US-Forscher kapern gigantisches Botnet "Torpig"

[henriof9]

Was für ein Coup:

Sicherheitsexperten haben das Botnet Torpig übernommen und dessen schädliche Wirkung erforscht. Von den etwa 180.000 infizierten Rechnern stehen mindestens 24.000 in Deutschland. Vor allem Bankdaten der betroffenen Opfer werden ausspioniert. Das Botnet lieferte allein in einer Stunde 56.000 Passwörter und insgesamt 70 Gigabyte gestohlene Daten.

Das muss für Hacker schon peinlich sein: Mit dem selbst entwickelten Schadprogramm namens Torpig abertausende Rechner infiziert und ein Botnet aufgebaut, um damit auf Beutezug zu gehen - und dann wird das einfach geklaut. Genau das ist Sicherheitsexperten der University of California in Santa Barbara gelungen. Wie nun bekannt wurde, hatten die Forscher schon Anfang 2009 einen der Command & Control-Server von Torpig aufgespürt. Dabei handelt es sich um einen der zentralen Rechner, mit denen die Kriminellen ein Botnet steuern. Zehn Tage lang konnten die Forscher das Computer-Netzwerk genau unter die Lupe nehmen – in Zusammenarbeit mit dem FBI und dem US-Verteidigungsministerium.

24.000 versklavte Rechner in Deutschland
70 Gigabyte gestohlene Daten

So klaut ein Botnet Ihre Daten

Aber wie funktioniert dieser Diebstahl? Der Torpig-Schädling versucht, auf infizierten Rechnern alle Eingaben des Benutzers zu protokollieren und dann an den Command & Control-Server zu schicken. So werden neben Tastatureingaben auch besuchte Internetseiten aufgezeichnet. Ist Ihr PC infiziert und Sie besuchen als ahnungsloses Opfer die Internetseite Ihrer Bank, dann schaut Ihnen Torpig unerkannt über die Schulter. Der Trojaner zeichnet die Eingabe von Benutzername und Passwort auf und sendet diese erbeuteten Informationen zurück an den Command & Control-Server.

weiter zu lesen [Links nur für registrierte Nutzer]

Eigentlich müßte mittlerweile jedem Internet- Benutzer klar sein, daß er sich nicht ohne Schutz durch das Internet bewegen kann/soll.
Und auch wenn es lästig ist, in regelmäßigen Abständen die Paßwörter zu ändern ist auch mehr als angebracht.
Oder was macht ihr, um einigermaßen sicher am PC zu arbeiten ?

[Lichtblau]

Aber es gibt doch bei Online-Banking noch die TANs.
Kann man die knacken?

Mit Kontonummer und Pin kann man doch nicht viel anfangen, oder?

[henriof9]

Aber es gibt doch bei Online-Banking noch die TANs.
Kann man die knacken?

Mit Kontonummer und Pin kann man doch nicht viel anfangen, oder?

Sehe ich auch so, zumal ja mittlerweile schon das iTAN- Verfahren angewendet wird.
Problematisch stelle ich mir das lediglich bei Kreditkartendaten vor, sofern der 4- stellige Sicherheitscode angegeben wird und dieser bei dem entsprechenden Unternehmen gespeichert wird.

[jak_22]

Aber es gibt doch bei Online-Banking noch die TANs.
Kann man die knacken?

Mit Kontonummer und Pin kann man doch nicht viel anfangen, oder?

Ein Trojaner könnte zum Beispiel die Übermittlung einer Buchung
mit Kontonummer, Pin und TAN blockieren, aufzeichnen, und dem
Hacker übermitteln. Dieser wiederum könnte mit diesen Daten eine
eigene Überweisung tätigen.

[Cash!]

Oder was macht ihr, um einigermaßen sicher am PC zu arbeiten ?

Auf Online-Banking verzichten reicht schon...

[Biskra]

Ein Trojaner könnte zum Beispiel die Übermittlung einer Buchung
mit Kontonummer, Pin und TAN blockieren, aufzeichnen, und dem
Hacker übermitteln. Dieser wiederum könnte mit diesen Daten eine
eigene Überweisung tätigen.

Das funktioniert allerdings nur bei der veralteten Methode. Inzwischen dürften die meisten doch durchnummerierte TAN's (iTAN) haben.

[Schaschlik]

Aber es gibt doch bei Online-Banking noch die TANs.
Kann man die knacken?

Mit Kontonummer und Pin kann man doch nicht viel anfangen, oder?

Die Informationen, welche sich aus der Übersicht der Transaktionen gewinnen lassen, können äußerst nützlich sein.

