Schläfer im System
Keylogger machen dem traditionellen Phishing Konkurrenz
Zwei spektakuläre Online-Banking-Betrugsserien in Brasilien und Frankreich deuten auf ein neues Gefahrenpotenzial speziell für Online-Banker hin: Keylogger, die sich heimlich im Rechner einnisten und gezielt alle Online-Banking-Aktivitäten mitschneiden. Solche Spionageprogramme sind an sich ein alter Hut. Doch die neuen Schnüffler können mehr als ihre Vorgänger. Ihre Programmierer sind bei den Email-Phishern in die Lehre gegangen und gaukeln ihren ahnungslosen Opfern gefälschte Webseiten ihrer Hausbanken vor.
Eltern nutzen sie zur Kontrolle ihres surfenden Nachwuchses. Arbeitgeber kontrollieren damit heimlich die Arbeitsmoral ihrer Angestellten, und eifersüchtige Zeitgenossen überwachen mit ihrer Hilfe die Chat- und Emailaktivitäten ihrer Lebenspartner. Die Rede ist von Keyloggern, jenen Spionageprogrammen, die in der Lage sind, sämtliche Nutzeraktivitäten am PC lückenlos zu protokollieren, abzuspeichern und an denjenigen zu senden, der die agilen Software-Wanzen im Rechner seines Opfers platziert hat. Auch Cyberkriminelle nutzen immer öfter die praktischen, kleinen Spionageprogramme, um das Verhalten ihrer ahnungslosen Opfer auszuschnüffeln - mittlerweile auch beim Online-Banking.
Schlafende Trojaner
Die Serie illegaler Banktransaktionen, mit der sich die französischen Ermittlungsbehörden gut elf Monate lang herumschlagen mussten, begann im November 2004. Ein Bankkunde hatte Anzeige erstattet, weil Unbekannte sein Konto rigoros geplündert hatten. Es dauerte nicht lange, bis sich weitere Opfer meldeten. Sie stammten aus allen Regionen Frankreichs, besaßen Online-Banking-Accounts und hatten festgestellt, dass auf ihren Konten plötzlich große Geldbeträge fehlten.
IT-Spezialisten untersuchten die PCs der geprellten Kunden und stellten fest, dass alle Rechner mit dem gleichen Trojanischen Pferd infiziert worden waren. Dieser Trojaner arbeitete als Keylogger. Er gelangte via Email oder beim Besuch manipulierter Webseiten in die Rechner seiner Opfer. Wie ein so genannter "Schläfer", der sich als harmloser Zeitgenosse tarnt und als Spion erst dann aktiv wird, wenn er den entsprechenden Befehl erhält, verhielt sich der Spionagetrojaner in den Opferrechnern zunächst völlig unauffällig. Aktiv wurde er erst dann, wenn sich seine Opfer via Internet mit ihrer Bank in Verbindung setzten. Von nun an protokollierte er sämtliche Tastatureingaben und sandte sie an seine Urheber.
Die Cyberbetrüger werteten die empfangenen Daten aus und gelangten in den Besitz der Kontozugangsdaten ihrer Opfer. Anschließend räumten sie die Konten leer. Dabei kam ihnen offenbar zugute, dass bei etlichen französischen Banken Überweisungen ohne zusätzliche Sicherheitsmaßnahmen allein schon mit den Zugangsdaten möglich sind. Die französischen Ermittler verfolgten die Spuren der Täter bis nach Russland und in die Ukraine. Als die Cyberkriminellen nach elfmonatiger Ermittlungsarbeit schließlich in Moskau und St. Petersburg dingfest gemacht werden konnten, hatten sie etliche französische Online-Banker um die stattliche Summe von insgesamt rund einer Million Euro erleichtert.
Betrugsserie bei brasilianischen Banken
Die cyberkriminelle Betrugsserie bei französischen Banken ist kein Einzelfall und der kriminelle Einsatz von Keyloggern keine Ausnahme. Kürzlich wurde in Brasilien ein Internetbetrügerring zerschlagen, der sich ähnlicher Methoden bediente, um die Konten seiner Opfer zu plündern. Hier kamen Keylogger vom Schlage eines Troj/Bancban-BI zum Einsatz. Die kriminellen Urheber dieses Schadprogramms hatten ihre Software-Wanze ebenfalls als Schläfer programmiert, der nur dann wach wurde, wenn die Webseiten bestimmter Banken angesurft wurden. Anschließend zeigte der Trojaner gefälschte Login-Seiten an, um den Nutzer zur Eingabe vertraulicher Daten zu bewegen. Erbeutet wurden rund 4,7 Millionen US-Dollar von zweihundert verschiedenen Online-Banking-Accounts bei sechs brasilianischen Banken.
Ähnliche Fälle gab es auch schon hier zu Lande - allerdings in weitaus kleinerem Maßstab. Betroffen waren im September 2004 Kunden der Postbank und der Dresdner Bank. Sie hatten sich den Trojaner Bizex-E eingefangen. Bizex-E hatte die Aufgabe, PIN und TAN seiner Opfer abzufischen und an seine Urheber weiterzuleiten. Nachdem die Opfer ihre TAN eingegeben hatten, unterbrach der Trojaner die Verbindung zum Bankserver mit einer Fehlermeldung. Anschließend nutzten die Betrüger die noch "unverbrauchte" TAN, um die Konten leerzuräumen. Vom Konto eines Kunden der Dresdener Bank sollen auf diese Weise 6.800 Euro auf ein Konto in Lettland überwiesen worden sein. Einen weiteren Fall soll es bei der Postbank gegeben haben. Auch hier brach die Verbindung zum Bankserver ab, nachdem der Kunde seine TAN eingegeben hatte. In beiden Fällen konnte das Geld dank der schnellen Reaktion der Betroffenen wieder zurückgebucht werden.
