Bankraub per Computer So gelang den Cybergangstern der Milliarden-Coup

Sie haben bis zu eine Milliarde Dollar von 100 Banken und Finanzdienstleistern gestohlen. Doch wie gelang der Carbanak-Gang der spektakuläre Diebstahl?

Kaspersky Lab

Hamburg - Millionen wanderten unbemerkt von einem Konto aufs andere, Geldautomaten spuckten plötzlich Berge von Scheinen aus - und scheinbar zufällig war immer jemand zur Stelle, um sie diskret einzusammeln. Zwei Jahre lang haben Kriminelle in den Systemen von 100 Banken weltweit getrieben, was ihnen passte. Insgesamt haben sie bis zu eine Milliarde Dollar durch Online-Attacken auf Banken gestohlen, berichtete die russische IT-Sicherheitsfirma Kaspersky Lab am Wochenende.

Aber wie läuft so ein virtueller Diebstahl ab? Mit einer Kombination aus Hacker-Kunst, Geduld und Dreistigkeit, erklärt Kaspersky in der Analyse des langwierigen Angriffs. Die Kurzversion: Die Hacker - hinter so einem massiven Angriff steckt höchstwahrscheinlich eine Bande mit arbeitsteiliger Organisation - drangen durch eine Sicherheitslücke in den geschützten Bereich der Bank vor, beobachteten unbedarfte Mitarbeiter bei ihrer Arbeit und imitierten ihre Routinen, um sich selbst Geld zu überweisen und Geldautomaten zur Ausgabe von Bargeld umzuprogrammieren.

  • Schritt 1: Infektion der Computer von Bankangestellten

Die Angreifer verschicken E-Mails mit gefährlichem Dateianhang an Adressen, hinter denen sie Bankmitarbeiter vermuteten. Sobald die den Anhang öffnen, zum Beispiel ein infiziertes Word-Dokument, installiert sich das Schadprogramm von selbst und öffnet den Angreifern eine Hintertür ins Banknetzwerk. Da es die Angreifer nur auf die IT-Verwaltung der Banken abgesehen haben, werden Hunderte Mitarbeiter-PC als Kollateralschaden mitinfiziert.

  • Schritt 2: Infektion der Bildschirmüberwachung

Einmal im Netzwerk, suchen die Angreifer nach zwei Arten von Computern: Arbeitsplatzrechner von Mitarbeitern, über die Überweisungen verwaltet werden, und ans Netzwerk angeschlossene Geldautomaten. Auf diesen Computern installieren die Angreifer Programme zur Aufzeichnung von Tastatureingaben und Monitorsignalen, um so den Angestellten bei der Arbeit zuschauen zu können. So finden die Angreifer heraus, was die Bankmitarbeiter machen - um das dann nachzumachen und die Banksysteme für ihre eigenen Zwecke missbrauchen zu können. Die Phase der stillen Beobachtung dauerte laut Kaspersky zwei bis vier Monate.

  • Schritt 3: Imitation und Auszahlung

Sobald sie genug über die Routinen der Bankangestellten erfahren haben, agieren die Angreifer selbst wie Bankangestellte. Sie überweisen sich Geld oder manipulieren Geldautomaten so, dass sie zu einem bestimmten Zeitpunkt Geld ausgeben. Trotzdem müssen sie auch ihre Spuren verwischen: Damit die Überweisungen von Privatkonten nicht auffallen, erhöhen die Angreifer in manchen Fällen vor der Überweisung das Kontensaldo um den zu stehlenden Betrag. So taucht in der Umsatzübersicht der Bankkunden zwar der gestohlene Betrag auf - aber weil der Kontostand gleich bleibt, ist das Aufdeckungsrisiko geringer. Weil die Banken laut Kaspersky nur durchschnittlich alle zehn Stunden die Konten überprüfen und die Betroffenen durch die Manipulation des Kontostands nicht sofort Verdacht schöpfen, bleibt genug Zeit für die unentdeckte Überweisung aufs eigene Konto.

Um direkt an Bargeld zu gelangen, programmieren die Angreifer bestimmte Geldautomaten so um, dass sie zu einem genauen Zeitpunkt Bargeld ausgeben. Ein Komplize wartet an dem entsprechenden Automaten, entnimmt das Geld und überweist es auf die Konten der Betrüger.

So erkennen Banken, ob sie betroffen sind

Diese Masche war höchst erfolgreich: Der Cyber-Bankraub begann vor zwei Jahren und ist wohl noch immer im Gang. Die Angreifer infiltrierten bislang mindestens 100 Banken in 30 Ländern, die meisten davon in Russland. Pro Bank konnten sie zwischen 2,5 und zehn Millionen Dollar (2,2 bis 8,8 Millionen Euro) entwenden - laut Kaspersky sicherlich insgesamt 300 Millionen, vielleicht aber auch bis zu einer Milliarde Dollar (875 Millionen Euro).

Kaspersky hat mittlerweile Hinweise veröffentlicht, anhand derer Banken eine mögliche Carbanak-Infektion erkennen können: Dateien mit .bin-Dateiendung in einem Mozilla-Verzeichnis, eine svchost.exe in einem ungewöhnlichen Unterverzeichnis von Windows, Windows-Dienste mit der Dateiendung .sys, die einen Windows-Dienst ohne Dateiendung .sys imitieren.