Mal ein Beispiel: ich habe ein Möbelhaus und kaufe von diesen Kriminellen eine CD mit Informationen über 1000 Nutzer aus einem Umkreis von sagen wir 50Km. Dort filtere ich alle Nutzer heraus, die z.B. vor kurzem erst einen Baukredit genommen haben (solche Informationen lassen sich online bei den Banken oft finden). Entsprechend der Bonität/Kontostand etc. schicke ich den Leuten dann "zugeschnittene" Werbung für das Wohnzimmer, welches sich die Leute demnächst ziemlich sicher kaufen werden.

Interessant wären zum Beispiel auch Informationen über fest angelegtes Geld, wann diese Anlagen auslaufen und welche Folgekonditionen von der Bank geboten werden. Eine Konkurrenzbank könnte kurz vorm Stichtag ein "besseres" Angebot frei haus schicken. Bösartige Mitarbeiter könnten auch das Terminangebot der bisherigen Bank zwecks Vertragsverlängerung als gelesen abhaken/löschen. Man kommt auch gleich noch an die dahinter stehende Email-Adresse und andere private Daten von deren Richtigkeit man ausgehen kann, da es sich hier ja aum Bankgeschäfte handelt.

Sowas sollte man nicht unterschätzen.

Ich rate auch dringendst von der Nutzung [Links nur für registrierte Nutzer] ab! Dort überlässt man die Zugangsdaten Dritten, welche quasi kontrollieren, ob eine Überweisung getätigt wurde und dem Verkäufer der Ware dies mitteilen, damit die Ware sofort geliefert wird, noch bevor das Geld auf dem Verkäuferkonto landet.

Die Sparkassen raten davon ab und drohen vorsorglich sogar damit, im Schadensfall sämtliche Risiken auf den Kunden abzuwälzen. Selbst Schäden, die mit solchen Diensten garnichts zu tun haben. Deren AGBs sind da eindeutig: die Zugangsdaten muss der Nutzer vertraulich behandeln und ein Abhandenkommen derer unverzüglich ihrer Bank melden.

[Schaschlik]

Ein Trojaner könnte zum Beispiel die Übermittlung einer Buchung
mit Kontonummer, Pin und TAN blockieren, aufzeichnen, und dem
Hacker übermitteln. Dieser wiederum könnte mit diesen Daten eine
eigene Überweisung tätigen.

Das ist in Zeiten von SSL und Sessioncookies aber nicht sehr einfach. Die Kommunikation mit der Bank müsste dann "von Anfang an" über einen Proxy des Hackers laufen, da die Bank die Transaktion nicht annimmt, wenn sie von einem anderen Rechner initiiert wird, als dann die TAN kommt.

[Schaschlik]

Das funktioniert allerdings nur bei der veralteten Methode. Inzwischen dürften die meisten doch durchnummerierte TAN's (iTAN) haben.

Er meint, dass der Nutzer eine Transaktion startet, die dafür richtige TAN eingibt, diese aber niemals bei der Bank ankommt, sondern vom Hacker für eine eigene Transaktion verwendet wird.

Dies funktioniert aus drei Gründen nicht:

- bei einer neu angeleirten Transaktion wird eine andere TAN abgefragt
- beim Wechsel der IP wird der Vorgang abgebrochen
- es wird nur ein gleichzeitiger Login erlaubt


Der Hacker müsste auf das Ende der Nutzersession warten und Glück haben die gleiche TAN wie die erbeutete zu erwischen. (was bei einer nur noch kurzen Liste allerdings möglich ist)

Beim iTAN verfällt die TAN sowieso nach einer unvollständigen Aktion und wird damit wertlos.


Außerdem: der einfachere Weg ist, die Transaktion zu erkennen und beim Anleiern selbiger heimlich das Empfängerkonto zu ändern (geht nur mit Zugriff auf den Rechner, also Trojaner etc). Wenn der Nutzer seine Aktion nicht nochmal kontrolliert, kommt der Hacker damit durch.

[henriof9]

Auf Online-Banking verzichten reicht schon...

Muß ja nicht sein, wenn die eigene Bank HBCI unterstützt, zusammen mit einem externen Lesegerät und zertifizierter Chipkarte, kann Dir überhaupt nichts passieren, da ja die PIN- Eingabe außerhalb des System geschieht, als auf einer extra Hardware.
Das nützt dem besten Hacker nichts, da auch die Tastaturanschläge ausgeschlossen sind davon.

Die Frage die man sich dabei eher stellen sollte ist doch die, ob die Überwachung der Hacker nicht auch dazu genutzt werden kann selbst unbemerkt in die Systeme der Bürger zu kommen- Stichwort Überwachungsstaat.