E-Banking-Gefahr
30.09.2010, 10:31 Uhr
Hacker fangen SMS ab
Hackern ist es gelungen, SMS von E-Banking-Servern abzufangen. Damit droht Gefahr für E-Banking-Systeme, die sich auf den bislang sicheren Zusatzkanal Mobilfunk verlassen und Ergänzungspasswörter per SMS verschicken.
Die Hacker verwendeten bei ihren Angriffen das berüchtigte ZeuS-Botnet, ein Netz von infizierten Computern. Über dieses wurde ein Software-Paket verschickt, das ganz gezielt Blackberry- und Symbian-Smartphones ins Visier nimmt. Ziel der Angreifer ist es, die SMS abzufangen, die Banken als Zusatzpasswörter zu ID und PIN verschicken. Somit haben die Hacker den Beweis erbracht, dass die bislang als sehr sicher geglaubte Zwei-Faktoren-Authentifizierung via Handy-Netz geknackt werden kann.
Allerdings sind bislang nur Bankkunden Opfer der Attacke geworden, die sogenanntes Mobile Banking betrieben haben. Die spanische IT-Security-Firma S21sec hat die Angriffsmethode denn auch als Mitmo (Man in the Mobile) tituliert.
Dabei stiehlt der Angreifer zunächst den User-Namen und das Passwort des Bankkunden. Sodann bewirkt die zuvor auf dem Smartphone installierte Malware, dass das temporäre Zusatzpassword, das die Bank per SMS verschickt, an den Angreifer umgeleitet wird. Den Trojaner fängt sich der Anwender ein, indem er dazu veranlasst wird, eine präparierte Webseite zu besuchen, von der die Software dann im Hintergrund heruntergeladen wird.
"Das Besondere an diesem Angriff ist, dass das Opfer nicht einmal einen mobilen Finanztransfer initiieren muss. Das besorgen nun die Hacker für ihn", kommentiert Axelle Apvrille, Bloggerin für den Sicherheitsspezialisten Fortinet die Vorkommnisse.