Bank – datensicherheit.de Informationen zu Datensicherheit und Datenschutz https://www.datensicherheit.de Datensicherheit und Datenschutz im Überblick Tue, 04 Jun 2024 15:03:36 +0000 de hourly 1 Phishing-Angriffe bleiben in Deutschland weiterhin ein großes Problem https://www.datensicherheit.de/phishing-angriffe-bleiben-in-deutschland-weiterhin-ein-grosses-problem https://www.datensicherheit.de/phishing-angriffe-bleiben-in-deutschland-weiterhin-ein-grosses-problem#respond Tue, 04 Jun 2024 15:03:36 +0000 https://www.datensicherheit.de/?p=44797 biocatch-anatomie-phishing-angriffLaut einer aktuellen Kaspersky-Umfrage sind bereits 17 Prozent aller Deutschen auf Phishing-Attacken hereingefallen.]]> biocatch-anatomie-phishing-angriff

Mehrere bekannte Finanzinstitute und selbst die KfW Bank warnen vor gefälschten Webseiten und Phishing-Mails

[datensicherheit.de, 04.06.2024] Immer wieder wird vor Phishing-E-Mails und SMS-Mitteilungen im Namen verschiedener Banken gewarnt. Aktuell sind demnach gefälschte Nachrichten unter anderem im Namen der Volksbank Raiffeisenbank, der Targobank oder der comdirect im Umlauf – und selbst die KfW Bank warnt vor gefälschten Webseiten und Phishing-Mails. Dass Phishing-Angriffe in Deutschland nach wie vor erfolgreich seien, belegten aktuelle Studien: Laut einer aktuellen Kaspersky-Umfrage sollen bereits 17 Prozent aller Deutschen auf entsprechende Attacken hereingefallen sein. Aktuelle Ergebnisse von BioCatch zeigten zudem, dass Deutschland im Vergleich zu anderen europäischen Ländern nach wie vor ein größeres Problem mit Phishing habe.

biocatch-anatomie-phishing-angriff

Abbildung: BioCatch

BioCatch beschreibt die typische Anatomie eine Phishing-Angriffs

Phishing-Angriffe aus Basis von Social Engineering

Phishing gilt als eine Form von „Social Engineering“: Dabei werden schriftliche Nachrichten – meist E-Mails – verschickt, die scheinbar von seriösen Quellen stammen. So erhalten potenzielle Opfer beispielsweise eine Nachricht, die vorgibt, von ihrer Bank zu stammen. Diese enthält dann einen Text, welcher die Empfänger dazu verleiten soll, auf einen integrierten Link zu klicken, um bestimmte Aktionen mit ihrem Konto durchzuführen.

So werden Nutzer beispielsweise aufgefordert, ein Sicherheitsupdate einzuleiten, um weiterhin Online-Banking nutzen zu können, ihre Kontodaten zu aktualisieren, um den AML-Vorschriften zu entsprechen, oder sie werden darüber informiert, dass eine dringende Steuerzahlung erforderlich ist, um eine Geldstrafe zu vermeiden…

Phishing-Webseite sieht imitierter echter Homepage täuschend ähnlich

Gelingt es, die Empfänger glauben zu machen eine echte E-Mail vor sich zu haben, klicken diese auf den Link und gelangen dann auf eine Phishing-Website, welche der täuschend echt imitierten Website sehr ähnlich sieht. Auf dieser Website werden dann persönliche Daten abgefragt – und sobald die Nutzer diese eingegeben haben, sind die Betrüger im Besitz ihrer Zugangsdaten und können online auf ihr Bankkonto zugreifen, um nach Belieben Transaktionen durchzuführen und Zahlungen zu veranlassen. In anderen Fällen können sie im Namen ihrer Opfer sogar Kredite aufnehmen und erhalten so zusätzliche finanzielle Mittel, welche sie sich auszahlen lassen können.

Manche Betrüger nutzen erbeutete Zugangsdaten sogar in Echtzeit. Dies geschieht laut BioCatch vor allem dann, wenn eine Zwei-Faktor-Authentifizierung (ZFA) erforderlich ist: „Die betrügerischen Akteure nutzen die Phishing-Website, um von den Opfern diese zusätzlichen Informationen wie Einmalpasswörter (OTPs) zu erhalten.“

Empfehlungen zum Erkennen eines Phishing-Angriffs

„Vorsicht ist besser als Nachsicht!“, rät BioCatch. Auch wenn es unvermeidlich sei, irgendwann Phishing-E-Mails zu erhalten, könnten die Empfänger durch richtiges Verhalten verhindern, Opfer eines Betrugs zu werden. Bestimmte Merkmale der Nachricht sollten zumindest misstrauisch machen – beispielsweise wenn sie vorgibt, dringend handeln zu müssen und mit harten Konsequenzen droht, wenn sie zur Eingabe vertraulicher Daten wie PINs auffordert oder wenn das Anliegen des Absenders ungewöhnlich erscheint.

Viele Behörden und Organisationen seien sich bewusst, dass Aufklärung „die beste Waffe“ sei, und arbeiteten daran, das Bewusstsein für diese betrügerischen Kampagnen zu schärfen. So habe beispielsweise der deutsche Zoll einen Ratgeber für deutsche Bürger herausgegeben, welcher beschreibt, wie man sich schützen kann. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) informiert ausführlich über Phishing-Angriffe, unter anderem auf einer Webseite mit Beispielen für Phishing-E-Mails.

Mittels KI erreicht Phishing-Betrug eine neue Dimension

„Nicht zuletzt durch KI erreicht Betrug eine neue Dimension: Im vergangenen Jahr haben wir gesehen, wie Betrüger KI genutzt haben, um sehr gezielte und personalisierte Videos, Sprachnachrichten, E-Mails, ,WhatsApp’-Nachrichten und SMS zu erstellen. Ihr Ziel ist es, die Sicherheitsvorkehrungen der Banken zu umgehen und noch mehr Menschen in die Falle zu locken, so Tom Peacock, „Director, Global Fraud Intelligence“ bei BioCatch, in seinem warnenden Kommentar.

Er führt weiter aus: „Das ist keine Bedrohung, die erst in der Zukunft auf uns zukommt. Sie existiert bereits. Banken müssen nun handeln, um sich und ihre Kunden zu schützen.“ Aber auch die Kunden selbst müssten ihre Sinne schärfen und wachsam sein, um nicht auf Phishing-Angriffe hereinzufallen. Peacock rät Kunden, sich im Zweifelsfall lieber an die Bank wenden, bevor sie auf Handlungsaufforderungen reagieren und im schlimmsten Fall viel Geld verlieren.

Weitere Informationen zum Thema:

ZOLL
Achtung vor Phishing-Mails und gefälschten Steuerbescheiden der Zollverwaltung

KfW Bank aus Verantwortung
Warnung vor Fake-Websites und Phishing-Mails

Bundesamt für Sicherheit in der Informationstechnik
Wie erkenne ich Phishing-E-Mails und -Webseiten? / Fälschungen von E-Mails und Webseiten sehen immer professioneller aus

biallo.de, Franziska Baum, 03.06.2024
Geld in Gefahr / Volksbank Raiffeisenbank Phishing: Diese E-Mails und SMS sind Spam + Betrug

biallo.de, Franziska Baum, 03.06.2024
Gefährliche E-Mails / Comdirect Phishing: Diese E-Mails und SMS sind Spam, Fake, Betrug

biallo.de, Franziska Baum, 31.05.2024
Targobank-Spam / Targobank Phishing: Diese E-Mails und SMS sind Betrug

datensicherheit.de, 28.05.2024
Kaspersky-Umfrage: Bereits 17 Prozent aller Deutschen auf Phishing-Attacken reingefallen / 13 Prozent haben trotz Phishing-Vorfall Zugangsdaten nicht geändert

BioCatch, 10.04.2024
BioCatch Releases Comprehensive Analysis of Banking-Fraud and Financial-Crime Trends in Germany