Keylogging goes phishing
Herkömmliche Keylogging-Programme sind für den Betrug bei deutschen Banken in der Regel denkbar schlecht geeignet. Sie protokollieren zwar die Zugangsdaten sowie alle Transaktionsnummern, mit denen sich die Banken jede Online-Transaktion ihrer Kunden von der Überweisung bis zum Dauerauftrag "unterschreiben" lassen. Da die mitprotokollierte TAN jedoch sofort an die Bank übermittelt wird, ist sie für den Online-Banking-Betrüger anschließend wertlos. Sie ist "verbraucht". Der Online-Spion kann sich mit den abgefischten Benutzerdaten zwar in den ausspionierten Account einloggen. Leerräumen kann er das Konto mangels gültiger TAN dann allerdings nicht mehr - es sei denn, der Keylogger unterbricht wie Bizex-E rechtzeitig nach Eingabe der TAN die Verbindung zum Bankserver.
Spezial-Keylogger wie etwa Multitalent PWSteal.Bankash.E wählen einen anderen Weg. Wie seine Kollegen, die in Frankreich und Brasilien zum Einsatz kamen, verhält sich PWSteal.Bankash.E im befallenen PC zunächst völlig unauffällig. Er wird erst dann aktiv, wenn auf bestimmte Bankwebseiten zugegriffen wird, deren Login-URLs in seinem Quellcode gelistet sind: britische, australische und neuseeländische Banken. Wird eine der gespeicherten Webadressen angesurft, zeigt der Trojaner die passende, aber gefälschte Webseite an und speichert von nun an sämtliche Tastatureingaben. Anschließend schickt er die Daten an einen FTP-Server.
Huckepack in den PC
Moderne Keylogger wie Troj/Bancban-BI und PWSteal.Bankash.E haben mit ihren einfach gestrickten Vorgängern nur noch die Basisfunktionen gemein. Sie kommen als Trojanische Pferde per Email in den heimischen PC oder werden arglosen Surfern beim Besuch manipulierter Webseiten untergeschoben. Zuweilen gelangen sie auch Huckepack beim Software-Download aus dem Netz oder aus Tauschbörsen in den PC. Etliche der neuen Keylogger schneiden nicht nur alle Tastatureingaben mit, sondern fertigen drüber hinaus Screenshots des Bildschirms an und protokollieren sämtliche Mausbewegungen.
Auf diesem Wege lassen sich beispielsweise Online-Banking-Systeme überwinden, die mit virtuellen Tastaturen arbeiten. Geheimzahlen werden hier nicht mehr per Keyboard, sondern per Klick auf die Tasten der virtuellen Tastatur eingegeben. Der Keylogger merkt sich alle Bildschirmpositionen und Mausklicks und liefert sie zusammen mit den entsprechenden Screenshots an seine Urheber zurück, die daraus die verwendeten Geheimzahlen ermitteln können. Daneben greifen die Cyberkriminellen auf eben jene Tricks zurück, die bereits beim Phishing erfolgreich zur Anwendung kamen. Sie gaukeln dem Nutzer vor, er befinde sich auf den gesicherten Webseiten seiner Bank und müsse aus bestimmten Gründen beispielsweise eine zusätzliche TAN eingeben. Die TAN kann anschließend benutzt werden, um das Opferkonto leerzuräumen.
Explosionsartige Zunahme der Zahl der Keylogger
Experten warnen seit Monaten vor der wachsenden Bedrohung durch Keylogger. Spektakuläre Fälle wie die Betrugsserien in Frankreich und Brasilien geben ihnen Recht. Ob das Phishing per Keylogger tatsächlich die traditionelle Betrugsmethode des Email-Phishing verdrängen kann, mag dahingestellt bleiben. Fest steht jedoch, dass immer mehr Keylogger ausgesetzt werden, um die persönlichen Daten ihrer Opfer abzufischen. Ihre Zahl ist in den letzten sechs Jahren laut US-Sicherheitsunternehmen iDefense explosionsartig in die Höhe geschossen.
Keylogger werden nicht nur gegen die Besitzer von Online-Banking-Accounts eingesetzt. Im Visier der cyberkriminellen Keylogger-Verbreiter stehen Benutzerkonten aller Art. Jede eCommerce-Webseite von Amazon über eBay bis zum kleinen Online-Laden ist für Online-Betrüger interessant. Sie spionieren die persönlichen Zugangsdaten ihrer Opfer aus und benutzen sie anschließend, um etwa bei eBay nicht existierende Waren zu verkaufen und sich im Voraus bezahlen zu lassen. Oder sie kaufen im großen Stil online auf Kosten der Ausspionierten ein und lassen die Waren an Mittelsmänner liefern, die sie anschließend sofort weiter verkaufen und den Erlös abzüglich ihrer "Provision" an die kriminellen Webbetrüger schicken (Auftragswürmer für die Mafia).
Die Opfer, deren Identität gestohlen und missbraucht wurde, fallen dann aus allen Wolken, wenn sie Waren bezahlen oder liefern sollen, die sie nie bestellt bzw. nie in einem Internetauktionshaus zur Versteigerung angeboten haben. Sie müssen sich unter Umständen auf langwierige juristische Auseinandersetzungen einstellen. Wenn es um Betrug beim Online-Banking geht, springen derzeit noch die betroffenen Banken ein - aus Kulanzgründen. Eine rechtliche Verpflichtung haben sie dazu nicht.
In der Telepolis-Buchreihe ist von Alfred Krüger erschienen: Angriffe aus dem Netz. Die neue Szene des digitalen Verbrechens