[datensicherheit.de, 24.08.2024] ESET-Forscher haben nach eigenen Angaben „eine Cybercrime-Kampagne aufgedeckt, die Kunden von drei tschechischen Banken ins Visier nahm“: Die eingesetzte Malware namens „NGate“ kann demnach die Daten von Zahlungskarten inklusive PIN der Opfer über eine bösartige, auf ihren „Android“-Geräten installierte App an das gerootete „Android“-Telefon des Angreifers übermitteln. Das Hauptziel dieser Kampagne sei es gewesen, unautorisierte Geldabhebungen von Geldautomaten aus den Bankkonten der Opfer zu ermöglichen. Dafür seien NFC-Daten (Nahfeldkommunikation) von den physischen Zahlungskarten der Opfer über ihre kompromittierten „Android“-Smartphones mithilfe der „Ngate“-„Android“-Malware ans Gerät des Angreifers weitergeleitet worden. „Der Angreifer nutzte diese Daten dann, um Transaktionen am Geldautomaten durchzuführen. Wenn diese Methode scheiterte, hatten die Angreifer einen ,Plan B’, bei dem sie Gelder von den Konten der Opfer auf andere Bankkonten übertrugen.“

ESET-Warnung: Die Malware kann Daten von NFC-fähigen Bankkarten auslesen und an Angreifer weiterleiten

„Wir haben diese neuartige NFC-Relais-Technik bisher bei keiner anderen ,Android’-Malware gesehen. Die Technik basiert auf einem Tool namens ,NFCGate’, das von Studenten der Technischen Universität Darmstadt entwickelt wurde, um NFC-Verkehr zu erfassen, zu analysieren oder zu verändern. Daher haben wir diese neue Malware-Familie ,NGate’ genannt“, berichtet der Entdecker dieser neuartigen Bedrohung und Technik, Lukáš Štefanko.

Die Betrüger nutzten eine Kombination aus bewährten Techniken wie „Social Engineering“, bei dem Menschen durch Täuschung zu bestimmten Handlungen verleitet würden, und Phishing, bei dem sie gefälschte Nachrichten oder Websites nutzten, um an persönliche Informationen zu gelangen. „In diesem Fall erhielten die Opfer eine SMS, die angeblich von ihrer Bank stammte und sie aufforderte, eine App herunterzuladen, um ein angebliches Problem mit ihrem Konto zu beheben.“

Nachdem die Opfer diese App auf ihrem Android-Smartphone installiert hatten, wurde ihr Gerät laut ESET von der „NGate“-Malware infiziert. Diese Malware könne Daten von NFC-fähigen Bankkarten auslesen und an die Angreifer weiterleiten. Mit diesen Daten könnten die Kriminellen dann Geld an einem Geldautomaten abheben, als hätten sie die Karte selbst in der Hand. Sogar die PIN könne über diese Schad-App erbeutet werden.

ESET entdeckte „NGate“-Malware erstmals im November 2023

Bisher seien vor allem Kunden von drei großen tschechischen Banken betroffen gewesen. „ESET entdeckte die NGate-Malware erstmals im November 2023. Die Angreifer verschickten ihre gefälschten Nachrichten an zufällig ausgewählte Mobilfunknummern in Tschechien.“

NFC ist eine Technologie, die es ermöglicht, Daten über kurze Distanzen drahtlos zu übertragen – und wird häufig für kontaktloses Bezahlen mit Bankkarten genutzt. „Wenn Sie Ihre Karte einfach über das Lesegerät an der Kasse halten, überträgt die NFC-Technologie die Zahlungsinformationen. In diesem Fall nutzten die Betrüger diese Technologie, um die Zahlungsdaten zu stehlen und auf ihren eigenen Geräten zu nutzen.“

Um sich vor solchen Angriffen zu schützen, raten ESET-Experten zu folgenden Vorsichtsmaßnahmen:

• „Öffnen Sie keine Links oder laden Sie keine Apps herunter, die Sie per SMS oder E-Mail erhalten, ohne die Echtheit zu prüfen!“
• „Laden Sie Apps nur aus offiziellen App-Stores wie dem ,Google Play Store’ herunter!“
• „Halten Sie Ihre PIN-Codes geheim und teilen Sie sie niemals per Nachricht mit!“
• „Verwenden Sie Sicherheits-Apps, die Ihr Smartphone vor Schadsoftware schützen!“
• „Deaktivieren Sie die NFC-Funktion Ihres Smartphones, wenn Sie sie nicht benötigen, um den unbefugten Zugriff auf Ihre Karten zu verhindern!“

ESET empfiehlt, sich über aktuelle Bedrohungen zu informieren und dem Rat von IT-Sicherheitsexperten zu folgen

Diese neue Betrugsmethode zeige, wie kreativ und gefährlich Kriminelle im Digitalen Zeitalter werden könnten. ESET betont, „dass es das erste Mal ist, dass eine derartige Malware im Umlauf entdeckt wurde, die ohne das sogenannte ,Rooten’ des Smartphones funktioniert“.

