweite Methode der Online-Durchsuchung oder Überwachung. Hier werden die Daten direkt an der Tastatur abgegriffen, also bevor sie verschlüsselt werden So bekommt der Bankräuber die indizierte TAN unverschlüsselt und kann damit dann Geld vom Konto des Online-Bankkunden abheben.
Kloiber: Und woher weiß der Online Bankräuber, welche indizierte TAN vom Banksystem verlangt wird?
Welchering: Durch eine Online-Überwachungsmethode, die sich "Man in the Middle" nennt und von Geheimdiensten schon seit einiger Zeit eingesetzt wird. Dabei wird zwischen den Bankrechner und meinen PC, von dem aus ich meine Online-Bankgeschäfte tätige, einfach ein dritter Computer geklemmt. Das ist eben der Mann in der Mitte. Der wird in Fachkreisen Phishing-Node genannt. Wenn ich mich via Internet auf meinen Bankrechner einlogge, dann werden meine ganzen Daten ja verschlüsselt von meinem PC aus über verschiedene Internet-Knotenrechner an den Bankrechner geschickt. Und die Bankräuber hängen einfach ihren eigenen Knotenrechner in dieses Netz hinein. Dieser Phishing-Node wertet die Kopfdaten der Internet-Datenpakete aus. Und wenn dabei die Adresse eines Bankenrechners erkannt wird, wird dieses Datenpäckchen zurückverfolgt. So kann der Rechner identifiziert werden, von dem das Datenpäckchen kommt. Auf diesen Ausgangsrechner schickt der Phishing-Node einen Trojaner, der die Tastatureingaben abfängt, bevor sie verschlüsselt werden, und eine Überwachungssoftware, die genau kontrolliert und protokolliert, auf welche Internet-Rechner sich der überwachte PC einwählt. Diese Software ist handelsüblich, wird beispielsweise bei der Vorratsdatenspeicherung eingesetzt. Und man kann damit binnen 24 Stunden ein sehr genaues Nutzerprofil des Online-Bankkunden erstellen. Das heißt, sein Verhalten kann mit einer Business-Intelligence-Software prognostiziert werden. Wenn sich dieser Bankkunde dann das nächste Mal auf den Bankrechner einloggen will, bleiben seine Datenpäckchen auf dem Phishing-Node, der Phishing-Node fragt selbstständig beim Bankenrechner an, bekommt also die Anforderung, eine indizierte TAN einzugeben, etwa Transaktionsnummer 67 auf der aktuellen TAN-Liste. Diese Transaktionsnummer gibt er als Anfrage an den PC des Bankkunden weiter und hat eine indizierte TAN erbeutet.
Kloiber: Woran kann ich denn als Online-Bankkunde erkennen, dass meine Kontendaten gerade abgefisht werden?
Welchering: Das ist ausgesprochen schwierig. Es gibt da zwei Indizien. Zum einen braucht der Phishing-Node eine zweite indizierte Transaktionsnummer, um die erste erbeutete verwenden zu können. Er muss ja die Überweisung mit der zweiten TSAN dann auch durchführen, wenn er nicht sofort auffliegen will. Wird also, nachdem ich eine Überweisung per indizierter TAN bestätigt haben, eine Softwarestörung, Leitungsstörung, Übertragungsstörung oder so etwas in der Art gemeldet, und deshalb eine zweite TAN angefordert, weil die erste nicht übermittelt werden konnte oder ungültig war, dann sollte ich als Bankkunde vorsichtig sein. Das ist ein Hinweis, dass meine Kontendaten gerade abgefischt werden. Der zweite Hinweis ist die leichte Verzögerung bei den Antworten des Bankrechnern. Der Phishing-Node fängt ja meine Anfragen ab, gibt sie an den Bankrechner weiter, fängt dessen Antworten oder Anfragen, etwa nach einer indizierten TAN, auch ab und gibt sie an den PC des Bankkunden weiter. Das braucht Zeit. Das Antwortverhalten des Bankrechners ist also langsamer, zumindest Bruchteile von Sekunden.
