Dieter Kochheim, <strong>Cybercrime</strong> - 50 -der an die Hinterleute weiter leiten sollen 311 .Ende 2007 wandelte sich die Gestalt des Phishings312 . Die E-Mails forderten die Bankkundennicht mehr dazu auf, per Mail zu antworten, sondernaus Sicherheitsgründen die (nachgemachte)Bankseite im Internet aufzusuchen, um dort weitereAnweisungen zu erhalten. Daraus wurde schnellein Massenphänomen, das als Pharming bezeichnetwird 313 . Dazu werden auf einem gehacktenWebserver eine Vielzahl nachgemachter Bankseitenverschiedener Finanzinstitute abgelegt, zu denendie Kunden verführt werden. Auch wenn dienachgemachten Webauftritte nur wenige Tage aktivblieben, so reichte das den Tätern für ihre kriminellenGeschäfte aus.Gleichzeitig wurden das Layout der Anschreibenund der Webseiten immer besser und auch dieSprache fehlerfrei und jargonangemessen 314 . Alsthematischer Aufhänger wird jede Gelegenheit genutzt,um das Interesse der Bankkunden zu wecken,so auch die Finanzkrise 315 .Seit 2008 werden kaum noch Phishing-Mails versandt.Die Täter sind dazu übergegangen, harmloswirkende und in den Suchmaschinen gut platzierteWebseiten zu manipulieren, um darüber Bankkundenauf nachgemachte Bankseiten zu führen 316 .Dazu entstand äußerst schnell in der UndergroundEconomy ein Markt für ausgespähte Konto- (Phishing)und Kartendaten (Carding) 317 sowie Dienstangebotezur Erstellung von Phishing-Seiten 318 .Dadurch ist das Phishing und der Einsatz vonBotnetzen zusammen gewachsen. Beidebenötigen eine ständige Verfügbarkeit im Netz, die311CF, Finanzagenten, 2007312CF, Lagebild IT-Sicherheit 2007, 12.03.2008313CF, Anstieg von Phishing-Seiten (Pharming),21.06.2007314CF, Länderstudie Deutschland, 27.07.2008315CF, Die Krisenphisher, 22.12.2008316CF, Massenhacks von Webseiten werden zur Plage,14.03.2008317CF, geklaute Daten zum Schnäppchenpreis,09.04.2008318CF, qualitätskontrollierter Kontomissbrauch,09.05.2008Botnetze für ihre CC- 319 und Fluxserver 320 undPhishing-Malware für ihre Updates sowie für dieFormulare, die sie beim Angriff einsetzt 321 .Die wichtigste Gegenmaßnahme der Finanzwirtschaftist die Einführung indizierten Transaktionsnummern,iTAN gewesen 322 . Bei ihrem Einsatzfragt das Rechenzentrum der Bank keinebeliebige TAN aus der dem Kunden vorliegendenListe ab, sondern eine bestimmte aus der jetztdurchnummerierten Liste. Verwandte Verfahrenwerden zum Beispiel unter den BezeichnungenmTAN 323 und eTAN 324 betrieben. Bei einemanderen, aufwändigen Verfahren werdenGrafiken und Schlüsselcodes sowohl per Internetwie auch per Mobilfunk ausgetauscht, wobeigrafische Anzeigen manuell übertragen werdenmüssen 325 .Silentbanker war der erste im Herbst 2007 aufgetreteneTrojaner, der sich unmittelbar in den Homebanking-Vorgangeinschaltete und Kontoverfügungenmanipulierte 326 . In Brasilien wird der dortsehr verbreitete Einsatz von Onlinebanking-Malware unter dem Begriff Password Stealer diskutiert327 .Die neue Generation dieser Malware überträgtzunächst nur einen Loader. Dabei handelt es sichmeistens um sehr kleine Kommandopakete, diesich zusammen mit attraktiven Anwendungen,Dokumenten oder Bildern einnisten und installie-319Command-and-Control-Server; zentrale Steuerungeines Botnetzes.320Dezentrale Steuerung eines Botnetzes durch(gekaperte) Webserver. Dabei bleibt der CC-Servergetarnt.321Daniel Bachfeld, Einzelne Bande war für zweiDrittel aller Phishing-Angriffe verantwortlich, Heiseonline 17.05.2010322Sie wird gelegentlich auch mit einerBestätigungsnummer – BEN – kombiniert.323CF, Sicherheit von Homebanking-Portalen,22.03.2008;CF, Bezahlen mit dem Handy, 25.01.2008324WP, eTAN-Generator (BW-Bank)325Fotohandy-Verfahren trickst Trojaner aus,tecchannel 05.11.2008326CF, neue Methode gegen Homebanking-Malware,06.11.2008327CF, Länderstudie Brasilien, 27.07.2008
