Banking-Trojaner auf dem Vormarsch

MAPS MAPS News

Die Sicherheitsexperten der G Data Security Labs schlagen Alarm: In einer gross angelegten Spam-Kampagne versenden Hacker derzeit massenhaft täuschend echt wirkende Rechnungen. Der Angriff richtet sich vorrangig an deutschsprachige Surfer, wer darauf hereinfällt, fängt sich einen gefährlichen Banking-Trojaner ein. Der Trick der Cyber-Gangster ist simpel, aber effektiv: Sie verschicken Rechnungen, die angeblich von namhaften Firmen wie der Deutschen Telekom, Vodafone un der Telefongesellschaft der Deutschen Industrie (NTT Cable) stammen. Eine andere Variante sind Mails mit Sicherheits- und Überweisungshinweisen, die vorgeben, von einer Volksbank zu stammen.

629150629150

Überraschend gutes Deutsch

Die Nachrichten sind in überraschend gutem Deutsch verfasst. Wer genau hinschaut, entdeckt aber Tip- und Rechtschreibefehler („Ihr Online-Banking-Zugang bald ablauft“), die das Ganze als Fälschung entlarven.
Die eigentliche Gefahr geht derweil vom eingebetteten PDF-Dokument aus: Wird der darin enthaltene Link angeklickt, landet der Anwender auf einer präparierten Webseite, von der aus sich der gefährliche Banking-Trojaner „Cridex“ auf den Rechner lädt. Wird die entsprechende exe-Datei gestartet, infiziert sich schliesslich den Computer. Von da an klinkt sich „Cridex“ in alle Online-Banking-Geschäfte des Anwenders, schneidet Tastatureingaben mit und leitet Geldbeträge auf fremde Konten um.
Bemerkenswert ist das länderübergreifende Handeln der Täter: Allein in der letzten Woche konnten die G-Data-Experten über 1100 Webseiten ermitteln, die in direktem Zusammenhang mit der Spam-Kampagne stehen. Von diesen Seiten, die in Rümänien, Russlang, England und den USA angesiedelt sind, wird der Schadcode auf die Rechner der Anwender geladen. Um die Erkennung durch AntiViren-Programme zu entgehen, hinterlegen die Angreifer dort zudem ständig neue Varianten des Schädlings.

Bald in der Schweiz

Dass die Angreifer nur auf deutsche Surfer abzielen, ist angesichts des Umfangs der Kampgagne unwahrscheinlich. Surfer in der Schweiz und in Österreich könnten daher als Nächste an der Reihe sein. Die getürkten Telefon-Rechnungen zeigen ausserdem, dass der Spam-Versand zur Verbreitung von Schadcode längst nicht aus der Mode ist. Entsprechend vorsichtig sollte man daher mit eingehenden Mails umgehen. AntiViren-Scanner und Spamfilter halten einem zwar die meisten Spam-Nachrichten vom Hals, lückenlos arbeiten aber auch sie nicht.
Findet sich wider Erwarten eine verdächtige Mail im Postfach, sollte man daher misstrauisch sein und sie nicht blindlings öffnen. Erscheint eine Mail merkwürdig, etwa weil man den Absender nicht kennt, sollte man sie daher umgehend löschen.
In der Zwickmühle sitzt, wer tatsächlich gerade eine wichtige Nachricht oder Rechnung dieses oder jenes Unternehmens erwartet. In solchen Fällen empfiehlt es sich, zunächst den Mailanhang mit dem Virenscanner zu prüfen, ohne ihn zu öffnen.

Mouseover-Funktion

Der Virenscanner muss dafür zwingend auf dem letzten, sprich tagesaktuellen Stand sein, Wird das Dokument von ihm als unbedenklich eingestuft und anschliessend geöffnet, sollte man vermeiden, die darin eingebetteten Links anzuklicken. Stattdessen bewegt man den Mauszeiger nur über den Link. Die meisten Mail-Programme besitzen eine entsprechende Mouseover-Funktion, die verrät, wohin der Links tatsächlich führt und entlarven eine Fälschung am Ende doch noch.

Text: Georg H. Przikling
Tagblatt, AppenzellerZeitung: Donnerstag, 30. Januar 2014