Eurograbber-Trojaner erbeutet 36 Millionen Euro

Mit einem kombinierten Angriff auf Computer und Smartphones haben Unbekannte mehr als 36 Millionen Euro erbeutet. Die israelischen Anbieter von der Sicherheitssoftware Versafe und Check Point Software berichten, dass mehr als 30.000 private Bankkunden und Firmen betroffen sind. Den Online-Banking-Kunden wurden per Schadsoftware jeweils zwischen 500 und 250.000 Euro direkt von den Bankkonten gestohlen. Auch die zweistufige Sicherung von Online-Bankgeschäften per Passwort und mTan konnte die Opfer nicht schützen.

Von Italien ausgehend sind mittlerweile Kunden im gesamten Euro-Raum betroffen. Wegen des Wirkungskreises sprechen die Autoren des Berichts von einem "Eurograbber"-Angriff. Betroffen seien Nutzer von Android- und Blackberry-Handys, heißt es in dem Bericht.

Die Angriffe laufen in der Regel so ab: Zunächst wird der PC des Opfers mit einer Trojaner-Software infiziert. Dies kann im Drive-by-Verfahren über eine manipulierte Website geschehen, die Nutzer aufrufen. Die Kriminellen haben aber auch manipulierte E-Mails verschickt. Diese Nachrichten enthalten in der Regel die Aufforderung, auf einen Link zu klicken. Versprochen wird eine Belohnung, tatsächlich wird ein Trojaner auf dem PC installiert.

Beim nächsten Zugriff auf das Online-Banking wird der Trojaner aktiv und fordert den Anwender auf, eine Aktualisierung der Bank-Software zu installieren. Dazu soll der Kunde seine Handynummer eingeben und den Anweisungen folgen, die per SMS geschickt werden. Damit wird die zweite Phase des Angriffs eingeleitet, denn über einen in die SMS eingebetteten Link wird eine Variante des "Zitmo"-Trojaners ("Zeus in the mobile") auf das Smartphone des Nutzers geladen.

Versafe / Check Point Software Technologie

Eurograbber: So funktioniert der Angriff auf das Online-Banking

Nicht jeden Link anklicken

Den Sicherheitsexperten zufolge wird dieser gestaffelte Angriff von einer vielschichtigen Serverstruktur aus gesteuert und überwacht. Mehrfach getarnte Steuerungsrechner sammeln die Daten der Opfer in Datenbanken.

Die Anwender bemerken von den manipulierten Überweisungen nichts, da die Vorgänge komplett im Hintergrund ablaufen. Den beiden israelischen Sicherheitsfirmen zufolge wird dieser Prozess jedes Mal aufs Neue angestoßen, sobald die Opfer Online-Banking nutzen.

Dem Bericht zufolge ist "Eurograbber" derzeit offenbar noch aktiv. Die Sicherheitsexperten empfehlen die üblichen Maßnahmen zum Selbstschutz: Man soll immer Updates für Betriebssysteme und Software installieren und aktuelle Virenschutzsoftware verwenden. Außerdem solle man immer vorsichtig bei Anweisungen sein, irgendwelche Websites aufzurufen.

Stutzig werden sollte man bei E-Mails mit Formulierungen wie "Klicken Sie auf diesen Link, um die Sicherheit Ihres Online-Bankings zu verbessern". Im Zweifel raten die Experten: "Informieren Sie sich bei Ihrer Bank, ob es ein solches Update wirklich gibt. Verwenden Sie dazu auf keinen Fall eine Telefonnummer, die Ihnen in einer solchen E-Mail angeboten wird."