Alles über Banking-Trojaner

Statt beispielsweise wie vom Nutzer beabsichtigt 100 Euro an Person A zu überweisen, erfolgt in Wirklichkeit eine verdeckte Zahlung von 1000 Euro an Person B. 

Diese Methode bezeichnet man als Man-in-the-Middle-Angriff: Der Banking-Trojaner sitzt in der Mitte der Kommunikation, fängt die übertragenen Daten ab und verändert sie. Der Anwender bekommt dabei nur das zu sehen, was er sehen soll. Das Prinzip wird in unten stehender Grafik ausführlicher erläutert. Viele Banking-Verfahren, beispielsweise iTAN, sind nicht sicher gegen diese Angriffe.

Der Artikel zeigt, wie Sie Banking-Trojaner erkennen und entfernen. Außerdem erfahren Sie, welche Verfahren sicher und welche unsicher sind.

Banking-Trojaner sind die Königsklasse der Trojaner, weil sie ihren Urhebern direkten Zugriff auf fremde Konten ermöglichen. In den folgenden Abschnitten lesen Sie, wie drei besonders gefährliche und weit verbreitete Banking-Trojaner funktionieren.

Sinowal ist ein bereits seit mehreren Jahren verbreiteter Banking-Trojaner. Er hat nach Erkenntnissen der Sicherheitsexperten von RSA Security und Kaspersky schon einige Hunderttausend Zugangsdaten zu Online-Konten geklaut. Der Schädling erkennt und manipuliert mehrere Hundert Webseiten aus dem Finanzsektor. Das funktioniert so: Der Anwender ruft die Webseite seiner Bank auf, um sich dort einzuloggen. Sinowal pflanzt dabei eigenen Code in die Seite ein und klaut so Anmeldedaten oder andere persönliche Informationen. Anschließend sendet er sie über das Internet an seine Urheber.

Um auf dem PC nicht aufzufallen, verwendet Sinowal unter anderem Rootkit-Techniken. So macht er sich im Windows-Explorer und im Task-Manager komplett unsichtbar. Außerdem schreibt er sich in den MBR (Master Boot Record) der Festplatte, um sich vor dem Zugriff durch Antivirenprogramme zu schützen.

Anfang 2009 gelang es amerikanischen Forschern, das Sinowal-Netz für zehn Tage zu unterwandern. In dieser Zeit klaute der Schädling 8310 Kontodaten von 410 verschiedenen Finanz­instituten. Betroffen waren neben Paypal-Nutzern vor allem Kunden von ­Poste Italiane, Capital One und E-Trade. Dazu kamen mehrere Hunderttausend Zugangsdaten zu Webdiensten wie Gmail, Facebook und Myspace sowie zu Mail- und FTP-Konten.

Banker.ohq klaut nicht nur die Anmeldedaten des Banking-Nutzers, sondern manipuliert gleich die gesamte Transaktion: Der Banking-Trojaner tauscht die Originalseite gegen eine Kopie aus, auf welcher der Surfer seine Überweisung durchführt. Parallel dazu loggt sich der Schädling unsichtbar auf der Originalseite ein und verwendet die eingegebenen Daten, um eine eigene Überweisung durchzuführen. 

Die folgenden TAN-Verfahren schützen nicht gegen diese Man-in-the-Middle-Angriffe: TAN, iTAN, eTAN und Smart TAN. Das Problem bei diesen Verfahren ist, dass dabei die angeforderte TAN nicht direkt mit der Transaktion verbunden ist. Selbst wenn die Bank gezielt eine bestimmte TAN anfordert, kann der Trojaner damit jedoch auch eine völlig andere Überweisung authentifizieren. 

Nur mTAN, HBCI, Secoder oder Flickercode sind sicher gegen Trojaner, weil hier jede TAN nur eine ganz bestimmte Transaktion freigibt. Ändert der Trojaner heimlich den Betrag oder den Empfänger, ist die TAN nicht mehr gültig.