]]>
https://www.datensicherheit.de/phishing-angriffe-bleiben-in-deutschland-weiterhin-ein-grosses-problem/feed 0
300.000 Euro Bußgeld gegen Bank: Computer sagte nein zu Kreditkartenantrag https://www.datensicherheit.de/300-000-euro-bussgeld-bank-computer-nein-kreditkartenantrag https://www.datensicherheit.de/300-000-euro-bussgeld-bank-computer-nein-kreditkartenantrag#respond Wed, 31 May 2023 11:27:54 +0000 https://www.datensicherheit.de/?p=43227 Berliner Beauftragte für Datenschutz und Informationsfreiheit ahndet mangelnde Transparenz einer Bank bei automatisierter Ablehnung

[datensicherheit.de, 31.05.2023] Laut einer aktuellen Meldung der Berliner Beauftragten für Datenschutz und Informationsfreiheit (BlnBDI) wurde von ihr gegen eine Bank ein Bußgeld in Höhe von 300.000 Euro „wegen mangelnder Transparenz über eine automatisierte Einzelentscheidung“ verhängt. Diese Bank hatte sich demnach geweigert, einem Kunden nachvollziehbare Auskünfte über die Gründe der automatisierten Ablehnung eines Kreditkartenantrags zu erteilen. Die BlnBDI hat nach eigenen Angaben festgestellt, „dass die Bank in dem konkreten Fall gegen Art. 22 Abs. 3, Art. 5 Abs. 1 lit. a und Art. 15 Abs. 1 lit. h DSGVO verstoßen hat“. Bei der Bußgeldzumessung habe die BlnBDI insbesondere den hohen Umsatz der Bank sowie die vorsätzliche Ausgestaltung des Antragsprozesses und der Auskunft berücksichtigt. Als bußgeldmindernd sei u.a. eingestuft worden, dass das Unternehmen den Verstoß eingeräumt sowie Änderungen an den Prozessen bereits umgesetzt und weitere Verbesserungen angekündigt habe – das Unternehmen habe umfassend mit der BlnBDI kooperiert und den Bußgeldbescheid akzeptiert.

Banken müssen aussagekräftige Informationen über involvierte Logik geben

Bei einer automatisierten Entscheidung urteilt ein IT-System ausschließlich auf Grundlage von Algorithmen – ohne menschliches Eingreifen. Für diesen Fall sieht die Datenschutz-Grundverordnung (DSGVO) laut BlnBDI spezielle Transparenzpflichten vor. So müssten personenbezogenen Daten in einer für die betroffenen Personen nachvollziehbaren Weise verarbeitet werden. Betroffene Personen hätten zudem einen Anspruch auf Erläuterung der nach einer entsprechenden Bewertung getroffenen Entscheidung. „Beantragen betroffene Personen bei den Verantwortlichen eine Auskunft, müssen diese aussagekräftige Informationen über die involvierte Logik hinter der automatisierten Entscheidung erteilen.“

In diesem Fall habe die Bank dies jedoch bei ihrem digitalen Antrag für eine Kreditkarte nicht beherzigt. Über ein Online-Formular habe die Bank verschiedene Daten über Einkommen, Beruf und Personalien des Antragstellers abgefragt. Anhand dieser abgefragten Informationen und zusätzlicher Daten aus externen Quellen habe der Bank-Algorithmus den Antrag des Kunden ohne besondere Begründung abgelehnt. Der Algorithmus basiere auf zuvor von der Bank definierten Kriterien und Regeln.

Bank hatte auf Nachfrage lediglich pauschale und vom Einzelfall gelöste Angaben zum Scoring-Verfahren gemacht

„Da der Kunde einen guten Schufa-Score und ein regelmäßiges hohes Einkommen hatte, bezweifelte er die automatisierte Ablehnung.“ Die Bank habe auch auf Nachfrage lediglich pauschale und vom Einzelfall gelöste Angaben zum Scoring-Verfahren gemacht, sich jedoch geweigert, ihm mitzuteilen, „warum sie in seinem Fall von einer schlechten Bonität ausging“. Der Beschwerdeführer habe somit nicht nachvollziehen können, „welche Datenbasis und Faktoren der Ablehnung zugrunde lagen und anhand welcher Kriterien sein Kreditkartenantrag dementsprechend abgelehnt worden ist“. Ohne diese Einzelfallbegründung sei es ihm aber auch nicht möglich gewesen, die automatisierte Einzelentscheidung sinnvoll anzufechten. Daraufhin habe er sich bei der BlnBDI beschwert.

„Wenn Unternehmen automatisiert Entscheidungen treffen, sind sie verpflichtet, diese stichhaltig und nachvollziehbar zu begründen. Die Betroffenen müssen in der Lage sein, die automatisierte Entscheidung nachzuvollziehen“, kommentiert Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit. Dass die Bank in diesem Fall auch auf Anfrage nicht transparent und nachvollziehbar über die automatisierte Ablehnung informiert habe, „hat ein Bußgeld zur Folge“. Eine Bank sei verpflichtet, die Kunden bei der automatisierten Entscheidung über einen Kreditkartenantrag über die tragenden Gründe einer Ablehnung zu unterrichten. „Hierzu zählen konkrete Informationen zur Datenbasis und den Entscheidungsfaktoren sowie die Kriterien für die Ablehnung im Einzelfall“, betont Kamp.

]]>
https://www.datensicherheit.de/300-000-euro-bussgeld-bank-computer-nein-kreditkartenantrag/feed 0
Remote Work: Sichere Endgeräte der Banken elementar für Sicherheit der Kunden https://www.datensicherheit.de/remote-work-sicherheit-endgeraete-banken-grundsatz-kunden https://www.datensicherheit.de/remote-work-sicherheit-endgeraete-banken-grundsatz-kunden#respond Fri, 19 Aug 2022 12:57:29 +0000 https://www.datensicherheit.de/?p=42277 Banken müssen einen vertrauenswürdigen Zugriff auf Unternehmensanwendungen von jedem Ort aus sicherstellen. ]]>

Mehr noch als andere Einrichtungen brauchen Banken fortschrittlichen Schutz für Mitarbeiter im Home-Office

[datensicherheit.de, 19.08.2022] „So schnell wie das Home-Office für Unternehmen und Angestellte zur Routine wurde, so schnell kamen auch die Gefahren. Aktuell setzen viele Firmen weiterhin auf VPN-Tunnel für den Zugriff auf das Unternehmensnetzwerk, obwohl die Technologie den Sicherheitsanforderungen dieser neuen Rahmenbedingungen schlicht nicht mehr gerecht wird“, so Lothar Geuenich, „VP Central Europe / DACH“ bei Check Point Software Technologies, in seiner aktuellen Stellungnahme. Eine aktivierte VPN-Verbindung leite jeden Datenverkehr durch das Unternehmensnetzwerk. Dies könne besonders für Institutionen mit hochsensiblen Daten, wie Banken und Finanzdienstleister, zur Gefahr werden. Geuenich erläutert: „Surft man dann entweder mit dem Firmenlaptop privat im Netz oder nutzt umgekehrt den privaten Laptop für die Arbeit, entstehen Sicherheitsrisiken. Denn jede Malware, die das Gerät befällt, kann sich über den VPN-Tunnel direkten Zugang zum Unternehmen verschaffen – erleichtert durch den Umstand, dass man sich zuhause außerhalb der geschützten Umgebung der Firmen-IT befindet.“

check-point-lothar-geuenich

Foto: CHECK POINT

Lothar Geuenich: Besonders beim Surfen im Internet und bei der Nutzung von E-Mail- und Collaboration-Apps gilt es, ganzheitliche Schutzmaßnahmen zu implementieren…

Im Home-Office jedes Gerät potenzielle Gefahrenquelle – insbesondere für Banken

Mehr noch als andere Einrichtungen brauchten Kreditanstalten daher einen fortschrittlichen Schutz für sogenannte Remote-Mitarbeiter – und dieser sollte alle Geräte, einschließlich Tablets, mobile, BYOD- (Bring-Your-Own-Device) und von der hauseigenen IT verwaltete Geräte umfassen. Geuenich betont: „Besonders beim Surfen im Internet und bei der Nutzung von E-Mail- und Collaboration-Apps gilt es, ganzheitliche Schutzmaßnahmen zu implementieren und einen Wildwuchs an Lösungen verschiedener Anbieter zu vermeiden.“ Obendrein müssten Banken einen vertrauenswürdigen Zugriff auf Unternehmensanwendungen von jedem Ort aus sicherstellen.