Dieter Kochheim, <strong>Cybercrime</strong> - 51 -ren 328 . Nach der Methode, die auch die Botnetz-Malware verwendet, nimmt der Loader sodannKontakt zu seinem Update-Server auf und lädt dieProgrammteile und Einstellungen, die als Malwarezum Einsatz kommen sollen. Auf diese Weisekönnen auch neue Bestandteile installiert oder dieTarnung erneuert werden 329 .Die ersten bekannt gewordenen Formen überwachtenund protokollierten den Homebanking-Vorgang, brachen eine Überweisung des Opfersnach Eingabe der Transaktionsnummer – TAN – abund übermittelten die Kontozugangsdaten, alsoKontonummer und Persönliche Identifikationsnummer– PIN – sowie die ausgespähte TAN andie Drop Zone, den sicheren Speicherort des Täters.Danach kappte die Malware die Internetverbindungdes Opfers und verhinderte die Wiederaufnahmeder Verbindung. Aus der Drop Zonenahm der Täter die ausgespähten Daten auf undmissbrauchte das Konto des Opfers mit etwas zeitlichemVerzug.Die Entwicklung ging weiter. Neuere Methodenführen den Missbrauch direkt während der Homebanking-Sessiondes Opfers aus 330 . Dazu kann dieMalware selbständig eine Überweisung generierenmit den Empfängerdaten, die ihr entweder festeinprogrammiert sind oder die sie vom Update-Server holt. Von dem Opfer erfordert sie entwedermit Tricks die Eingabe der vom Bankservererforderten iTAN (z.B. mit einem Sicherheitshinweisoder anlässlich von Seitenaufrufen, die üblicherweisekeine Angabe einer iTAN verlangen -wie bei der Kontoübersicht) oder sie wartet, bis dasOpfer selber eine Transaktion ausführt. In diesenFällen wird dem Opfer mit entsprechend manipuliertenBildschirmanzeigen vorgegaukelt, dassnur die von ihm gewollte Transaktion ausgeführtoder bestätigt wird. Bachfeld: Solche Trojaner baueneigene Verbindungen zum Online-Banking desKunden auf und nehmen mit einer abgeluchstenTAN eigene Überweisungen vor. Dabei präsentierensie dem Anwender im Browser nachgemachteBanking-Seiten. Der Trojaner Win32.Banker.ohq328CF, Phishing mit Homebanking-Malware, 22.10.2008329CF, Formularfelder von Trojaner Limbo, 30.09.2008330Daniel Bachfeld, Zahl oder Karte. Sicherer Zugriffaufs Online-Konto, c't 17/2008, S. 94soll beispielsweise laut dem Antiviren-Spezialisten Kaspersky 56 Bankenseitenimitieren können.Eine Variante davon übermittelt den Beginn derHomebanking-Session dem Täter, der sich dannals Man-in-the-Middle einklinken kann und die beschriebenenManipulationen von Handdurchführen kann.Auf eine gemeine Phishing-Variante ist ein Mitarbeiterder US-Supermarktkette Supervalu hereingefallen.In einer E-Mail haben die Täter behauptet,dass sich die Kontoverbindungen von zweiLieferanten geändert habe. Der Mitarbeiteränderte die Kontodaten. Dadurch flosseninnerhalb weniger Tage etwa 10 Millionen $ aufNimmerwiedersehen auf die Konten der Phisher331.A.4 5.3 BeutesicherungFinanzagenten dienen dazu, die Geldbeträge vonden Konten der Phishingopfer an die Hinterleuteweiter zu senden. In den frühen Fällen versuchtendie Täter, das Geld unmittelbar in die Länderdes Baltikums oder nach Russland zu überweisen,was an den Sicherheitsprüfungen der Bankenganz überwiegend scheiterte.Die Finanzagenten wurden meistens damit beauftragt,das auf ihren Konten eingehende Geld überWestern Union ins Ausland zu transferieren 332 .Das Unternehmen geriet dadurch in den Ruf,leichtfertig Kriminelle zu unterstützen, und leitetebereits 2006 Gegenmaßnahmen ein. Seither sindkeine anonymen Transaktionen in Deutschlandmöglich und müssen sich alle Kunden ausweisen.Im Ausland sieht das anders aus; die Empfängerbleiben unerkannt.Nach einem oder zwei Einsätzen sind die Finanzagentenverbrannt. Sie machen sich wegenleichtfertiger Geldwäsche strafbar 333 (§ 261StGB) und haften den Phishingopfern in vollerHöhe des Geldbetrages, der ihren Konten belas-331CF, Kontoverbindungs-Phishing, 31.10.2007332CF, Auslandsüberweisungen per Bargeldtransfer,2007333CF, Finanzagenten, 2007
- Seite 2 und 3: Dieter Kochheim, Cybercrime - 2 -3
- Seite 4 und 5: Dieter Kochheim, Cybercrime - 4 -57
- Seite 6: Dieter Kochheim, Cybercrime - 6 -A.
