Big Brother Awards
quintessenz search  /  subscribe  /  upload  /  contact  
/q/depesche
/kampaigns *
/topiqs
/doquments
/contaqt
/about
/handheld
Linuxwochen Österreich Tour
BBA T-Shirt
Am Ende der Leitung
RSS RSS-Feed Depeschen
RSS RSS-Feed Kampaigns
Hosted by onstage
spacer
CURRENTLY RUNNING
Hände weg vom Telebanking!

Konsumenten und ihre Bankkonten sind einer neuen Generation von Computerviren schutzlos ausgeliefert. Diese "Man In The Browser" genannte Attacke verändert Empfänger und Betrag von Online-Überweisungen während des Überweisungsvorgangs und umgeht dabei alle Schutzmechanismen. Daher raten die Experten der Wiener Datenschutzorganisation q/uintessenz dringend, bis auf weiteres auf Online-Banking per Webbrowser vollständig zu verzichten.
Seit der Veröffentlichung dieser Meldung hatten wir ausführliche Diskussionen mit Personen aus der Banken- und Security-Branche. Es scheint, daß wir einer Fehlinformation aufgesessen sind: die beschriebenen "Man in the Browser"-Angriff werden zwar von allen befürchtet, konnten aber noch nicht bei Online Banking PC's nachgewiesen werden. Soweit die erste gute Nachricht.

Die zweite gute Nachricht ist, daß mehrere Banken derzeit Lösungen vorbereiten bzw testen, die auch gegen die beschriebenen Angriffe wirklich schützen können. Sobald sich die Angriffe als konkrete Bedrohung herausstellen, will man die vorbereiteten Lösungen aktivieren (daß man dies nicht sofort tut, liegt daran, daß diese Lösungen einen größeren Aufwand für den Kunden beinhalten)

Bisherige Betrugswellen ("Phishing") im Bereich des Online-Banking konnten von Kunden, die die Sicherheitshinweise der Banken befolgten, erkannt und damit rechtzeitig abgewendet werden.

Wie q/uintessenz in Erfahrung bringen konnte, ist seit über einer Woche eine neue Generation von "Trojanern" aktiv, auf deren Konto eine noch unveröffentlichte Anzahl von unberechtigten Abbuchungen geht. Die Manipulationen dieser Betrugssoftware können auch von aufmerksamen Benutzern nicht erkannt und von Virenscannern nicht entdeckt werden.

Die neuen Schadprogramme setzen sich direkt im Web-Browser des Opfers fest und erkennen, wenn eine Online-Überweisung getätigt werden soll. Dann werden die gesendeten und empfangenen Daten so verändert, daß die Überweisung mit einem geänderten Betrag auf ein anderes Konto umgeleitet wird. Dem arglosen Benutzer wird allerdings auf dem Bildschirm nur die von ihm eingegebene Transaktion angezeigt. Aufgrund ihrer Arbeitsweise schlägt q/uintessenz für diese Klasse von Angriffen die Bezeichnung "Man In The Browser" oder "MIB" vor, in Anlehnung an "Man In The Middle"-Angriffe, bei denen Nachrichten zwischen Absender und Empfänger unbemerkt verändert werden.

Kriminelle Organisationen können diese MIB-Trojaner im Internet in verschiedenen Versionen kaufen und die anzugreifenden Banken bequem aus einer Liste auswählen. Die Betrugssoftware richtet sich gegen die meistverbreiteten Versionen von Microsoft Windows und die Webbrowser Internet Explorer und Mozilla Firefox.

Keines dieser Betrugsprogramme wird derzeit von einem Virenscannererkannt, und da laufend neue Versionen von Trojanern entwickelt werden, sind Virenscanner prinzipiell keine geeignete Schutzmaßnahme. Weder die kürzlich eingeführten "ITANs" (eine von den Banken als sicher angepriesene Erweiterung der bekannten Transaktionsnummern oder TANs) noch die Verwendung einer Signaturkarte bieten Schutz gegen diese Art des Betrugs.

Daher rät q/uintessenz derzeit dringend von der Verwendung von Online-Banking unter Windows-Betriebssystemen ab, bis von den Banken wirkungsvolle Schutzmaßnahmen eingeführt werden.

< < alle aktuellen kampaigns anzeigen
 related topics
 q/depeschen
more depeschen ...