Hinzu komme ein weiterer Risikofaktor, welcher branchenübergreifend häufig übersehen werde: „Die Absicherung Dritter, einschließlich Auftragnehmer, Berater und Partner, die auf Geräte und Anwendungen zugreifen.“ Deren Umsetzung von Compliance- und IT-Richtlinien könne von außen nicht nachvollzogen werden, weswegen eine standardmäßige Absicherung ab Werk zu empfehlen sei.

Tipps zur Absicherung der Mobilgeräte von Banken

Grundsätzlich beschränkten sich die Arbeitsgeräte von Angestellten in Fernarbeit und Home-Office meist auf Smartphones und Laptops. Die Prioritäten und Fokuspunkte der IT-Sicherheit unterschieden sich hierbei jedoch und es stelle sich die Frage: „Worauf kommt es bei der Absicherung von mobilen und anderen Endgeräten jeweils an?“

Die Absicherung von Mobilgeräten bei Banken braucht laut Geuenich:

  • Vollständigen Schutz vor Netzwerkangriffen, einschließlich Phishing, Smishing (Phishing über SMS oder Textnachrichten) und anderen Angriffstypen.
  • Blockierung von nicht konformen Geräten und Schwachstellen im Betriebssystem.
  • Verbesserte Einhaltung der DSGVO/GDPR (Datenschutzgrundverordnung).
  • Vollständigen Schutz der Privatsphäre der Nutzer.
  • Hohe Skalierbarkeit mit „Mobile Device Management“ für die Zero-Touch-Bereitstellung für alle Mitarbeiter.

Geuenichs Empfehlungen zur Absicherung von Endgeräten bei Banken:

  • Vollständigen Endpunktschutz und EDR (Endpoint Detection and Response).
  • Eine konsolidierte Sicherheitsarchitektur, welche Bedrohungen in Echtzeit verhindert.
  • Nahezu vollständige Automatisierung der Erkennung, Untersuchung und Behebung von Angriffen.
  • Schutz vor und automatische Behebung sowie Wiederherstellung nach erfolgten Ransomware-Angriffen.
  • Hohe Produktivität mit „Content Disarm and Reconstruction“ (CDR).
  • Reduzierte TCO (Total Cost of Ownership) mit einer einzigen Lösung, die erweiterte Überwachungs- und Berichterstattungsfunktionen für schnelle Problemlösung enthält.

Banken haben Verantwortung über sensible Geschäfts- und Finanzinformationen ihrer Kunden

Abgesicherte Endgeräte reichten jedoch nicht aus. Geuenich macht indes deutlich: „Auch der Datenverkehr zwischen ihnen muss lückenlos geschützt sein. E-Mail und Collaboration-Apps sind heutzutage zu den wichtigsten Tools für Unternehmen, aber auch zu den beliebtesten Zielen von Hackern geworden. BEC-Angriffe (Business-E-Mail Compromise) haben in der Vergangenheit bereits zahlreichen Institutionen hohe Verluste beschert.“ Um beim Schutz der vielen täglich verwendeten Applikationen wie „Outlook“, „SharePoint“, „Teams“, „OneDrive“, etc. nicht den Überblick zu verlieren, empfiehlt er die Verwendung einer einzigen Anwendung zur Überwachung aller. Dabei komme es besonders auf den Schutz vor Malware, Phishing, bösartigen Links, Kontoübernahmen und mehr an. Denn es gelte zu bedenken: Banken hätten die Verantwortung über sensible Geschäfts- und Finanzinformationen ihrer Kunden, „die diese nicht im Darknet wiederfinden wollen“.

Aus diesem Grund sollte auch nicht weniger als das sogenannte Zero-Trust-Konzept oberster Leitfaden der Sicherheitsarchitektur sein. Bei der aktuellen Bedrohungslage sei eine Null-Vertrauen-Policy alternativlos und Banken sollten bei der Umsetzung von „Zero Trust“ folgendes sicherstellen:

  • Least-Privilege-Zugriff auf Webanwendungen.
  • Sichere Shell-Server, Remote-Desktops und Datenbanken.
  • Zugriffsmanagement für Plattformen wie „Splunk“, interne WeApps, AWS-Ressourcen, etc.
  • Administratoren die Verfolgung von Benutzeraktivitäten mit aufgezeichneten Sitzungen und Prüfpfaden ermöglichen.

Insbesondere Banken sollten IT-Sicherheit der Endgeräte ihrer Tele-Mitarbeiter im Blick behalten

Besonders für Finanzinstitute und Kredithäuser sei es entscheidend, die IT-Sicherheit der Endgeräte ihrer Mitarbeiter trotz Telearbeit im Blick zu behalten. „Denn unmittelbar mit ihrer Sicherheit ist die ihrer Kunden und deren Daten verbunden.“

Geuenich Fazit zur Motivation: „IT-Verantwortliche, die zusätzlich den Mailverkehr und die Apps zur gemeinsamen Zusammenarbeit im Blick haben und ,Zero Trust’ als Grundlage für alle Sicherheitsentscheidungen nehmen, sind den Herausforderungen der modernen IT-Landschaft gewachsen.“

Weitere Informationen zum Thema:

datensicherheit.de, 25.11.2019
Zero Trust: Warum die Zeit gerade jetzt dafür reif ist / Laut einer aktuellen Studie befassen sich bereits 78 Prozent der befragten Unternehmen damit

datensicherheit.de, 15.08.2019
Firmennetzwerke bedroht: Nathan Howe empfiehlt Zero Trust Network Access / Ein Hacker verkauft gefälschte und manipulierte Apple-Ladekabel, die einen WLAN-Chip beinhalten

datensicherheit.de, 19.06.2019
Einfache Implementierung des Zero-Trust-Modells in Netzwerken / Palo Alto Networks empfiehlt Fünf-Stufen-Methode

]]>
https://www.datensicherheit.de/remote-work-sicherheit-endgeraete-banken-grundsatz-kunden/feed 0
Online-Banküberfälle: Zimperium-Sicherheitsstudie erschienen https://www.datensicherheit.de/online-bankueberfaelle-zimperium-sicherheitsstudie-2022 https://www.datensicherheit.de/online-bankueberfaelle-zimperium-sicherheitsstudie-2022#respond Tue, 07 Jun 2022 12:22:51 +0000 https://www.datensicherheit.de/?p=41865 Trojaner-Angriffe auf Mobile-Banking-Apps nehmen weltweit zu

[datensicherheit.de, 07.06.2022] Laut Zimperiums aktuellem Sicherheitsreport zum Mobile-Banking konnten über 600 Apps für Bank-, Finanz- und Krypto-Geldgeschäfte, die von Trojaner-Programmen kompromittiert werden, identifiziert werden. Zimperium, nach eigenen Angaben Anbieter von Echtzeitschutz für Mobilgeräten, hat demnach in einer neuen Studie zunehmende Risiken für Finanzinstitute und Verbraucher durch Trojaner-Angriffe auf Mobile-Banking-Apps dokumentiert.

Untersuchung aktiver Trojaner-Programme, die weltweit mobile Bank- und Finanz-Apps angreifen

„Der Bericht über die aktuelle Gefahrenlage im Finanzsektor untersucht aktive Trojaner-Programme, die weltweit mobile Bank- und Finanz-Apps angreifen.“ Sicherheitsforscher hätten über 600 Anwendungen mit mehr als einer Milliarde Downloads benennen können, „bei denen Banken-Trojaner vertrauliche Informationen und Daten stehlen“.

Neben Einsatzweise und Funktionsbeschreibung der identifizierten Schadprogramme untersuche der Zimperium-Bericht „Mobile Banking Heists: The Global Economic Threat“, welche Banking-Apps kompromittiert werden und welche Länder am stärksten betroffen sind.

Im Rahmen einer detaillierten Analyse von zehn großen Banking-Trojaner-Familien und den angegriffenen Mobilanwendungen zeige der Bericht anhand einer Chronik auf, „wie sich die Bedrohungslage durch Bankentrojaner verschärft hat“.