„Rooten“ bedeutet, dass tiefere Änderungen am Betriebssystem des Smartphones vorgenommen werden, was oft für bestimmte Arten von Schadsoftware notwendig ist – „dass dies hier nicht erforderlich war, macht die Malware besonders heimtückisch und für viele Nutzer gefährlich“.

Die Entdeckung der „NGate“-Malware zeige, „wie wichtig es ist, wachsam zu bleiben und Sicherheitsvorkehrungen zu treffen, wenn es um den Schutz der eigenen Finanzen geht“. Digitale Betrüger entwickelten ständig neue Methoden, um an Geld zu kommen. Daher sei es entscheidend, sich über aktuelle Bedrohungen zu informieren und den Rat von IT-Sicherheitsexperten zu befolgen.

Weitere Informationen zum Thema:

WeLiveSecurity, Lukas Stefanko & Jakub Osmani, 22.08.2024
NGate Android malware relays NFC traffic to steal cash

[datensicherheit.de, 13.04.2016] Ob Computer, Smartphone, Geldautomat oder jede Menge Online-Dienste – für zahlreiche IKT-Geräte und Services im Internet müssen sich Nutzer Kennwörter und Zugangsnummern merken. Das macht offensichtlich vielen Menschen zu schaffen, so das Ergebnis einer repräsentativen Umfrage im Auftrag des Digitalverbands bitkom.

Vor allem Ältere brauchen Hilfe

So fühle sich gut ein Drittel (36 Prozent) aller Bundesbürger mit der großen Menge an Passwörtern überfordert. Vor allem ältere Menschen ab 65 Jahre seien mit einem Anteil von 48 Prozent häufiger von der Passwort-Flut genervt als der Durchschnitt.
Für die Organisation vieler sicherer Passwörter kämen zwei Lösungen in Frage – entweder eine Software oder die „gute alte Eselsbrücke“, erläutert bitkom-Sicherheitsexperte Marc Fliehe. Kein Ausweg sei das Ausweichen auf simple Passwörter, die für kriminelle Hacker leicht herauszufinden seien. Laut Umfrage bevorzugten allerdings 40 Prozent der Befragten „einfache Passwörter, die man sich leicht merken“ könne. Je länger und komplexer ein Kennwort sei, desto sicherer sei es, betont Fliehe.

Technische Alternativen in der Diskussion

Viele der Befragten sähen die Lösung in technischen Alternativen zum Passwort. Fast ein Drittel (31 Prozent) stimme der Aussage zu, dass Passwörter durch andere, besser handhabbare Sicherheitsmaßnahmen ersetzt werden sollten. Dazu gehörten zum Beispiel biometrische Merkmale wie der inzwischen bei einer Reihe von Smartphone- und Notebook-Modellen für das Entsperren der Geräte verwendete Fingerabdruck.

Informationsdefizit ermittelt

Die Angaben in der aktuellen bitkom-Stellungnahme basieren nach dessen eigenen Angaben auf einer repräsentativen Umfrage, die Bitkom Research durchgeführt habe: 1.266 Bundesbürger ab 14 Jahren seien befragt worden.
Laut dieser bitkom-Umfrage zeigt sich beim Thema Passwort-Schutz zudem ein Informationsdefizit bei vielen Menschen. Gut ein Viertel der Bundesbürger (27 Prozent) fehle es an Informationen über den richtigen Umgang mit Passwörtern.
Beachteten Nutzer indes einige Hinweise, könnten sie Passwörter besser behalten oder eine technische Lösung für das Management ihrer Kennwörter wählen.

bitkom-Tipps zum Passwort-Management:

1. „Ein Dienst, ein Passwort“: Für jeden Dienst sollte ein eigenes Passwort genutzt werden. Eine Alternative sei es, ein „Grundpasswort“ zu nutzen und dieses für jeden Dienst anzupassen.
2. „Wörterbücher meiden“: Am sichersten seien Passwörter bestehend aus einer zufällig zusammengewürfelten Reihenfolge von Groß- und Kleinbuchstaben sowie Zahlen und Sonderzeichen.
3. „Mehr Zeichen bedeuten weniger Risiko“: Nicht nur die Zusammensetzung des Passworts sei wichtig, sondern auch dessen Länge. Ein sicheres Passwort bestehe aus mindestens acht Zeichen.
4. „Per Eselsbrücke ans Ziel“: Um Passwörter aus einer unzusammenhängenden Anzahl von Buchstaben und Zahlen zu erstellen, könnten die Anfangsbuchstaben aus ausgedachten Sätzen genommen werden, etwa: „Mein Verein gewann das entscheidende Spiel mit 3 zu 2!“ Daraus lasse sich das sichere und gut zu merkende Passwort „MVgdeSm3z2!“ erstellen.
5. „Passwort-Manager als Alternative“: Passwort-Manager erstellten auf dem Computer auf Wunsch zufallsgenerierte Kennwörter und speicherten sie in einer mit einem Master-Passwort gesicherten, verschlüsselten Datenbank ab. Anschließend werde nur noch das Master-Passwort benötigt. Für Smartphones und Tablet-Computer würden häufig passende Apps angeboten – so könnten die sicheren Passwörter auch auf den Mobilgeräten genutzt werden. In diesem Fall sei es aber umso wichtiger, dass das Master-Passwort sicher sei und nicht einfach erraten werden könne.

