NEW - Der Feed des Merlin Images jetzt bei BoxPirates - NEW

NEW - BoxPirates Plugin Feed - NEW
Unsere Plugins direkt über den Plugin Browser eure Box installierbar

Trojanisches Pferd führt heimlich Überweisungen aus

    • Trojanisches Pferd führt heimlich Überweisungen aus

      quelle: magnus.de

      Ein Schädling neuen Typs kapert beim Online-Banking die Browser-Sitzung und führt noch Transaktionen durch, wenn der Kontoinhaber glaubt, er habe sich schon längst beim Bank-Server abgemeldet. Auf der Festplatte hinterlässt "OddJob" kaum Spuren, er ist ein echter Online-Schädling.

      Online-Banking sei sicher, wiederholen die Banken stereotyp, weil sie damit eine Menge Geld sparen. Doch das gilt bestenfalls, wenn der vom Kunden dazu benutzte Rechner nicht mit Malware verseucht ist. Welche Tricks Online-Kriminelle einsetzen, um Zugriff auf fremde Bankkonten zu erlangen, illustrieren kürzlich publizierte Informationen über einen neuartigen Schädling namens "OddJob".

      Amit Klein vom Sicherheitsunternehmen Trusteer berichtet im Blog seiner Firma über ein Trojanische Pferd, das seine Kollegen und er bereits seit einigen Monaten beobachten. Bislang seien die vermutlich in Osteuropa beheimateten Hintermänner von OddJob vor allem bei Banken in den USA, Polen und Dänemark aktiv geworden. Laufende Behördenermittlungen hätten eine frühere Veröffentlichung der gesammelten Informationen verhindert.

      Die Täter scheinen sehr intensiv an der Weiterentwicklung ihres Schädlings zu arbeiten, denn Trusteer habe häufige Veränderungen an den von OddJob an den Tag gelegten Techniken festgestellt, meldet Klein. Die Code-Analyse der von Klein als völlig neuer Schädlingstyp bezeichneten Banking-Malware könne daher auch nicht als abgeschlossen gelten.

      OddJob hängt sich in den Web-Browser, Internet Explorer oder Firefox, um den Datenverkehr zwischen dem Kunden und seiner Bank zu belauschen und zu manipulieren. Er fängt die Session-ID ab, die den Kundenrechner gegenüber der Bank identifiziert. Mit dem Ausspionieren von Login-Daten und dergleichen muss er sich nicht aufhalten - das Opfer ist ja bei seiner Bank eingeloggt. OddJob sendet alle Daten in Echtzeit an sein Mutterschiff, den Kommando-Server der Täter.

      Diese können damit über den PC ihres Opfers Überweisungen auslösen oder die des Kunden manipulieren, etwa den Überweisungsempfänger und den Betrag ändern. Das Opfer bekommt davon nichts mit, weil es manipulierte Web-Seiten zu sehen bekommt. Sie zeigen dem Bankkunden die Ergebnisse seiner Transaktionen, die er erwartet.

      Meldet er sich dann bei der Bank ab, unterdrückt OddJob dieses Kommando und hält die Verbindung offen, zeigt dem Kunden jedoch eine Bestätigung. So können die Täter weiter das Bankkonto plündern, während sich ihr Opfer in trügerischer Sicherheit wiegt.

      OddJob speichert seine Konfiguration nicht auf der Festplatte des Opfers, denn derartige Festplattenaktivitäten könnten den Verdacht eines Antivirusprogramms erregen, das mit Verhaltensanalyse arbeitet - wie meisten modernen Virenscanner. Vielmehr holt sich OddJob stets eine frische Konfigurationsdatei vom Server der Täter.

      Die von OddJob benutzte Technik des "Session-Hijacking" ist im Grunde schon lange bekannt. Neu ist lediglich, dass ein Schädling damit offenbar so virtuos umgehen kann. Welche Antivirusprogramme OddJob und seine Varianten bereits zuverlässig erkennen, ist nicht bekannt.
      mfg a.nili

      Fragen gehören in den Themenbereich und nicht in die News oder in den Vorstellungsbereich!
      Kein Support per PN!
      Kein Internet Cardsharing (Board Regel 13)!


      ... falls du das Zeug dazu hast und einen Bereich betreuen möchtest
      Werde Teil des Teams! ... und bewirb dich als Moderator

    • Selbst wenn die Täter auf das Bankkonto kommen. Wie wollen die Überweisungen durchführen ohne das sie gültige TANs haben?
      Mit der Session sehen sie vielleicht aktuelle Kontodaten, aber Überweisungen durchführen benötigt dann doch ein wenig mehr.

      Die müssten schon die verschlüsselte Übertragung des Betrages und Daten der Zielbank abfangen und verändern.
      Ist denn die Verschlüsselung der Banken geknackt? ^^
      Klingt für mich ein wenig nach einer Art Phishing.

      Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von Saugerbude ()


    • Original von new_r82
      nehme eh nicht den browser für Überweisungen sondern ein extra Banking Tool...


      Jeder der unter 50 ist und noch sowas mit macht hat ja irgendwie auch selber schuld. Eigentlich sollt man den Banken aber auch für derartige Transaktionsmöglichkeit die Mitschuld geben.

    • Original von WhichMan
      Original von new_r82
      nehme eh nicht den browser für Überweisungen sondern ein extra Banking Tool...


      Jeder der unter 50 ist und noch sowas mit macht hat ja irgendwie auch selber schuld. Eigentlich sollt man den Banken aber auch für derartige Transaktionsmöglichkeit die Mitschuld geben.


      wuff ich bin über 50, hab also keine Schuld