Rückbau der Bankenfilialnetzes und Corona-Pandemie triggern Nutzung von Online-Diensten der Banken

„Die Autoren der Sicherheitsstudie benennen den Rückbau der Bankenfilialnetzes und die ,Corona-Pandemie‘ als wichtige Gründe dafür, dass die Nutzung von Online-Diensten der Banken für viele Konsumenten mittlerweile Standard im Alltag ist.“ In Deutschland sei die Anzahl der Bankfilialen seit den 1990er-Jahren rückläufig und habe sich inzwischen mehr als halbiert. Dieser Trend habe sich während der „Corona-Pandemie“ weiter beschleunigt, so dass immer mehr Bankkunden mittlerweile ihre Bankgeschäfte am Smartphone erledigten, Online-Übersichten für ihre Finanzen nutzten und Geldbeträge unterwegs überwiesen.

„Nicht jeder Trojaner, der auf mobile und Banking-Apps abzielt, ist gleich — die Verbreitungstechniken und Kompromittierungsarten unterscheiden sich nicht nur bei der Reichweite und Raffinesse, erläutert Nico Chiaraviglio, „VP Security Research“ bei Zimperium, und führt aus:

„Wir haben in den vergangenen Jahren viele Beispiele für Banking-Trojaner-Attacken gesehen, die offenbar an Umfang und Häufigkeit zunehmen. Erst mit diesem strukturierten Bericht von Zimperium zLabs ergibt sich jetzt ein Gesamtbild, um die mobile Bedrohungslage analysieren und auswerten zu können.“

Mobile Banking Heists: The Global Economic Threat – wichtigste Ergebnisse

  • Die Top 3 der mobilen Finanz-Apps, gegen die sich die aktiven Trojaner richteten, übernähmen Aufgaben wie mobile Zahlungen oder Vermögensanlagen für Krypto-Währungen und Gold. Allein diese drei Apps seien weltweit über 200 Millionen mal heruntergeladen worden.
  • Mit über zehn Millionen Downloads sei „BBVA Spain | Online Banking“ die am häufigsten angegriffene Mobile-Banking-Anwendung. Diese App werde von sechs der zehn untersuchten Banken-Trojaner ins Visier genommen.
  • Produktivster Banken-Trojaner sei „Teabot“, welcher 410 der im Bericht untersuchten Anwendungen attackiere.
  • In Deutschland seien unter anderem die Commerzbank, Deutsche Bank und Postbank mit eigenen Finanz-Apps betroffen — in der Schweiz die Zürcher Kantonalbank, Credit Suisse und UBS.
  • Insgesamt 15 Finanzanwendungen aus Deutschland mit über zwölf Millionen Downloads würden von „ExobotCompact.D/Octo“, „Bianlian Botnet“ und „Teabot“ ins Visier genommen (19 Finanz-Apps mit über neun Millionen Downloads in der Schweiz).

Das Forschungsteam von Zimperium analysieret täglich mehrere hunderttausend Anwendungen mit modernsten Machine-Learning-Technologien und proprietären Methoden. Die in diesem Bericht untersuchten Beispiele seien anhand dieser Methodik gesammelt und klassifiziert worden.

Weitere Informationen zum Thema:

ZIMPERIUM
Mobile Banking Heists: The Global Economic Threat

]]>
https://www.datensicherheit.de/online-bankueberfaelle-zimperium-sicherheitsstudie-2022/feed 0
Gefälschte Websites der Sparkasse und Volksbank: Bankkunden in Deutschland im Phishing-Visier https://www.datensicherheit.de/faelschung-websites-sparkasse-volksbank-bankkunden-deutschland-phishing-visier https://www.datensicherheit.de/faelschung-websites-sparkasse-volksbank-bankkunden-deutschland-phishing-visier#respond Wed, 01 Dec 2021 14:02:42 +0000 https://www.datensicherheit.de/?p=41167 Security-Experten von Proofpoint haben eine Zunahme von Phishing-Kampagnen registriert, bei denen deutsche Bankkunden ins Visier der Cyber-Kriminellen geraten.]]>

Umfangreiche Phishing-Kampagnen zum Diebstahl von Zugangsdaten

[datensicherheit.de, 01.12.2021] Security-Experten von Proofpoint haben nach eigenen Angaben eine Zunahme von Phishing-Kampagnen registriert, „bei denen deutsche Bankkunden ins Visier der Cyber-Kriminellen geraten“. Bereits seit Ende August 2021 hätten dabei mehrere großangelegte Angriffskampagnen festgestellt werden können, die mittels gefälschter Webseiten den Diebstahl von Zugangsdaten für das Online-Banking zum Ziel hätten. Betroffen seien hiervon insbesondere Kunden der Sparkassen sowie Volksbanken.

proofpoint-e-mail-screenshot-office-365-phishing

Abbildung: proofpoint

Scrennshots: Beispiele für Phishing-Mails – mit QR-Code (l.) und mit Link zu gefälschter Website (r.)

Neben Privatkunden auch Unternehmen Ziel noch immer andauernder Phishing-Kampagnen

Neben Privatkunden zielten Cyber-Kriminelle bei diesen noch immer andauernden Phishing-Kampagnen auf deutsche Unternehmen verschiedener Branchen ab, aber auch Mitarbeiter ausländischer Organisationen mit Sitz in Deutschland gehörten zu den Empfängern der Phishing-Mails. Die dabei verschickten Nachrichten enthielten angebliche Informationen zur Kontoverwaltung sowie zusätzlich einen Link bzw. QR-Code, mit deren Hilfe das potenzielle Opfer auf eine gefälschte Webseite gelockt werden solle.
Diese gefälschten Bank-Webseiten seien mittels Geo-Fencing-Techniken so präpariert, dass nur Nutzer aus Deutschland zur jeweiligen Phishing-Seite weitergeleitet würden. Alle anderen landeten auf einer Webseite, die vorgeblich Touristeninformationen über eine Sehenswürdigkeit liefere.

Bei Phishing-Kampagnen werden gefälschte Webseiten der Sparkasse oder Volksbank als Köder benutzt

Bei ihren Phishing-Kampagnen imitierten die Angreifer sowohl Webseiten der Sparkasse als auch die der Volksbank. „Die Cyber-Kriminellen haben es bei ihren Kampagnen auf Informationen zur jeweiligen Niederlassung der Bank, den Benutzernamen sowie die PIN bzw. das Passwort der potenziellen Opfer abgesehen.“
Zur Verschleierung der tatsächlichen gefährlichen URLs der gefälschten Webseiten nutzten die Täter ausgeklügelte Weiterleitungstechniken. Zudem griffen sie in verschiedenen der beobachteten Kampagnen auf kompromittierte „Wordpress“-Seiten zurück, um Opfer auf die Phishing-Landing-Pages umzuleiten.

Phishing-Angriffe mit ähnlichen Domain-Namen

„Die Cyber-Kriminellen hosten die gefälschten Webseiten auf einer von ihnen selbst kontrollierten Infrastruktur und verwenden dabei Domain-Namen, die denen der imitierten Webseiten ähneln.“ So würden beispielsweise die Phishing-URLs für Sparkassen-Zugangsdaten häufig mit „spk-“ beginnen, jene der Volksbank-Imitate mit „vr-„.
Proofpoint empfiehlt allen Nutzern, grundsätzlich die Web-Adresse ihrer Bank im Browser einzutippen und nicht auf Links in E-Mails zu klicken. Gleiches gelte zweifelsohne auch für „WhatsApp“-Nachrichten oder SMS.