Aber die eigentliche Gefahr gehe gar nicht von solchen Dateien aus, warnt Kaspersky-Experte Sergej Glowanow: "Diese Diebstähle haben uns überrascht, weil es den Kriminellen egal war, welche Programme die Banken einsetzten." Die Angreifer nutzten die Software-Lücken letztlich nur aus, um in die Rolle eines Bankmitarbeiters zu schlüpfen und so unerkannt Transaktionen vornehmen zu können.

Das ist der eigentliche Clou der sogenannten Carbanak-Bande: Werden die jeweiligen Lücken geschlossen, müssen Angreifer nur eine neue Lücke suchen, und das Imitationsspiel geht weiter.

Forum - Diskutieren Sie über diesen Artikel
insgesamt 26 Beiträge
Alle Kommentare öffnen
Seite 1
hei-nun 16.02.2015
1. abenteuerlich
Das ganze klinkt so abenteuerlich, dass ich es so nicht glaube. z.B.: "Damit die Überweisungen von Privatkonten nicht auffallen, erhöhen die Angreifer in manchen Fällen vor der Überweisung das Kontensaldo um den zu stehlenden Betrag." Das hört sich einfach an, aber in der Praxis: Wie soll das geschehen !? Direkt im IT-System - unglaublich ! Durch Umbuchung ?? Tolle Geschichte, aber wahrscheinlich nur bei exotischen Banken ohne Sicherheit. Ist natürlich für Kaspersky eine tolle Werbung !
stefan_sts 16.02.2015
2. Alles kein Problem ,
die regulären Bankkunden fangen dieses Minus durch gültige horrende Gebühren wieder auf , bekommen für angelegtes Geld sagenhafte 1-2% p.a. oder zahlen für einen Kredit , welchen sich die Bank zum Nulltarif besorgt , ordentlich Zinsen imhohen einstelligen Bereich , also alles wie immer ..in dem Fall läuft das aber nicht über Betrug sondern die Bankenschiene ..ist aber das Gleiche !
franz.urbanek 16.02.2015
3. Kaspersky-Latein...
Die Worte vernehm ich wohl, allein fehlt mir der Glaube. Ich kenne mich ein wenig mit DTAUS- Dateien aus. Da gibt es Prüfsummen, Plausibilitätskontrollen und vieles mehr. Das es möglich sein soll, einen Geldautomaten zum Dukatenesel umzuprogrammieren, ohne das eine EC- Karte im Lesegerät steckt, geht vielleicht in Russland, aber in Deutschland ist das technisch ausgeschlossen. Tolle Reklame von Kaspersky. Da wird einmal im Jahr eine Sau durchs Dorf getrieben und N-Tv übernimmt das dann in die Nachrichten. Ein Administrator einer Bank würde von mir sofort entlassen werden, wenn er keine Vorsorge getroffen hätte, Dateianhänge auf dem Mailserver zu filtern. Gefährlicher sind da schon Keller in manipulierten USB Sticks (Rubber Duck). Aber auch USB-Ports an Workstations gehören gesperrt bzw ausgeschaltet. Sollte tatsächlich ein so höher Schaden bei über 100 Banken entstanden sein, so haben die das durch Fahrlässigkeit selber verschuldet. Hätten ihren Admins mal lieber ein paar Schulungen in Datensicherheit bezahlen sollen, als Daytradern Boni in Millionenhöhe auszuzahlen.
HubertusR 16.02.2015
4. Die Geschichte ist unglaubwürdig ...
Die Geschichte ist unglaubwürdig. Niemals haben in mehr als einhundert Banken noch mehr Mitarbeiter an E-Mails angehängte ausführbare Dateien (z.B. .exe) geöffnet, gestartet und gegen die Warnungen ihrer Betriebssysteme installiert. Und danach haben die Banken-Virenscanner nichts bemerkt? Und dann sollen die Hacker über Kameras Eingaben mitgelesen haben? Dann müssten das ja IP-Kameras gewesen sein. Viele Banken haben normale Coax-Kameras. Und die Kameras müssten in den Büros der Mitarbeiter hängen und auf deren Bildschirme gerichtet sein. Und die Mitarbeiter müssten sich bei ihren Eingaben weit zurück gelehnt haben. Und die Firewalls müssten den ausgehenden Verkehr durchgelassen haben. Und wie gesagt: Das Ganze in Banken. Bei ein paar Banken o.k. Bei ein paar noch mehr Mitarbeitern dort auch o.k., aber niemals, niemals, niemals mehr als hundert.
hermannheester 16.02.2015
5. Die Wunder der Technik
Sie sind schon seit vielen Jahren auch fürs Gelichter ein gefundenes Fressen. Wie man weiß, wurde schon vor vielen Jahren ein METRO-Mitarbeiter ermittelt, der bei Rechnungsüberweisungen jeweils einen Pfennig (oder so) auf das eigene Konto abgezweigt hatte. So macht auch Kleinvieh richtig viel Mist!
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2015
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.