[datensicherheit.de, 04.12.2009] Mitarbeiter des Fraunhofer-Instituts für Sichere Informationstechnologie (Fraunhofer SIT) haben eine Sicherheitslücke in BitLocker, der Festplattenverschlüsselung von Windows, gefunden:
Habe ein Angreifer die Möglichkeit, unbemerkt den Computerstart zu manipulieren, könne er an die geheime PIN der Festplattenverschlüsselung gelangen und die verschlüsselten Daten stehlen, so das Fraunhofer SIT. Der Angriff verdeutliche, dass die Verwendung von Trusted Computing nicht in allen Situationen vor Manipulationen schütze.
Wie der Angriff konkret funktioniert, zeigt ein Video des „Security Test Lab“ der Fraunhofer-Wissenschaftler im Internet unter http://testlab.sit.fraunhofer.de/bitlocker-skimming/.
Vor kurzem erst sei ein Angriff auf den Boot-Vorgang des Festplattenverschlüsselungsprogramm TrueCrypt bekannt geworden. Die windowseigene „BitLocker“-Verschlüsselung habe jedoch noch als sicher gegolten, weil die Software zur Überprüfung des Boot-Vorgangs einen Hardware-Chip, das Trusted Computing Module (TPM) nutze. Das Angriffsszenario des Fraunhofer SIT zeige jedoch, dass auch bei TPM-basierter Festplattenverschlüsselung Angreifer die Passwörter ausspähen könnten.

© Fraunhofer SIT

Der von den Forschern des Fraunhofer SIT entwickelte Angriff umgeht die Sicherheitsfunktionen von „BitLocker“ vollständig.

Das Testlabor des Fraunhofer SIT habe den Angriff gegen die „BitLocker“-Festplattenverschlüsselung in Windows 7, Windows 2008 Server und Windows Vista praktisch durchgeführt. Der von den Forschern entwickelte Angriff umgehe die Sicherheitsfunktionen von „BitLocker“ vollständig.
Das Vorgehen sei vergleichbar mit Skimming-Angriffen an Geldautomaten, so Fraunhofer-Mitarbeiter Jan Steffan. Erhalte ein Angreifer kurz Zugang zum geschützten Computer, könne er die Startroutine von „BitLocker“ durch ein eigenes Programm ersetzen, welches eine PIN-Abfrage vortäusche. Wenn der Besitzer seinen Computer daraufhin starte, scheine dieser wie gewohnt nach der „BitLocker“-PIN zu fragen. Dann sei jedoch das Programm des Angreifers aktiv, das die geheime PIN im Klartext auf der Festplatte hinterlege. Nach der PIN-Eingabe entferne sich das Programm automatisch, stelle die „BitLocker“-Startroutine wieder her und starte den Rechner neu. „BitLocker“ funktioniere jetzt wieder wie gewohnt – der Benutzer könne den Angriff, abgesehen vom Neustart des Computers, kaum erkennen. Der Angreifer verschaffe sich jetzt ein zweites Mal Zugang zum Computer, lese die PIN von der Festplatte und entschlüssele damit die geschützten Daten.
Im Gegensatz zu vielen anderen Festplattenverschlüsselungen nutze „BitLocker“ ein auf der Hauptplatine des Computers vorhandenes TPM. Damit prüfe er die Unversehrtheit der zum „Windows“-Start notwendigen Software. „Wir haben einfach die Tatsache ausgenutzt, dass sich BitLocker dabei selbst mit Hilfe des TPM überprüft“, sagt Jan Trukenmüller. „Ersetzt man BitLocker durch ein eigenes Programm, überprüft niemand mehr, ob die PIN-Eingabeaufforderung tatsächlich echt ist.“ Im Gegensatz zu den kürzlich auf der „Blackhat“-Konferenz veröffentlichen Angriff gegen die „TrueCrypt“-Festplattenverschlüsselung, benötige der Angreifer jedoch zweimal Zugang zum verschlüsselten Computer.
Industriespione könnten mit dem Angriffsszenario in Unternehmen gezielt auf Datenfang gehen. Trotz der Sicherheitslücke sei „BitLocker“ eine gute Lösung zur Festplattenverschlüsselung, so Trukenmüller, denn vor der häufigsten Bedrohung für sensible Daten auf Festplatten – dem Verlust oder Diebstahl von Computern – schütze „BitLocker“ gut.

Weiter Informationen zum Thema:

Fraunhofer SIT
Attacking the BitLocker Boot Process