Kloiber: Wie kann ich mich als Bankkunde vor einer solchen Phishing-Attacke schützen?
Welchering: Ich muss verhindern, dass die Schadsoftware auf meinen Rechner kommt. Also ein Antivirenprogramm sollte installiert sein und vor einer Online-Banksitzung sollte ich dann auch die neusten Virensognaturen beim Hersteller des Antivirenprogramms abgefragt haben und meinen Rechner auf Schadsoftware durchsuchen lassen.. Zweitens empfiehlt sich ein Schutzprogramm, das mit heuristischen Techniken arbeitet, also die einzelnen Prozesse meines Computers überwacht und etwa meldet, wenn beispielsweise irgendwelche Registry-Einträge verändert werden sollen.
Welchering: Bis vor kurzem lief das Password-Fishing nach einem regelrechten Standardverfahren ab. Und das sah so aus: Per Mail schickten die Täter Bankkunden einen Link, eine vorbereitete Internet-Adresse, auf die geklickt werden soll, um angeblich eine Sicherheitsüberprüfung der Zugangsdaten des Kunden vorzunehmen. Die Bankkunden landeten in allen Fällen auf nachgebauten Web-Seiten, die den Internet-Seiten der jeweiligen Bank verblüffend ähnlichen sahen. Dort wurden sie aufgefordert, ihre Kontonummer, ihren Namen, die persönliche Identifikationsnummer, PIN, und mehrere Transaktionsnummern, TAN genant, einzugeben. Ausgestattet mit diesen Zugangsdaten versuchten die Betrüger, die Konten der hereingelegten Bankkunden zu plündern. Darauf haben die Banken mit indizierten Transaktionsnummern ja schon vor längerer Zeit reagiert. Das heißt, wenn der Bankkunde jetzt eine Überweisung vornehmen will, wird er vom System aufgefordert eine bestimmte Transaktionsnummer einzugeben, zum Beispiel die 52. TAN auf seiner Liste. So wird verhindert, dass der Hacker mit einer beliebigen TAN einfach Geld abbuchen kann. Das Verfahren wird bei den neuerlichen Phishing-Attacken unterlaufen. Und das klappt, weil die Online-Bankräuber Software für eine Online-Durchsuchung einsetzen.
Kloiber: Aber es hat doch nicht jeder Online-Bankkunde alle seine Zugangsdaten auf der Festplatte gespeichert. Wie kommen die Online-Bankräuber denn an die indizierte TAN, wenn die nicht auf der Festplatte hinterlegt ist?
Welchering: Ja, das ist tatsächlich der eine Punkt. Mittels Online-Durchsuchung der Festplatte erbeuten die virtuellen Bankräuber die Zugangsdaten zum Bankkonto. Das klappt aber nur bei relativ wenigen Online-Bankkunden. Erfolgversprechender ist da eine zweite Methode der Online-Durchsuchung oder Überwachung. Hier werden die Daten direkt an der Tastatur abgegriffen, also bevor sie verschlüsselt werden So bekommt der Bankräuber die indizierte TAN unverschlüsselt und kann damit dann Geld vom Konto des Online-Bankkunden abheben.
Kloiber: Und woher weiß der Online Bankräuber, welche indizierte TAN vom Banksystem verlangt wird?
