"Zeus" zockt weiter ab- Elektronischer Bankraub per Handy

[henriof9]

Der Datenschädling "Zeus" räumte in Europa Millionen von Online-Banking-Konten ab. Jetzt sind erste Verantwortliche verhaftet. Doch die Abzocke geht weiter - sogar per Handy.

Es dürfte das bislang größte Verfahren gegen Online-Gauner werden, die mit Hilfe von Schädlingsprogrammen Online-Banking-Konten unvorsichtiger Nutzer ausraubten: In Großbritannien und den USA sind mehr als 100 Menschen angeklagt, die zu einem internationalen Internet-Bankräuberring gehören sollen.

Noch ist allerdings unklar, ob wirklich auch Hintermänner gefasst werden konnten. So sind die in den USA festgenommenen Personen vor allem sogenannte "Mules", "Geldagenten", die im Auftrag ihnen unbekannter Dritter Geld von ausgeraubten Opfern entgegennahmen und es weiterleiteten - offenbar vor allem nach Osteuropa.

Der bei den virtuellen Raubzügen eingesetzte Datenschädling, genannt "Zeus", kursiert seit mindestens Frühjahr 2010. Er kam unter anderem per Spam-E-Mail auf die Festplatte Betroffener, und nutzte bis vor kurzem Windows-Sicherheitslücken aus.

Zeus wird über ein sogenanntes Botnetz zusammengehalten: Angegriffen werden nicht nur einzelne Rechner, sondern gleich viele Hundert, die dann zentral gesteuert werden können, um möglichst viele weitere Rechner zu infiltrieren.

Der bislang wohl heimtückischste Zeus-Spross nistet sich auf Smartphones ein. Wie das IT-Sicherheitsunternehmen S21Sec in dieser Woche bekannt gab, hat es eine Version isoliert, die geschickt den PC-Schädling mit Handy-Malware kombiniert.

Zeus öffnet dazu auf befallenen Rechnern ein Fenster und fordert den Benutzer auf, sein Mobiltelefon als "neues Sicherheitsmerkmal" anzugeben. Dort kann er dann sowohl Gerätemarke als auch Telefonnummer eingeben.

"Unterstützt" werden derzeit einige Blackberry-Modelle und Handys mit Symbian-Betriebssystem, das vor allem von Nokia genutzt wird. Hat das Opfer seine Daten eingegeben, erhält es eine SMS mit einem angeblichen Sicherheitsupdate, manchmal wird auch ein "Nokia Update" angekündigt.

Die Attacke durch Zitmo zeigt, dass man mittlerweile auch auf Handys, die längst kleine Computer sind, höllisch aufpassen muss, was man installiert. Leichtgläubigkeit, so meinen auch die Sicherheitsforscher von S21Sec, sei da völlig fehl am Platze.

komplett zu lesen [Links nur für registrierte Nutzer]

Mittlerweile müßte doch eigentlich jeder wissen, daß man bei seinen Bankgeschäften Vorsicht walten läßt.
Und trotzdem handeln die Menschen leichtgläubig und lesen nicht einmal die Meldungen welche sie so angezeigt bekommen.

Als absoluter Anhänger des Onlinenbanking kann ich bei solchen Meldungen immer nur den Kopf schütteln warum Menschen, gerade wenn es um ihr Geld geht, so leichtsinnig agieren.

[Haspelbein]

[...]
Als absoluter Anhänger des Onlinenbanking bei solchen Meldungen immer nur den Kopf schütteln warum Menschen, gerade wenn es um ihr Geld geht, so leichtsinnig agieren.

So grob ist die Leichtsinnigkeit gar nicht einmal, da Banken wie JPMorgan Chase durchaus die Identitaet des Webkunden mit einer SMS an das Handy des Kunden ueberpruefen. Da der Kunde die regulaere Webaddresse seiner Bank eingibt (deren Inhalt von Zeus lokal veraendert wird), ist es nicht sonderlich schwer zu verstehen, warum der Kunde nicht unbedingt misstrausisch wird.

Besonders gegen Keyloggermodus ist der Kunde nach dem Befall machtlos, wenn beim Passwort keine Hardwaretoken verwendet werden. Das ist jedoch in vielen Laendern (USA) nicht ueblich.

Eben deshalb nutze ich keinen Windowsrechner mehr fuer meine Onlinebankinggeschichten.

[nethead]

Botnetze sind eine, insbesondere von den deutschen Behoerden, stark unterschaetzte Gefahr. Egal ob sie zur Kontrolle von Programmen die einem das Bankkonto ausraeumen, zum Spammen oder zu Angriffen auf IT Infrastruktur benutzt werden.

