Web-Kriminalität Wie russische Cracker deutsche Banken knacken

Dass Cracker ihre Viren und Trojaner heute vor allem als virtuelle Waffen verhökern, hört man immer wieder. Nun dokumentiert ein Virenexperte, wie sie ihre Kunden finden: per Werbung für Programme, mit denen sich Online-Konten knacken lassen. Ihres, zum Beispiel.

Von


Was Dirk Kollberg als kleinen Glücksfall schildert, ist in Wahrheit natürlich das Resultat einer ständigen Beschäftigung mit einem haarigen Thema: den kriminellen Umtrieben von Crackern im Web. Kollberg ist Virenexperte beim IT-Sicherheitsunternehmen McAfee. Vor einigen Tagen, erzählt er, stolperte er über eine Webseite, auf der russische Cracker ihre Dienste anbieten. Das Produkt, das sie ihren Kunden offerieren, ist ein Trojaner, mit dessen Hilfe sich Online-Banking-Konten knacken lassen. Ziel der virtuellen Waffe: Konten deutscher Banken, unter anderem der Deutschen Bank und der Postbank.

Der Fall wirft ein Schlaglicht auf ein brandheißes Dauerthema. Dass Cracker heute vor allem mit kriminellen Absichten unterwegs sind, liest man zwar immer wieder. Dass einzelne gefasst werden, die mit Viren, Schutzgelderpressungen, Aktienmanipulationen, Spamversand, DDoS-Attacken oder Phishing eine Menge Geld machen, auch. Dass man ihre Dienste regelrecht anmieten kann, um Konkurrenten abzuschießen, Netznutzer finanziell zu schädigen und sich selbst zu bereichern, sowieso. Eine Frage aber bleibt in aller Regel offen: Wie kommen diese Typen eigentlich an ihre Kunden?

Kollberg hat darauf eine einfache Antwort: "Unter anderem mit Werbung."

Man muss sich das so vorstellen: Es gibt eine Subkultur im Web, in der in Foren und über Webseiten recht offen über solche Dinge diskutiert wird. Da bieten Cracker ihre Dienste an, und sie umwerben ihre potentiellen Kunden. Im konkreten Fall bieten sie unter anderem eine regelrechte Business-Präsentation an, die haarklein demonstriert, wie das von ihnen entwickelte Programm sich Zugangsdaten bis hin zu TAN-Nummern für das Online-Banking erschleicht.

Das eigentlich Beängstigende daran ist, dass Menschen wie Kollberg überhaupt über so etwas "stolpern" können. Das bedeutet, dass derjenige, der sich intensiv genug mit dem Thema befasst, auch Zugang zu dieser kriminellen Szene findet. Zumindest diese erste, kontaktorientierte werbliche Ebene ist nicht verborgen. Man muss nur herausfinden, wo und wie man sie findet. Der Rest ist Shopping: Keine Frage, dass man etwa auf der Banking-Crack-Seite auch Kontaktmöglichkeiten genannt bekommt.

Und das bieten die Cracker

Kollberg hält das dort geschilderte Modell für plausibel. Die Cracker verkaufen einen Trojaner, der auf verschiedenen Wegen auf einen Rechner eingeschleust werden kann. Das Schadprogramm öffnet dort eine Hintertür, über die es Kontakt mit dem Auftraggeber hält und diesem die auf dem befallenen Rechner gesammelten Informationen zukommen lässt.

Perfide ist die Art und Weise, wie dieser Trojaner seine Daten sammelt: Ganz gezielt reagiert er auf den Aufruf bestimmter Webseiten. Primärziele seien in diesem Fall unter anderem die Online-Banking-Seiten der Postbank und der Deutschen Bank. Die Auswahl wird von den Crackern sogar begründet: "In Deutschland gibt es die Deutsche Bank und die Postbank. Alle anderen sind irrelevant." Ein schmerzhafteres, übertriebeneres Lob haben die wohl auch noch nie bekommen (Die betroffenen Banken sind mittlerweile aus der Schußsslinie: siehe Kasten).