Welchering: Durch eine Online-Überwachungsmethode, die sich "Man in the Middle" nennt und von Geheimdiensten schon seit einiger Zeit eingesetzt wird. Dabei wird zwischen den Bankrechner und meinen PC, von dem aus ich meine Online-Bankgeschäfte tätige, einfach ein dritter Computer geklemmt. Das ist eben der Mann in der Mitte. Der wird in Fachkreisen Phishing-Node genannt. Wenn ich mich via Internet auf meinen Bankrechner einlogge, dann werden meine ganzen Daten ja verschlüsselt von meinem PC aus über verschiedene Internet-Knotenrechner an den Bankrechner geschickt. Und die Bankräuber hängen einfach ihren eigenen Knotenrechner in dieses Netz hinein. Dieser Phishing-Node wertet die Kopfdaten der Internet-Datenpakete aus. Und wenn dabei die Adresse eines Bankenrechners erkannt wird, wird dieses Datenpäckchen zurückverfolgt. So kann der Rechner identifiziert werden, von dem das Datenpäckchen kommt. Auf diesen Ausgangsrechner schickt der Phishing-Node einen Trojaner, der die Tastatureingaben abfängt, bevor sie verschlüsselt werden, und eine Überwachungssoftware, die genau kontrolliert und protokolliert, auf welche Internet-Rechner sich der überwachte PC einwählt. Diese Software ist handelsüblich, wird beispielsweise bei der Vorratsdatenspeicherung eingesetzt. Und man kann damit binnen 24 Stunden ein sehr genaues Nutzerprofil des Online-Bankkunden erstellen. Das heißt, sein Verhalten kann mit einer Business-Intelligence-Software prognostiziert werden. Wenn sich dieser Bankkunde dann das nächste Mal auf den Bankrechner einloggen will, bleiben seine Datenpäckchen auf dem Phishing-Node, der Phishing-Node fragt selbstständig beim Bankenrechner an, bekommt also die Anforderung, eine indizierte TAN einzugeben, etwa Transaktionsnummer 67 auf der aktuellen TAN-Liste. Diese Transaktionsnummer gibt er als Anfrage an den PC des Bankkunden weiter und hat eine indizierte TAN erbeutet.
Kloiber: Woran kann ich denn als Online-Bankkunde erkennen, dass meine Kontendaten gerade abgefisht werden?
Welchering: Das ist ausgesprochen schwierig. Es gibt da zwei Indizien. Zum einen braucht der Phishing-Node eine zweite indizierte Transaktionsnummer, um die erste erbeutete verwenden zu können. Er muss ja die Überweisung mit der zweiten TSAN dann auch durchführen, wenn er nicht sofort auffliegen will. Wird also, nachdem ich eine Überweisung per indizierter TAN bestätigt haben, eine Softwarestörung, Leitungsstörung, Übertragungsstörung oder so etwas in der Art gemeldet, und deshalb eine zweite TAN angefordert, weil die erste nicht übermittelt werden konnte oder ungültig war, dann sollte ich als Bankkunde vorsichtig sein. Das ist ein Hinweis, dass meine Kontendaten gerade abgefischt werden. Der zweite Hinweis ist die leichte Verzögerung bei den Antworten des Bankrechnern. Der Phishing-Node fängt ja meine Anfragen ab, gibt sie an den Bankrechner weiter, fängt dessen Antworten oder Anfragen, etwa nach einer indizierten TAN, auch ab und gibt sie an den PC des Bankkunden weiter. Das braucht Zeit. Das Antwortverhalten des Bankrechners ist also langsamer, zumindest Bruchteile von Sekunden.
Kloiber: Wie kann ich mich als Bankkunde vor einer solchen Phishing-Attacke schützen?
Welchering: Ich muss verhindern, dass die Schadsoftware auf meinen Rechner kommt. Also ein Antivirenprogramm sollte installiert sein und vor einer Online-Banksitzung sollte ich dann auch die neusten Virensognaturen beim Hersteller des Antivirenprogramms abgefragt haben und meinen Rechner auf Schadsoftware durchsuchen lassen.. Zweitens empfiehlt sich ein Schutzprogramm, das mit heuristischen Techniken arbeitet, also die einzelnen Prozesse meines Computers überwacht und etwa meldet, wenn beispielsweise irgendwelche Registry-Einträge verändert werden sollen.