Trojanisches Pferd führt heimlich Überweisungen aus

[pefo]

quelle: magnus.de

Ein Schädling neuen Typs kapert beim Online-Banking die Browser-Sitzung und führt noch Transaktionen durch, wenn der Kontoinhaber glaubt, er habe sich schon längst beim Bank-Server abgemeldet. Auf der Festplatte hinterlässt "OddJob" kaum Spuren, er ist ein echter Online-Schädling.

Online-Banking sei sicher, wiederholen die Banken stereotyp, weil sie damit eine Menge Geld sparen. Doch das gilt bestenfalls, wenn der vom Kunden dazu benutzte Rechner nicht mit Malware verseucht ist. Welche Tricks Online-Kriminelle einsetzen, um Zugriff auf fremde Bankkonten zu erlangen, illustrieren kürzlich publizierte Informationen über einen neuartigen Schädling namens "OddJob".

Amit Klein vom Sicherheitsunternehmen Trusteer berichtet im Blog seiner Firma über ein Trojanische Pferd, das seine Kollegen und er bereits seit einigen Monaten beobachten. Bislang seien die vermutlich in Osteuropa beheimateten Hintermänner von OddJob vor allem bei Banken in den USA, Polen und Dänemark aktiv geworden. Laufende Behördenermittlungen hätten eine frühere Veröffentlichung der gesammelten Informationen verhindert.

Die Täter scheinen sehr intensiv an der Weiterentwicklung ihres Schädlings zu arbeiten, denn Trusteer habe häufige Veränderungen an den von OddJob an den Tag gelegten Techniken festgestellt, meldet Klein. Die Code-Analyse der von Klein als völlig neuer Schädlingstyp bezeichneten Banking-Malware könne daher auch nicht als abgeschlossen gelten.

OddJob hängt sich in den Web-Browser, Internet Explorer oder Firefox, um den Datenverkehr zwischen dem Kunden und seiner Bank zu belauschen und zu manipulieren. Er fängt die Session-ID ab, die den Kundenrechner gegenüber der Bank identifiziert. Mit dem Ausspionieren von Login-Daten und dergleichen muss er sich nicht aufhalten - das Opfer ist ja bei seiner Bank eingeloggt. OddJob sendet alle Daten in Echtzeit an sein Mutterschiff, den Kommando-Server der Täter.

Diese können damit über den PC ihres Opfers Überweisungen auslösen oder die des Kunden manipulieren, etwa den Überweisungsempfänger und den Betrag ändern. Das Opfer bekommt davon nichts mit, weil es manipulierte Web-Seiten zu sehen bekommt. Sie zeigen dem Bankkunden die Ergebnisse seiner Transaktionen, die er erwartet.

Meldet er sich dann bei der Bank ab, unterdrückt OddJob dieses Kommando und hält die Verbindung offen, zeigt dem Kunden jedoch eine Bestätigung. So können die Täter weiter das Bankkonto plündern, während sich ihr Opfer in trügerischer Sicherheit wiegt.

OddJob speichert seine Konfiguration nicht auf der Festplatte des Opfers, denn derartige Festplattenaktivitäten könnten den Verdacht eines Antivirusprogramms erregen, das mit Verhaltensanalyse arbeitet - wie meisten modernen Virenscanner. Vielmehr holt sich OddJob stets eine frische Konfigurationsdatei vom Server der Täter.

Die von OddJob benutzte Technik des "Session-Hijacking" ist im Grunde schon lange bekannt. Neu ist lediglich, dass ein Schädling damit offenbar so virtuos umgehen kann. Welche Antivirusprogramme OddJob und seine Varianten bereits zuverlässig erkennen, ist nicht bekannt.

[yaggi]

das ist SEHR interessant!!!
Danke für die Info :-)

[Gast23511]

Wobei ich nicht nachvollziehen kann, wie man überhaupt auf die Idee kommt mit einem Browser sicheres Banking zu betreiben.
Ich betreibe schon seit 2000 Home-Banking, aber noch nie über den Browser, sondern über Starmoney und mit Kartenlesegerät.
Das Verfahren war und ist das Sicherste und bisher auch nicht, mit vertretbaren Aufwand, geknackt worden.

[Kerberos]

Das seltsame ist nur, dass weder unter google.de noch ansonsten etwas unter oddjob zu finden ist - wieder mal ne Panikmache??
Seit über fünf Jahren betreibe ich Onlinebanking - mit Browser - und hatte bis dto. noch nie Probleme. Aber vllt. ist nicht genug Bares auf meinem Konto

[yaggi]

ich mach das schon seit BTX-Zeiten und hatte auch noch nie Probleme!
Ist irgendwie wi ungeschützter Sex
Ich denke ich hatte einfach auch Glück. WENN ein Schädling es schafft sich einzunisten, glaube ich nicht wirklich, dass ich eine Chance habe

Ein Möglichkeit des relativ sicheren Onlinebankings ist sicher das c't bankix-Projekt!

[Xwin7userX]

Das seltsame ist nur, dass weder unter google.de noch ansonsten etwas unter oddjob zu finden ist

Also ich finde da mit google so einige Links...
- OddJob - Neuer raffinierter Trojaner schleicht sich in Onlinebanking-Sitzungen
- OddJob Trojan: Bank virus capable of grabbing session IDs comes to UK
- Vorsicht: Neuer Trojaner infiltriert Bankkonten ohne Passwort - Kopp-Verlag

[Renato]

Seit das Homebanking existiert, mache ich alle meine Bankgeschäfte über das Homebanking, ohne dass ich je Probleme oder Bedenken hatte.
Allerdings bietet meine Hausbank mir auch genügend Sicherheit, denn nicht nur beim Login, sondern auch bei jeder Transaktion wird ein neuer SecurID verlangt. SecurID
Wäre das nicht so geregelt, dann müsste ich die Bank wechseln.

[Kerberos]

Also ich finde da mit google so einige Links...
- OddJob - Neuer raffinierter Trojaner schleicht sich in Onlinebanking-Sitzungen
- OddJob Trojan: Bank virus capable of grabbing session IDs comes to UK
- Vorsicht: Neuer Trojaner infiltriert Bankkonten ohne Passwort - Kopp-Verlag

Danke; dann habe ich wohl nicht weit genug zurück geblättert, bei google.
Aber der Herr hier: Udo Ulfkotte ist in meinen Augen nur ein Panikmacher (letzter Link...), und von daher messe ich seinen Berichten weniger Bedeutung zu.
Generell gilt wie bei allen Dingen im Leben: Aufpassen sollte man schon.

[wkt]

OddJob hängt sich in den Web-Browser, Internet Explorer oder Firefox, um den Datenverkehr zwischen dem Kunden und seiner Bank zu belauschen und zu manipulieren.

Hier gehts ja schon los mit den Fragen ( und den fehlenden Antworten ) :
wie geht denn das reinhängen genau vor sich. Hier sollten die Panikmacher doch genaue Informationen an das verstörte Publikum bringen !

[Tha.Piranha]

Das seltsame ist nur, dass weder unter google.de noch ansonsten etwas unter oddjob zu finden ist - wieder mal ne Panikmache?

Hmm, welches Google verwendest Du?