Das Schadprogramm protokolliert per Beobachtung der Tastatureingaben ("Keylogging") Nutzerkennungen und Passwörter. Finanziell interessant aber wird der so erschlichene Zugang zu einem fremden Bankkonto erst, wenn man auch Zugriff auf die nach einmaligem Gebrauch verfallenden TAN-Nummern erhält, die man braucht, um eine Transaktion durchzuführen.

Für das russische Cracking-Tool kein Problem: Der Trojaner injiziert innerhalb des Browers quasi Schadcode in die aufgerufene Webseite, in diesem Fall ermöglicht durch eine Sicherheitslücke des Internet Explorer. "Aber für Firefox gibt es Vergleichbares auch", sagt Kollberg.

TAN weg heißt Geld weg

Was danach geschieht, wird für den Geschädigten unter Umständen teuer: Nach Eingabe einer TAN-Nummer erscheint eine Fehlermeldung, die Transaktion habe nicht durchgeführt werden können. Die TAN - in Wahrheit abgespeichert und für die spätere Lieferung an den Tool-Kontrolleur bereit gemacht - scheint dann verfallen. Mit einer anderen TAN gelingt die Transaktion - der Besitzer des Kontos nimmt den Vorgang als kurzzeitige Störung wahr, mehr nicht.

Das ist noch nicht einmal eine neue Methode. Auf genau diese Art und Weise konnten Cracker schon seit einem halben Jahrzehnt jede Passwort-, PIN- oder TAN-Eingabe abschöpfen - zum Beispiel mittels des sogenannten ARP-Spoofings, bei dem der Rechner des Crackers einfach den gesamten Netzwerkverkehr über seinen Rechner routet. Das allerdings funktionierte nur innerhalb geschlossener Netzwerke: Der Feind musste also innerhalb der eigenen Firma sitzen. Moderne Trojaner-Tools bekommen Vergleichbares auch im offenen Internet hin.

Virenexperte Dirk Kollberg über organisierte Cracker: "Das ist ein gefährliches Milieu. Kontakt würde ich da besser nicht suchen"

Virenexperte Dirk Kollberg über organisierte Cracker: "Das ist ein gefährliches Milieu. Kontakt würde ich da besser nicht suchen"

Die Schnüffelfunktionen sind noch nicht einmal auf Tastatur-Protokolle beschränkt. Auch die immer beliebtere und auch von den genannten Banken angebotene Maus-Eingabe von Zahlencodes per Anklicken eines Nummernfeldes bietet keinen Schutz: Das Tool macht einfach Screenshots.

Kollberg wird seine Recherche am heutigen Abend in seinem Blog öffentlich machen. Die Werbe-Präsentation der Cracker und alle anderen relevanten Angaben sind längst an die Polizeibehörden weitergegeben, sie lagen auch SPIEGEL ONLINE zur Prüfung vor. Und natürlich sind auch die betroffenen Banken im Bilde: Die von den Russen hier angebotene Trojaner-Lösung war spätestens seit März letzten Jahres auf dem illegalen Markt und funktioniert bei den genannten Banken seit Oktober 2006 nicht mehr (siehe Kasten). Andere Banken und Sparkassen sind nach wie vor betroffen.

Der Öffentlichkeit enthalten wir die Originalquellen vor, denn sie kommen einer funktionierenden Gebrauchsanweisung zum Ausräumen fremder Konten gleich. Dass die in der Cracker-Präsentation gezeigten Namen und Daten von Kontoinhabern (Opfer wie Nutznießer) dabei augenscheinlich auch noch echt sind - sie sind ohne Probleme über das Telefonbuch zu finden - ist nur ein weiterer Grund.

Nach Gründen fragten wir auch Dirk Kollberg noch einmal. Wenn solche Cracking-Tools wirklich funktionieren, man also einfach die Konten anderer Leute ausräumen kann, warum tun dies die Cracker dann nicht selbst?

"Das ist nicht deren Geschäftsmodell", antwortet Kollberg. Und erklärt es auf die denkbar einfachste Weise: Es gebe Menschen, die Waffen verkaufen und damit viel Geld verdienen, und solche, die damit Banken überfallen."

So einfach ist das.

Mehr zum Thema


© SPIEGEL ONLINE 2007
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.