Die gemeinnützige Nichtregierungsorganisation (NGO) no abuse in internet (naiin) warnt derzeit vor einer groß angelegten Phishing-Kampagne gegen Kunden der Postbank. Hunderte Hinweise auf entsprechende Phishing-Mails bei der naiin-Beschwerdestelle (www.beschwerdestelle.de) weisen auf diese Massenattacken hin. Die Phishing-Mails, die als Absender "Postbank" tragen, weisen den Betreff "Wichtige Mitteilung" auf. Die E-Mail, mit der Internet-Kriminelle derzeit versuchen, an die Konto-, PIN- und TAN-Nummern zahlreicher Postbank-Kunden zu gelangen, kündigt eine angeblich neue Sicherheitsmaßnahme an.
Dennis Grabowski, der erste Vorsitzender von naiin, warnt denn auch alle Postbank-Kunden: "Bereits die sehr dubios anmutende Internet-Adresse sollte Postbank-Kunden stutzig machen und unbedingt davon abhalten, ihre vertraulichen Daten einzugeben."
Naiin hat die Postbank über die aktuelle Phishing-Kampagne in Kenntnis gesetzt. Postbank-Kunden, die bereits auf der gefälschten Website ihre Daten eingegeben haben, sollten sich umgehend mit ihrem Kreditinstitut in Verbindung setzen.
Follow me - ins Verderben
"Periodisch muss jeder unserer Kunden beweisen, dass seine TAN-Liste sich noch in seinem Besitz befindet. Folgen Sie den von uns vorgeschriebenen Schritten bitte genauestens", heißt es in den Phishing-Mails an Volksbank-Kunden. Der Adressat wird gebeten, sich über einen Link auf der der Postbank-Website zum Verwechseln ähnlich sehenden Phishing-Website einzuloggen, um die angebliche Sperrung seiner TAN-Liste zu vermeiden.
Bereits die Internet-Adresse aber ist dubios. Außerdem fehlen die sonst beim Postbank-Online-Banking üblichen Sicherheitsmerkmale wie beispielsweise die grüne Adressleiste und das Schlüssel-Symbol, auf die Online-Banking-Kunden immer Acht geben sollten.
Kein Schutz bei doppelter Sicherung
Zur gleichen Zeit hat der Security-Anbieter Trend Micro vor einem weiteren Sicherheitsdefizit beim Online-Banking hingewiesen. Danach sind bestimmte ZeuS/ZBOT-Varianten mittlerweile in der Lage, auch dann in Online-Bankkonten einzubrechen, wenn diese über Zweifaktor-Authentifizierungssysteme geschützt sind. Die ZeuS-Abkömmlinge nutzen dafür eine spezielle mobile Schadsoftware, um Systeme zu überlisten, die sich auf Textnachrichten verlassen, die über Handys mit dem Symbian-Betriebssystem verschickt werden.
Symbian-Handys laden Schadsoftware
Die Technik hinter diesen Angriffen ist laut Trend Micro einfach: Eine ZBOT-Variante verändert die Website der angepeilten Bank, so dass jedes Mal, wenn die Bank einen Authentifizierungscode über das Handy anfordert, der Nutzer zuerst seine Handynummer angeben muss. Dann erhält er eine Textnachricht, die einen Link auf eine gefälschte Symbian-Anwendung (SYMBOS_ZBOT.A) enthält.
Sobald dieser mobile Schadcode (SYMBOS_ZEUSMIT.A) installiert ist, fängt er alle Textnachrichten von einem bestimmten Absender (beispielsweise Banken) ab und schickt sie weiter an eine andere Nummer, die von dem Angreifer kontrolliert wird. Da dieser sowohl den Benutzernamen und das Kennwort als auch jeden Authentifizierungscode, der über das Mobiltelefon gesendet wurde, hat, können die Kriminellen ihre bösartigen Machenschaften so führen, als ob es nie eine Zweifaktor-Authentifizierung gegeben hätte.
Trend Micro schreibt, dass die Zweifaktor-Authentifizierung zwar eine gewisse höhere Sicherheit bietet. Die jetzt bekannt gewordenen Attacken würden aber zeigen, "dass auch diese Methode keine Garantie gegen alle Formen des Identitätsdiebstahls liefern kann." (jm)