- Seite 9 und 10: Dieter Kochheim, Cybercrime - 9 -ve
- Seite 11 und 12: Dieter Kochheim, Cybercrime - 11 -A
- Seite 13 und 14: Dieter Kochheim, Cybercrime - 13 -A
- Seite 15 und 16: Dieter Kochheim, Cybercrime - 15 -g
- Seite 17 und 18: Dieter Kochheim, Cybercrime - 17 -V
- Seite 19 und 20: Dieter Kochheim, Cybercrime - 19 -v
- Seite 21 und 22: Dieter Kochheim, Cybercrime - 21 -D
- Seite 23 und 24: Dieter Kochheim, Cybercrime - 23 -l
- Seite 25 und 26: Dieter Kochheim, Cybercrime - 25 -f
- Seite 27 und 28: Dieter Kochheim, Cybercrime - 27 -A
- Seite 29 und 30: Dieter Kochheim, Cybercrime - 29 -D
- Seite 31 und 32: Dieter Kochheim, Cybercrime - 31 -1
- Seite 33 und 34: Dieter Kochheim, Cybercrime - 33 -g
- Seite 35 und 36: Dieter Kochheim, Cybercrime - 35 -i
- Seite 37 und 38: Dieter Kochheim, Cybercrime - 37 -A
- Seite 39 und 40: Dieter Kochheim, Cybercrime - 39 -h
- Seite 41 und 42: Dieter Kochheim, Cybercrime - 41 -r
- Seite 43 und 44: Dieter Kochheim, Cybercrime - 43 -A
- Seite 45 und 46: Dieter Kochheim, Cybercrime - 45 -A
- Seite 47 und 48: Dieter Kochheim, Cybercrime - 47 -A
- Seite 49: Dieter Kochheim, Cybercrime - 49 -A
- Seite 53 und 54: Dieter Kochheim, Cybercrime - 53 -
- Seite 55 und 56: Dieter Kochheim, Cybercrime - 55 -A
- Seite 57 und 58: Dieter Kochheim, Cybercrime - 57 -
- Seite 59 und 60: Dieter Kochheim, Cybercrime - 59 -A
- Seite 61 und 62: Dieter Kochheim, Cybercrime - 61 -B
- Seite 63 und 64: Dieter Kochheim, Cybercrime - 63 -B
- Seite 65 und 66: Dieter Kochheim, Cybercrime - 65 -V
- Seite 67 und 68: Dieter Kochheim, Cybercrime - 67 -D
- Seite 69 und 70: Dieter Kochheim, Cybercrime - 69 -I
- Seite 71 und 72: Dieter Kochheim, Cybercrime - 71 -S
- Seite 73 und 74: Dieter Kochheim, Cybercrime - 73 -B
- Seite 75 und 76: Dieter Kochheim, Cybercrime - 75 -B
- Seite 77 und 78: Dieter Kochheim, Cybercrime - 77 -z
- Seite 79 und 80: Dieter Kochheim, Cybercrime - 79 -B
- Seite 81 und 82: Dieter Kochheim, Cybercrime - 81 -A
- Seite 83 und 84: Dieter Kochheim, Cybercrime - 83 -D
- Seite 85 und 86: Dieter Kochheim, Cybercrime - 85 -a
- Seite 87 und 88: Dieter Kochheim, Cybercrime - 87 -r
- Seite 89 und 90: Dieter Kochheim, Cybercrime - 89 -C
- Seite 91 und 92: Dieter Kochheim, Cybercrime - 91 -C
- Seite 93 und 94: Dieter Kochheim, Cybercrime - 93 -k
- Seite 95 und 96: Dieter Kochheim, Cybercrime - 95 -a
- Seite 97 und 98: Dieter Kochheim, Cybercrime - 97 -s
- Seite 99 und 100: Dieter Kochheim, Cybercrime - 99 -d
- Seite 101 und 102:
Dieter Kochheim, Cybercrime - 101 -
- Seite 103 und 104:
Dieter Kochheim, Cybercrime - 103 -
- Seite 105 und 106:
Dieter Kochheim, Cybercrime - 105 -
- Seite 107 und 108:
Dieter Kochheim, Cybercrime - 107 -
- Seite 109 und 110:
Dieter Kochheim, Cybercrime - 109 -
- Seite 111 und 112:
Dieter Kochheim, Cybercrime - 111 -
- Seite 113 und 114:
Dieter Kochheim, Cybercrime - 113 -
- Seite 115 und 116:
Dieter Kochheim, Cybercrime - 115 -
- Seite 117 und 118:
Dieter Kochheim, Cybercrime - 117 -
- Seite 119 und 120:
Dieter Kochheim, Cybercrime - 119 -
- Seite 121 und 122:
Dieter Kochheim, Cybercrime - 121 -
- Seite 123 und 124:
Dieter Kochheim, Cybercrime - 123 -
- Seite 125 und 126:
Dieter Kochheim, Cybercrime - 125 -