Weitere Informationen zum Thema:

datensicherheit.de, 10.11.2021
Köder-Angriffe: Hacker werfen ihre Phishing-Netze aus / Dr. Klaus Gheri benennt Best Practices zum Schutz vor Köder-Angriffen

datensicherheit.de, 12.10.2021
Phishing-Attacken: Cyber-Kriminelle missbrauchen Banken als Köder / Christine Schönig warnt vor Phishing-Gefahr durch Smartphones und Unachtsamkeit

]]>
https://www.datensicherheit.de/faelschung-websites-sparkasse-volksbank-bankkunden-deutschland-phishing-visier/feed 0
Bei Bank- oder Kreditkartenverlust: Schnelles Handeln gefragt https://www.datensicherheit.de/bankkarten-kreditkarten-verlust-schnelligkeit-handeln https://www.datensicherheit.de/bankkarten-kreditkarten-verlust-schnelligkeit-handeln#respond Mon, 16 Nov 2020 13:45:02 +0000 https://www.datensicherheit.de/?p=38213 Für Zahlungen mit Unterschrift bedarf es einer zweiten Sperrung der Karte

[datensicherheit.de, 15.11.2020] „PolizeiDeinPartner.de“, das Web-Präventionsportal der Gewerkschaft der Polizei informiert in einer aktuellen Meldung über das richtige Verhalten, wenn z.B. Kredit- oder EC-Karten abhanden kommen, sei „schnelles Handeln gefragt“. Denn Diebe oder Betrüger warteten nicht lange, um das Konto leerzuräumen. Über den Sperr-Notruf 116 116 könne man seine Karten für PIN-basierte Zahlungen schnell und unkompliziert telefonisch sperren lassen, so die Empfehlung. Was indes viele nicht wüssten: „Für Zahlungen mit Unterschrift bedarf es einer zweiten Sperrung der Karte.“ Dies könne man für EC-Karten bei der Polizei über das „KUNO“-System veranlassen – „KUNO“ steht demnach für „Kriminalitätsbekämpfung im unbaren Zahlungsverkehr unter Nutzung nichtpolizeilicher Organisationsstrukturen“.

Bei Karten für PIN-basierte Zahlungen: Sperr-Notruf unter 116 116

Wird die EC-Karte nur über diesen Sperr-Notruf gesperrt, könnten Dritte zwar keine Zahlungen mehr mit PIN tätigen, aber immer noch über das SEPA-Lastschriftverfahren per Unterschrift. Deshalb sollten Geschädigte beide Bezahlmöglichkeiten so schnell wie möglich sperren lassen. Der Sperr-Notruf sei 24 Stunden am Tag erreichbar und für Anrufe aus dem Inland gebührenfrei – für Anrufe aus dem Ausland benötige man zusätzlich die jeweilige Vorwahl für Deutschland (i.d.R. 0049). Die Kosten für den Anruf hingen vom jeweiligen Netzbetreiber ab.
Bei „girocard“, „Maestro“-, „V PAY“-, Bankkunden-, Spar- und Geldkarten müsse man zur Sperrung die IBAN oder alternativ die Kontonummer und Bankleitzahl parat haben. Bei Kreditkarten sei der Name des Kartenherausgebers oder die Bankleitzahl zu nennen: Anhand dieser Daten werde man dann an den Herausgeber der Karte weitergeleitet, um von diesem die Sperrung vornehmen zu lassen. Ob das eigene Bankinstitut zu den Teilnehmern gehört, könne man auf der „Sperr-Notruf-Liste“ einsehen. Über den Sperr-Notruf unter 116 116 ließen sich nicht nur Bankkarten sperren, sondern auch Mobilfunkkarten, Online- und Telebanking-Accounts sowie die „eID“-Funktion des neuen Personalausweises. Für Sprach- und Hörgeschädigte gebe es auch Sperr-Faxe für „girocard“, Kreditkarte und Personalausweis.

Karten-Lastschriftverfahren per KUNO richtig sperren

„Ist man Opfer eines Diebstahls geworden, sollte man grundsätzlich Anzeige bei der Polizei erstatten.“ Außerdem könne nur die Polizei über das „KUNO“-System das Lastschriftverfahren für eine abhanden gekommene EC-Karte sperren. Denn die Banken meldeten dem Einzelhandel Informationen über gesperrte Karten nur noch im Rahmen der PIN-Zahlung.
„KUNO ist ein Zusammenschluss von Polizei und Handelsunternehmen.“ Die Polizei melde dabei die relevanten Karteninformationen an eine zentrale Meldestelle. Von dort aus würden die Daten dann an die an „KUNO“ angeschlossenen Handelsunternehmen weitergegeben. Sie lehnten dann Lastschrift-Zahlungen mit den gemeldeten Karten ab. Kreditkarten könnten mit dem System allerdings nicht erfasst werden.

KUNO sperrt nicht das ganze Konto, sondern nur die verlorene Karte

Der Vorteil von „KUNO“ sei, dass nicht das ganze Konto gesperrt werde, sondern nur die verlorene Karte. Andere EC-Karten des Kontos, zum Beispiel die des Ehepartners, könnten weiterhin normal genutzt werden, genauso wie das Online-Banking. Dafür sei es aber notwendig, die sogenannte Kartenfolgenummer bei der Polizei anzugeben. Mit dieser Nummer lasse sich eine Karte eindeutig identifizieren, wenn zu einem Konto mehrere Karten gehören. Die Nummer stehe jedoch nicht direkt auf der Karte, sondern zum Beispiel auf den Kontoauszügen. Sie könne auch beim jeweiligen Geldinstitut erfragt werden.
Neben dieser Nummer benötige die Polizei nur noch die IBAN für die Sperrung. Wichtig: „Nur mit der Kartenfolgenummer kann die Karte dauerhaft gesperrt werden.“ Ohne diese Nummer werde die Sperre nach zehn Tagen wieder aufgehoben. In manchen Bundesländern erhalte man nach der Sperrung eine persönliche Sperrbestätigungsnummer von der Polizei. Damit könne man online die Kartenfolgenummer nachmelden oder die „KUNO“-Sperre selbst wieder löschen – etwa, wenn die Karte wieder auftaucht. Über „KUNO“ würden im Monat etwa 10.000 Meldungen über gesperrte Karten von der Polizei an den Handel weitergegeben.

Weitere Informationen zum Thema:

Sperr-Notruf 116 116 e.V.
Sperr-Notruf 116 116

Sperr-Notruf 116 116 e.V.
Über den Sperr-Notruf 116 116 können alle girocards gesperrt werden!

KUNO
Karten-Sperrdienst für SEPA-Lastschriftzahlungen

POLIZEI DEIN PARTNER – Gewerkschaft der Polizei
Das Präventionsportal: Karten richtig sperren / Sicher mit KUNO und dem Sperr-Notruf

datensicherheit.de, 07.08.2018
Firmenpatente und Kreditkartendaten: Angestellte als potenzielle Datenhehler

]]>
https://www.datensicherheit.de/bankkarten-kreditkarten-verlust-schnelligkeit-handeln/feed 0
Bitdefender-Labs legen Blaupause eines Cyber-Angriffs offen https://www.datensicherheit.de/bitdefender-labs-legen-blaupause-eines-cyber-angriffs-offen https://www.datensicherheit.de/bitdefender-labs-legen-blaupause-eines-cyber-angriffs-offen#respond Sun, 14 Jul 2019 18:05:32 +0000 https://www.datensicherheit.de/?p=33531 Bankenattacke der „Carbanak“-Gruppe im zeitlichen Verlauf rekonstruiert.]]>

Bankenattacke der „Carbanak“-Gruppe im zeitlichen Verlauf rekonstruiert

[datensicherheit.de, 14.07.2019] Experten der Bitdefender-Labs ist es nach eigenen Angaben gelungen, den zeitlichen Verlauf eines Angriffs der „Carbanak“-Gruppe im Jahr 2018 auf eine osteuropäische Bank vollständig zu rekonstruieren. Neben einem „Whitepaper“ haben die Bitdefender-Experten den „Carbanak“-Angriff nun auch übersichtlich in einer Infografik dargestellt. Darin lasse sich eine genaue Beschreibung des Angriffs finden, die sehr plastisch vor Augen führen soll, wie die Cyber-Kriminellen vorgegangen sind, um Sicherheitslücken auszunutzen.

laupause eines Cyber-Angriffs: neues Whitepaper von Bitdefender

Abbildung: Bitdefender

Neues Whitepaper von Bitdefender: Blaupause eines Cyber-Angriffs

Mit Hilfe der „Cobalt Strike“-Malware 63 Tage durch die gesamte Infrastruktur bewegt

Experten der Bitdefender-Labs sei es gelungen, den zeitlichen Verlauf eines Angriffs der „Carbanak“-Gruppe vollständig zu rekonstruieren. Das Opfer sei eine osteuropäische Bank.
Die Rekonstruktion aller Aktivitäten der Attacke liefere wertvolle Erkenntnisse für die Sicherung Kritischer Infrastrukturen (Kritis) und zeige die Bedeutung von Endpoint-Security-Maßnahmen auf.
„Während die Infiltrierung des Netzwerks bereits nach 90 Minuten abgeschlossen war, bewegten sich die Angreifer mit Hilfe der ,Cobalt Strike‘-Malware weitere 63 Tage durch die gesamte Infrastruktur, um das System auszuspähen und weitere Informationen für den finalen Raubüberfall zu sammeln. Wäre die Attacke erfolgreich gewesen, hätten die Kriminellen unbemerkt über das Geldautomatennetzwerk verfügen können.“

