Cybercrime

Dieter Kochheim, Cybercrime - 51 -ren 328 . Nach der Methode, die auch die Botnetz-Malware verwendet, nimmt der Loader sodannKontakt zu seinem Update-Server auf und lädt dieProgrammteile und Einstellungen, die als Malwarezum Einsatz kommen sollen. Auf diese Weisekönnen auch neue Bestandteile installiert oder dieTarnung erneuert werden 329 .Die ersten bekannt gewordenen Formen überwachtenund protokollierten den Homebanking-Vorgang, brachen eine Überweisung des Opfersnach Eingabe der Transaktionsnummer – TAN – abund übermittelten die Kontozugangsdaten, alsoKontonummer und Persönliche Identifikationsnummer– PIN – sowie die ausgespähte TAN andie Drop Zone, den sicheren Speicherort des Täters.Danach kappte die Malware die Internetverbindungdes Opfers und verhinderte die Wiederaufnahmeder Verbindung. Aus der Drop Zonenahm der Täter die ausgespähten Daten auf undmissbrauchte das Konto des Opfers mit etwas zeitlichemVerzug.Die Entwicklung ging weiter. Neuere Methodenführen den Missbrauch direkt während der Homebanking-Sessiondes Opfers aus 330 . Dazu kann dieMalware selbständig eine Überweisung generierenmit den Empfängerdaten, die ihr entweder festeinprogrammiert sind oder die sie vom Update-Server holt. Von dem Opfer erfordert sie entwedermit Tricks die Eingabe der vom Bankservererforderten iTAN (z.B. mit einem Sicherheitshinweisoder anlässlich von Seitenaufrufen, die üblicherweisekeine Angabe einer iTAN verlangen -wie bei der Kontoübersicht) oder sie wartet, bis dasOpfer selber eine Transaktion ausführt. In diesenFällen wird dem Opfer mit entsprechend manipuliertenBildschirmanzeigen vorgegaukelt, dassnur die von ihm gewollte Transaktion ausgeführtoder bestätigt wird. Bachfeld: Solche Trojaner baueneigene Verbindungen zum Online-Banking desKunden auf und nehmen mit einer abgeluchstenTAN eigene Überweisungen vor. Dabei präsentierensie dem Anwender im Browser nachgemachteBanking-Seiten. Der Trojaner Win32.Banker.ohq328CF, Phishing mit Homebanking-Malware, 22.10.2008329CF, Formularfelder von Trojaner Limbo, 30.09.2008330Daniel Bachfeld, Zahl oder Karte. Sicherer Zugriffaufs Online-Konto, c't 17/2008, S. 94soll beispielsweise laut dem Antiviren-Spezialisten Kaspersky 56 Bankenseitenimitieren können.Eine Variante davon übermittelt den Beginn derHomebanking-Session dem Täter, der sich dannals Man-in-the-Middle einklinken kann und die beschriebenenManipulationen von Handdurchführen kann.Auf eine gemeine Phishing-Variante ist ein Mitarbeiterder US-Supermarktkette Supervalu hereingefallen.In einer E-Mail haben die Täter behauptet,dass sich die Kontoverbindungen von zweiLieferanten geändert habe. Der Mitarbeiteränderte die Kontodaten. Dadurch flosseninnerhalb weniger Tage etwa 10 Millionen $ aufNimmerwiedersehen auf die Konten der Phisher331.A.4 5.3 BeutesicherungFinanzagenten dienen dazu, die Geldbeträge vonden Konten der Phishingopfer an die Hinterleuteweiter zu senden. In den frühen Fällen versuchtendie Täter, das Geld unmittelbar in die Länderdes Baltikums oder nach Russland zu überweisen,was an den Sicherheitsprüfungen der Bankenganz überwiegend scheiterte.Die Finanzagenten wurden meistens damit beauftragt,das auf ihren Konten eingehende Geld überWestern Union ins Ausland zu transferieren 332 .Das Unternehmen geriet dadurch in den Ruf,leichtfertig Kriminelle zu unterstützen, und leitetebereits 2006 Gegenmaßnahmen ein. Seither sindkeine anonymen Transaktionen in Deutschlandmöglich und müssen sich alle Kunden ausweisen.Im Ausland sieht das anders aus; die Empfängerbleiben unerkannt.Nach einem oder zwei Einsätzen sind die Finanzagentenverbrannt. Sie machen sich wegenleichtfertiger Geldwäsche strafbar 333 (§ 261StGB) und haften den Phishingopfern in vollerHöhe des Geldbetrages, der ihren Konten belas-331CF, Kontoverbindungs-Phishing, 31.10.2007332CF, Auslandsüberweisungen per Bargeldtransfer,2007333CF, Finanzagenten, 2007