Botnetze koennen prinzipiell grosse Teile des gesamten Internet lahmlegen. Natuerlich koennen sie auch gezielt eingesetzt werden um einzelne Firmen anzugreifen.

Die Analyse, Entwicklung und Zerstoerung von Botnetzen muesste mit an erster Stelle der Deutschen Forschung stehen. Wenn es je einen echten "Cyber-War" zwichen Nationen oder Gruppen geben wird, so werden Botnetze dort eine sehr grosse Rolle spielen.

[henriof9]

So grob ist die Leichtsinnigkeit gar nicht einmal, da Banken wie JPMorgan Chase durchaus die Identitaet des Webkunden mit einer SMS an das Handy des Kunden ueberpruefen. Da der Kunde die regulaere Webaddresse seiner Bank eingibt (deren Inhalt von Zeus lokal veraendert wird), ist es nicht sonderlich schwer zu verstehen, warum der Kunde nicht unbedingt misstrausisch wird.

Besonders gegen Keyloggermodus ist der Kunde nach dem Befall machtlos, wenn beim Passwort keine Hardwaretoken verwendet werden. Das ist jedoch in vielen Laendern (USA) nicht ueblich.

Eben deshalb nutze ich keinen Windowsrechner mehr fuer meine Onlinebankinggeschichten.

Muß man denn nun unbedingt seine Bankgeschäfte online über ein Handy erledigen ?
Wenn man sich nicht sicher sein kann, dann macht man das eben telefonisch, man kann ein Handy nämlich auch zum telefonieren benutzen.

[Cinnamon]

Was ich mich immer frage ist: Wie blöd muss man sein, um auch seine TANs zu speichern?

[Haspelbein]

Muß man denn nun unbedingt seine Bankgeschäfte online über ein Handy erledigen ?
Wenn man sich nicht sicher sein kann, dann macht man das eben telefonisch, man kann ein Handy nämlich auch zum telefonieren benutzen.

Wenn man sich nicht seines Handys sicher sein kann, dass etliche hundert Euro gekostet hat, warum hat man das Geld denn sonst ausgegeben? Ich kenne Leute, die sich mehr and das Handy denn den PC gewoehnt haben.

[Don]

So grob ist die Leichtsinnigkeit gar nicht einmal, da Banken wie JPMorgan Chase durchaus die Identitaet des Webkunden mit einer SMS an das Handy des Kunden ueberpruefen. Da der Kunde die regulaere Webaddresse seiner Bank eingibt (deren Inhalt von Zeus lokal veraendert wird), ist es nicht sonderlich schwer zu verstehen, warum der Kunde nicht unbedingt misstrausisch wird.

Besonders gegen Keyloggermodus ist der Kunde nach dem Befall machtlos, wenn beim Passwort keine Hardwaretoken verwendet werden. Das ist jedoch in vielen Laendern (USA) nicht ueblich.

Eben deshalb nutze ich keinen Windowsrechner mehr fuer meine Onlinebankinggeschichten.

Vom Rechner aus ist das überhaupt kein Problem. Nur muß man eben den Gegenwert von 5 Schachteln Kippen in eine HBCI Software investieren, die außerdem den Vorteil hat businesstauglich zu sein.

Solage es diese Funktionalität nicht für Blackberries gibt greift man eben besser zum mündlichen Telephonbanking wenns denn unbedingt sein muß.

[Haspelbein]

Vom Rechner aus ist das überhaupt kein Problem. Nur muß man eben den Gegenwert von 5 Schachteln Kippen in eine HBCI Software investieren, die außerdem den Vorteil hat businesstauglich zu sein.

Solage es diese Funktionalität nicht für Blackberries gibt greift man eben besser zum mündlichen Telephonbanking wenns denn unbedingt sein muß.

Sicher, eine TAN-Liste hilft dort auch, aber solange keine dem Computer externe Massnahme verwendet wird, solange hat der Endkunde hier keine grossen Chancen, da es fuer regulaere (nicht geschaeftliche) Konten oftmals nicht angeboten wird, da es im Ausland oftmals schlicht und ergreifend nicht ueblich ist.

Da muessen international m.E. die Banken schlicht und ergreifend nachziehen. Aehnlich sieht es bei Online-Bezahldiensten aus (Paypal, etc.), die z.T. indirekt auf das Konto zugreifen, aber solche Protokolle ebenfalls nicht etablieren. Von hier kommt an auf Online-Ueberweisungsermaechtigungen von Drittanbietern, wie z.B. Kreditkartendiensten, die solche Protokolle ebenfalls nicht einrichten. Die Liste hoert nicht so schnell auf.