Infiltration mittels Spear-Phishing-Kampagne

Gegenstand der Untersuchung sei ein Angriff auf ein osteuropäisches Finanzinstitut im Mai 2018 gewesen. Die Infiltration mittels einer Spear-Phishing-Kampagne mit der URL „swift-fraud.com/documents/94563784.doc“ sowie der Einsatz der „Cobalt Strike Malware“ deuteten auf die „Carbanak“-Gruppe hin.
Die „Carbanak-Bande“ blicke auf eine lange Erfolgsgeschichte bei Angriffen auf Finanzinstitutionen zurück. Ihre Strategie ziele darauf ab, illegale Transaktionen durchzuführen oder Geldautomaten-Infrastrukturen zu übernehmen, die mit Hilfe von „Money Mules“ geplündert würden.
Mehrere der „Carbanak“-Gruppe zugeschriebene Spear-Phishing-Kampagnen zwischen März und Mai 2018 seien von Sicherheitsforschern analysiert worden. Diese Kampagnen hätten sich als E-Mails von hochkarätigen Organisationen wie IBM, der Europäischen Zentralbank oder auch von Cyber-Sicherheitsunternehmen ausgegeben. Durch die Auswertung von „Threat Intelligence Feeds“ und Logfileanalysen der im Mai 2018 betroffenen Bank sei es Experten von Bitdefender nun gelungen, den zeitlichen Verlauf eines derartigen Angriffs detailliert zu rekonstruieren:

Tag 0: Die Infiltration

An einem regulären Arbeitstag um 16.48 Uhr erhalten zwei Mitarbeiter einer Bank eine E-Mail, dessen schadhaften Anhang beide unabhängig voneinander binnen einer Minute öffnen.
Das angehängte Dokument nutzt die „Remote Code Execution“-Exploits CVE-2017-8570, CVE-2017-11882 und CVE-2018-0802 von „Microsoft Word“. Darüber wird unbemerkt eine Verbindung zu einem C&C-Server über eine Backdoor hergestellt: Die Datei „smrs.exe“ (d68351f754a508a386c06946c8e79088) initiiert einen Shell-Befehl, der wiederum den „Cobalt Strike Beacon“ herunterlädt.
Im Anschluss daran werden Zugangsdaten zum Domain-Server entwendet, getestet und schließlich der Domain-Controller übernommen. Mit Ende dieser ersten Angriffswelle um 18.20 Uhr sind die Angreifer bereits in der Lage, weitere Nutzerdaten herunterzuladen und auszuführen, sich unbemerkt durch das System zu bewegen, Dateien zu löschen und Registrierungsschlüssel zu beseitigen, um ihre Spuren zu verwischen.

Tage 1-28: Die Ausspähung

In den fünf darauffolgenden Wochen konzentrieren die Angreifer ihre Aktivitäten darauf, systematisch zahlreiche Arbeitsplätze zu kompromittieren, um an Informationen zu gelangen, die von Nutzen sein könnten.
Am Tag 10 erfasst der Angriff den dreizehnten Endpunkt, welcher im späteren Verlauf für die Informationssammlung und -speicherung genutzt wird.
Am Tag 28 wird eine Reihe von als potenziell wertvoll erachteten Dokumenten zu internen Anwendungen und Verfahren für die Exfiltration vorbereitet.

Tage 30-63: Die Informationssammlung und Vorbereitung des Diebstahls

Im weiteren Verlauf wird die Informationssammlung systematisiert. In einem Zeitraum von 17 Tagen legen die Angreifer verschiedene Ordner mit Handbüchern, Anleitungen und Schulungsunterlagen für verschiedene Anwendungen an. Dabei ist davon auszugehen, dass diese Informationen nicht nur dazu dienen, den finalen Diebstahl ausführen zu können, sondern auch dazu verwendet werden, Angriffstaktikten für künftige Ziele mit vergleichbaren Systemen zu verfeinern.
Ab Tag 33 beginnen die Angreifer damit, interne Hosts und Server zu kompromittieren, die für den eigentlichen Raubüberfall benötigt werden. Der „Cobalt Strike Beacon“ erzeugt einen VPN-Tunnel zu einem externen Arbeitsplatz der Hacker, von dem aus ausgewählte Workstations der legitimen Bankeninfrastruktur angemeldet werden. Diese C&C-Verbindungen dauerten zwischen 20 Minuten und einer Stunde und wurden stets außerhalb der Geschäftszeiten und an Wochenenden durchgeführt.
An Tag 63 schließlich verwischen die Angreifer ihre Spuren, indem sie sämtliche Beweise für ihre Informationssammlung vernichten.

Mittels „Money Mules“ ggf. beliebig oft den festgesetzten Höchstbetrag abheben können

Wäre der Angriff unentdeckt geblieben, hätten die Hacker die Kontrolle über das Geldautomatennetzwerk der Bank erlangt. Damit wären sie in der Lage gewesen, das Auszahlungslimit an Geldautomaten mit einer vorab autorisierten Karte zurückzusetzen. Auf diese Weise hätten die vor Ort abgestellten „Money Mules“ beliebig oft den festgesetzten Höchstbetrag abheben können, ohne dass von dem betreffenden Automaten die Transaktion als verdächtig an die Bank gemeldet würde.
Im Allgemeinen sei eine Infiltration mittels Spear-Phishing-Kampagnen nicht ungewöhnlich, da es derartigen E-Mails meistens gelinge, Sicherheitsmaßnahmen auf Server-Ebene zu umgehen. Unternehmen könnten das Risiko einer Infektion minimieren, „wenn Endpoint-Security-Lösungen eingesetzt werden, die über URL-Filter, verhaltensbasierte Analysen und Sandboxing verfügen“.
Ein Untersuchungsbericht fasst laut Bitdefender die zeitliche Abfolge und einzelnen Schritte der Attacke zusammen und steht zum Download zur Verfügung.

Anatomie eines Bankenangriffs

Abbildung: Bitdefender

Anatomie eines Bankenangriffs: Zeitspanne über 64 Tage

Weitere Informationen zum Thema:

Bitdefender/Labs, 04.06.2019
An APT Blueprint: Gaining New Visibility into Financial Threats

datensicherheit.de, 20.05.2019
KI-basierte Cyber-Angriffe: Präventive Sicherheitsmaßnahmen erforderlich

datensicherheit.de, 11.12.2018
Bitdefenders Cybersicherheitsprognosen: Top 10 für 2019

]]>
https://www.datensicherheit.de/bitdefender-labs-legen-blaupause-eines-cyber-angriffs-offen/feed 0
Mobiler Banking-Trojaner Svpeng: Neue Version mit Keylogger-Funktion greift Bankkunden an https://www.datensicherheit.de/mobiler-banking-trojaner-svpeng-neue-version-mit-keylogger-funktion-greift-bankkunden-an https://www.datensicherheit.de/mobiler-banking-trojaner-svpeng-neue-version-mit-keylogger-funktion-greift-bankkunden-an#respond Mon, 31 Jul 2017 15:37:07 +0000 https://www.datensicherheit.de/?p=26796 27 Prozent der Angriffe auf Nutzer in Deutschland

[datensicherheit.de, 31.07.2017] KASPERSKY lab hat nach eigenen Angaben eine neue Variante des mobilen Banking-Trojaners „Svpeng“ entdeckt. Mittels Keylogger-Funktion greift dieser modifizierte Trojaner demnach eingegebenen Text wie Banking-Zugangsdaten ab, indem die Zugangsdienste von „Android“ missbraucht werden. Dadurch erlange dieser weitere Rechte und könne so die eigene Deinstallation verhindern. Selbst Geräte mit aktuellster Software schützten nicht vor dem Schädling.

Missbrauch von Zugangsdiensten

Zugangsdienste (Accessibility Services) sind Erweiterungen der Benutzeroberfläche, um Nutzer, die nicht mit dem Gerät interagieren können, zu unterstützen.
Die im Juli 2017 von KASPERSKY lab entdeckte modifizierte Version von „Svpeng“ sei nun in der Lage, diese Systemfunktion zu missbrauchen, um in andere Apps eingegebenen Text abzugreifen und sich selbst weitere Rechte zu verschaffen.

Sich selbst Administratorenrechte für das Gerät verschaffen

Dieser Trojaner werde über gefährliche Webseiten, als „Flash-Player“-App getarnt, verbreitet und erfrage die Erlaubnis zur Nutzung der Zugangsdienste. Dadurch erhalte er Zugang zur Benutzeroberfläche anderer Apps und könne so bei Tastendruck Screenshots erstellen und Daten wie Banking-Zugangsdaten mitprotokollieren.
Darüber hinaus könne er sich selbst Administratorenrechte für das Gerät verschaffen und andere Apps überdecken, was dem Trojaner dabei helfe, das Unterbinden der Screenshot-Erstellung durch einige Apps zu umgehen. Die Experten von KASPERSKY lab haben demnach URLs ausgemacht, die es auf die Apps führender europäischer Banken abgesehen hätten.

Trojaner kann eigene Deinstallation verhindern

Der modifizierte „Svpeng“-Trojaner könne sich als Standard-SMS-App installieren und so SMS-Nachrichten versenden und empfangen, Anrufe tätigen und Kontakte auslesen.
Außerdem sei der Schädling in der Lage, sämtliche Versuche, die Geräte-Administrationsrechte zu entfernen, zu blockieren und so die eigene Deinstallation zu verhindern. Die gefährlichen Techniken des Trojaners funktionierten selbst auf Geräten, die das neuste „Android“-Betriebssystem und alle Sicherheitsupdates installiert haben.

Deutschland bisher auf Platz 2

Bisher seien die Angriffszahlen gering, da der Trojaner noch nicht weit verbreitet sei. Die meisten Angriffe stammten aus Russland (29 Prozent), Deutschland (27 Prozent), der Türkei (15 Prozent), Polen (6 Prozent) und Frankreich (3 Prozent).
„Die Keylogger-Funktion und der Missbrauch der Zugangsdienste sind eine neue Entwicklung im Bereich mobiler Banking-Malware; es überrascht uns nicht, dass ,Svpeng‘ diese Entwicklungen anführt“, so Roman Unuchek, „Senior Malware Analyst“ bei KASPERSKY lab. Die „Svpeng“-Malware-Familie sei bekannt für Innovation und mache sie damit zu einer der gefährlichsten Familien überhaupt. Unuchek: „Sie war eine der ersten mit Angriffe auf SMS-Banking, die Phishing-Webseiten verwendet hat, um Apps zu überlagern und so Zugangsdaten abzugreifen, um dann die Geräte zu blocken und Geld zu verlangen. Daher ist es so wichtig, jede neue Version dieser Schädlingsfamilie zu überwachen und zu analysieren.“

KASPERSKY-Tipps zum Schutz vor „Svpeng“:

  • Installation einer robusten Sicherheitslösung (als Beispiel wird „Kaspersky Internet Security for Android“ genannt).
  • Vor dem Download einer App überprüfen, ob diese von einem seriösen Entwickler stammt.
  • Keine Apps downloaden, die verdächtig aussehen oder deren Quelle nicht verifiziert ist.
  • Bei der Vergabe von zusätzlichen Rechten an Apps achtsam sein.

Weitere Informationen zum Thema:

SECURELIST, 31.07.2017
A new era in mobile banking Trojans / Svpeng turns keylogger and steals everything through accessibility services

datensicherheit.de, 11.07.2017
MAC: Banking-Trojaner greift gezielt Schweizer Nutzer an

]]>
https://www.datensicherheit.de/mobiler-banking-trojaner-svpeng-neue-version-mit-keylogger-funktion-greift-bankkunden-an/feed 0
Cyber-Banküberfall nach Jagd auf Lazarus-Gruppe verhindert https://www.datensicherheit.de/cyber-bankueberfall-nach-jagd-auf-lazarus-gruppe-verhindert https://www.datensicherheit.de/cyber-bankueberfall-nach-jagd-auf-lazarus-gruppe-verhindert#respond Tue, 04 Apr 2017 17:28:47 +0000 http://www.datensicherheit.de/?p=26531 Neue Erkenntnisse über deren Vorgehen von KASPERSKY lab veröffentlicht

[datensicherheit.de, 04.04.2017] KASPERSKY lab hat laut einer eigenen Meldung die Ergebnisse einer mehr als einjährigen Untersuchung der Aktivitäten der „Lazarus“-Gruppe vorgestellt. Diese berüchtigte Hackergruppe wird demnach für den Diebstahl von 81 Millionen US-Dollar von der Zentralbank in Bangladesch im Jahr 2016 verantwortlich gemacht. Über eine forensische Analyse von Artefakten in den Systemen südostasiatischer und europäischer Banken hat KASPERSKY lab demnach tiefe Einblicke darüber gewinnen, welche schädlichen Werkzeuge diese Gruppe verwendet und wie ihre weltweiten Angriffe auf Finanzinstitutionen, Spielcasinos, Software-Entwickler für Anlagegesellschaften sowie Unternehmen im Kryptowährungsbereich ablaufen. Mit Hilfe dieser Erkenntnisse seien nun „mindestens zwei weitere Operationen und damit der Diebstahl hoher Geldsummen bei Finanzinstituten“ vereitelt worden.

Einer der größten und erfolgreichsten Cyber-Überfälle

Im Februar 2016 habe eine damals noch nicht identifizierte Gruppe von Hackern versucht, 851 Millionen US-Dollar zu stehlen. Es sei ihr gelungen, eine Überweisung in Höhe von 81 Millionen US-Dollar von einem Konto der Zentralbank von Bangladesch zu tätigen – und damit einen Coup zu landen, der als einer der größten und erfolgreichsten Cyber-Überfälle gelte.
Die Experten mehrerer IT-Sicherheitsfirmen – darunter auch KASPERSKY lab – hätten herausgefunden, dass hinter dem Angriff mit hoher Wahrscheinlichkeit die Gruppe „Lazarus“ stecke: Eine berüchtigte Cyber-Spionage- und -Sabotage-Gruppe, die bereits seit 2009 weltweit für ganze Serien von wiederholten und verheerenden Angriffen auf Produktionsunternehmen, Medien und Finanzinstitute in mindestens 18 Ländern bekannt sei.

Operative Tätigkeit in Richtung Europa verlagert

Obwohl man nach dem Angriff in Bangladesch mehrere Monate nichts mehr von dieser Gruppe gehört habe, sei „Lazarus“ weiter aktiv gewesen und habe sich auf neue Operationen für den Gelddiebstahl bei anderen Banken vorbereitet.
So habe diese Gruppe bereits einen Fuß bei einem südostasiatischen Finanzinstitut in der Tür gehabt. Nachdem die Lösungen von KASPERSKY lab und die anschließende Untersuchung den Cyber-Einbruch hätten vereiteln können, habe sich die Gruppe erneut monatelang zurückgezogen, um dann ihre operative Tätigkeit in Richtung Europa zu verlagern. Auch dort seien Angriffe durch die Sicherheitslösungen von KASPERSKY lab entdeckt und mit Hilfe einer schnellen Vorfallreaktion (Incident Response), forensischer Analyse sowie „Reverse Engineering“ der Experten von KASPERSKY lab verhindert worden.

Vorgehensweise der Gruppe

Die Ergebnisse der forensischen Analyse durch KASPERSKY lab deuteten auf folgende Vorgehensweise der Gruppe hin:

  • Erstkompromittierung: Zunächst werde in ein einzelnes System innerhalb der Bank eingedrungen – und zwar entweder über einen Code mit Schwachstellen (zum Beispiel auf einem Webserver) oder mit Hilfe eines „Wasserlochangriffs“ über ein Exploit, das auf einer legitimen Webseite implantiert werde, auf welche die Opfer (in diesem Fall die Bankangestellten) mit ihren Computern zugriffen. Dabei werde Malware heruntergeladen, die weitere Komponenten nachladen könne.
  • Hintertür: Danach wandere die Gruppe zu den weiteren Hosts der Bank und installiere dort langlebige Backdoors, also Malware, die ein beliebiges Kommen und Gehen der Angreifer zulasse.
  • Erkundung: Anschließend untersuche die Gruppe über Tage und Wochen das Netzwerk und identifiziere die für sie wertvollen Ressourcen. Das könne ein Backup-Server mit dort abgelegten Authentifizierungsinformationen, ein Mail-Server beziehungsweise der komplette „Domain Controller“ mit den Schlüsseln zu „jeder Tür“ im Unternehmen oder ein Server mit Prozessaufzeichnungen der Finanztransaktionen sein.
  • Diebstahl: Schließlich installiere die Gruppe eine spezielle Malware, welche die internen Sicherheitsfunktionen der Finanzsoftware umgehe und ihre betrügerischen Transaktionen im Namen der Bank ausführe.

Vermutlich monatelang unbemerkt operiert

Die von KASPERSKY lab untersuchten Angriffe hätten mehrere Wochen gedauert. Doch vermutlich hätten die Angreifer monatelang unbemerkt operiert.
So sei von den Experten beispielsweise während der Analyse des Vorfalls in Südostasien entdeckt worden, dass die Hacker das Netzwerk der Bank bereits sieben Monate vor jenem Tag der Anforderung der Vorfallreaktion durch das Sicherheitsteam der Bank attackiert hätten – tatsächlich habe dieser Zeitpunkt noch vor dem Vorfall in Bangladesch gelegen.
Gemäß den Aufzeichnungen von KASPERSKY lab seien seit Dezember 2015 Aktivitäten von „Lazarus“-Malware-Samples bei Finanzinstituten, Spielcasinos, bei Software-Entwicklern für Anlagegesellschaften sowie Unternehmen im Kryptowährungsbereich in Korea, Bangladesch, Indien, Vietnam, Indonesien, Costa Rica, Malaysia, Polen, Irak, Äthiopien, Kenia, Nigeria, Uruguay, Gabun, Thailand und verschiedenen anderen Staaten aufgetaucht. Die jüngsten Samples habe KASPERSKY lab im März 2017 entdeckt – die Angreifer seien also weiter aktiv.

Verräterischer Test des Command-and-Control-Servers

Auch wenn die Angreifer so vorsichtig gewesen seien, ihre Spuren zu verwischen, hätten sie bei einem von ihnen im Rahmen einer anderen Kampagne penetrierten Server einen Fehler begangen und dort ein wichtiges Artefakt hinterlassen.
Zur Vorbereitung ihrer Operationen sei dieser als Command-and-Control-Center für die Malware konfiguriert worden. Am Tag der Konfiguration seien die ersten Verbindungen zu einigen wenigen VPN- beziehungsweise Proxy-Servern aufgebaut worden, was auf einen Test für den Command-and-Control-Server hindeute. Allerdings habe es an diesem Tag auch eine kurze Verbindung zu einer IP-Adresse in einem sehr selten genutzten Adressbereich in Nordkorea gegeben. Dies könnte laut den Experten bedeuten, dass

  • die Angreifer sich von dieser IP-Adresse aus Nordkorea verbunden hätten,
  • ein anderer Akteur unter „falscher Flagge“ die Operation sorgfältig geplant habe
  • oder jemand in Nordkorea versehentlich die Command-and-Control-URL besucht habe.

Die „Lazarus“-Gruppe sei sehr darauf bedacht, immer wieder neue Varianten ihrer Malware zu erzeugen. Monatelang hätten sie versucht, ein Set schädlicher Tools aufzubauen, welches von Sicherheitslösungen nicht erkannt werden sollte. Jedoch sei es den Experten von KASPERSKY lab jedes Mal gelungen, auch die neuen Samples aufzuspüren – und zwar über einige typische Merkmale, die bei der Erzeugung des Codes verwendet worden seien.

„Lazarus“-Gruppe: Taktiken, Techniken und Prozeduren der Angriffe auf Finanzinstitute

Abbildung: KASPERSKY lab

„Lazarus“-Gruppe: Taktiken, Techniken und Prozeduren der Angriffe auf Finanzinstitute

***„Lazarus“ wird wohl bald zurückkommen***

„Wir sind sicher, dass ,Lazarus‘ bald zurückkommen wird“, warnt Vitaly Kamluk, „Head of Global Research and Analysis Team (GReAT) APAC“ bei KASPERSKY lab. Angriffe wie die der „Lazarus“-Gruppe machten deutlich, wie sich geringfügige Fehler in der Konfiguration zu „massiven Sicherheitsvorfällen ausweiten“ und bei betroffenen Unternehmen möglicherweise Schäden in Höhe von Hunderten von Millionen Dollar anrichten könnten. Man hoffe, dass weltweit die Verantwortlichen von Banken, Spielcasinos und Anlagegesellschaften beim Namen „Lazarus“ misstrauisch werden, so Kamluk.
An alle Organisationen richtet KASPERSKY lab daher „die dringende Bitte“, ihre Netzwerke sorgfältig auf Anzeichen von „Lazarus“-Malware zu durchsuchen. Sollten diese entdeckt werden, müsse die Infektion im System beseitigt werden. Außerdem seien die Strafverfolgungsbehörden und Vorfallreaktions-Teams zu verständigen.

Weitere Informationen zum Thema:

KASPERSKY lab auf YouTube, 03.04.2017

Chasing Lazarus: A Hunt for the Infamous Hackers to Prevent Large Bank Robberies

datensicherheit.de, 24.02.2016
Cyberspionage und -sabotage: Lazarus-Gruppe in Asien verortet

]]>
https://www.datensicherheit.de/cyber-bankueberfall-nach-jagd-auf-lazarus-gruppe-verhindert/feed 0
Neuauflage von Zeus: Zugang zum persönlichen Online-Banking-Portal https://www.datensicherheit.de/neuauflage-von-zeus-zugang-zum-persoenlichen-online-banking-portal https://www.datensicherheit.de/neuauflage-von-zeus-zugang-zum-persoenlichen-online-banking-portal#respond Tue, 27 Sep 2016 15:30:15 +0000 http://www.datensicherheit.de/?p=25936 Momentan Kanada im Visier, aber auch Deutschland gefährdet

[datensicherheit.de, 27.09.2016] Bereits 2011 soll der Banking-Trojaner „Zeus“ mehr als 100 Millionen US-Dollar von US-amerikanischen Bankkunden erpresst haben. Jetzt ist er laut Forcepoint mit einer Neuauflage zurück und attackiert Kanada.

Auch deutsche Banken, Behörden, Unternehmen und ihre Kunden in Gefahr

Auch für deutsche Banken, Behörden, Unternehmen und ihre Kunden könne „Zeus“ gefährlich werden.
Getarnt als offizielles Anschreiben der eigenen Bank informiere die individualisierte Spoofing-Mail über angebliche Kontodefizite oder die Ausschöpfung von Steuerfreibeträgen.

Klick auf anhängendes msg-Dokument ermöglicht Trojaner-Einschleusung

Klickt der User auf das anhängende msg-Dokument, öffnet sich nach Angaben von Forcepoint ein eingebettetes OLE-Objekt, das ihn zur Öffnung des Dokuments auffordert.
Tatsächlich handele es sich aber um einen „JavaScript“-Downloader, der im Hintergrund einen DELoader aktiviere. Dieser schleuse dann den „Zeus“-Banking-Trojaner in das System ein.

Zeus: Umleitung von Bank-Überweisungen

Im System angelangt, verfolge „Zeus“ die Browser-Aktivitäten und erlange dadurch Zugang zum persönlichen Online-Banking-Portal. Anschließend modifiziere der Trojaner die Überweisungen so, dass jegliche Zahlungen auf andere Konten umgeleitet würden.
Diese Methodik sei in der Malware-Landschaft neu und werde daher aktuell nur von sehr wenigen Security-Lösungen erkannt. Forcepoint bietet nach eigenen Angaben mit seiner Security-Suite „TRITON-ACE“ umfassenden Schutz auch gegen „Zeus“.

Weitere Informationen zum Thema:

FORCEPOINT, 22.09.2016
Zeus Delivered by DELoader to Defraud Customers of Canadian Banks

]]>
https://www.datensicherheit.de/neuauflage-von-zeus-zugang-zum-persoenlichen-online-banking-portal/feed 0