Der Banking-Trojaner Urlzone verwendet einen neuen Trick, um nicht aufzufallen: Er klaut nicht nur Zugangsdaten und macht Screenshots von Überweisungen, sondern er manipuliert auch die Anzeige des Kontostands im Browser. Damit verhindert der Schädling, dass ein aufmerksam gewordener Banking-Nutzer ihm auf die Schliche kommt. 

Einzig ein Besuch bei der Bank vor Ort oder ein Kontoauszugsdrucker bringen den echten Kontostand zutage. Als zusätzliche Vorsichtsmaßnahme klaut Urlzone nur niedrige Beträge und achtet darauf, dass das Konto nicht ins Minus gerät. 

Aufgefallen ist der neue Banking-Trojaner zuerst in Deutschland. Der Sicherheitsanbieter Finjan hat berichtet, dass deutschen Kunden in nur 22 Tagen fast 300.000 Euro durch Urlzone geklaut wurden. Vermutlich ist dies jedoch nur die Spitze des Eisbergs.

Banking-Trojaner verhalten sich extrem unauffällig, um möglichst lange im Verborgenen ihr schmutziges Handwerk zu verfolgen. Man kann sich deswegen nie hundertprozentig sicher sein, dass der eigene Rechner nicht doch verseucht ist. Kostenlose Spezial-Tools wie Anti-Malware 1.41 und Antivir Rescue-System 3.6.9 helfen bei der Suche nach Banking-Trojanern und entfernen diese auch gleich.

Anti-Malware 1.41 ist ein mächtiges Reinigungs-Tool, das viele Trojaner erkennt und zuverlässig entfernt. Die Freeware-Version sucht und löscht Schädlinge und hat keine Einschränkungen in den Kernfunktionen. Die Kaufversion für 18 Euro bietet zusätzlich einen Hintergrundschutz sowie die Möglichkeit, Zeitpläne für Aktualisierungen und für Suchvorgänge einzurichten.

So geht’s: Starten Sie das Setup und klicken Sie auf „OK“ sowie auf „Weiter“. Wählen Sie dann „Ich akzeptiere die Vereinbarung“ und bestätigen Sie danach fünf Mal mit „Weiter“ sowie zuletzt mit „Installieren“. Ein Klick auf „Fertigstellen“ startet anschließend das Schutzprogramm und aktualisiert auch gleich die Signaturen. Bestätigen Sie das kleine Infofenster mit „OK“, das die erfolgreiche Aktualisierung meldet. Das Tool ist nun einsatzbereit.

Markieren Sie auf dem Reiter „Scanner“ die Option „Vollständigen Suchlauf durchführen“ und klicken Sie auf „Scan“. Es öffnet sich ein kleines Fens­ter, in dem Sie vor jedes zu prüfende Laufwerk ein Häkchen setzen. Mit „Scan starten“ beginnen Sie mit der Suche nach Banking-Trojanern auf Ihrem Computer.

Bestätigen Sie das Ende des Suchlaufs mit „OK“ und klicken Sie danach auf „Ergebnisse anzeigen“. Schließen Sie jedoch zuerst alle geöffneten Anwendungen, bevor Sie mit „Entferne Auswahl“ die gefundenen Schädlinge in Quarantäne verschieben. Es kommt sonst möglicherweise zu Problemen bei der Desinfektion Ihres PCs. 

Anti-Malware öffnet nach der Bereinigung automatisch ein Fenster mit einem Protokoll, welche Schädlinge gefunden und entfernt wurden. Sie finden diese Protokolldatei im TXT-Format auch im ­Unterordner „Logs“ un­terhalb des Installationsverzeichnisses von Anti-Malware.

Eventuell öffnet Anti-Malware außerdem ein Hinweisfenster mit mehreren Einträgen, die erst mit einem Neustart des Computers entfernt werden können. Klicken Sie in diesem Fall auf „Ja“, um den PC neu zu starten und die Bereinigung abzuschließen. 

Viele Banking-Trojaner verstecken sich mit denselben Tricks wie Rootkits. Ein Rootkit manipuliert wichtige Systemtreiber und den Windows-Kernel, um sich so vor Virenscannern und im Windows-Explorer unsichtbar zu machen. Anti-Rootkit 1.5 von Sophos erkennt und entfernt auch unbekannte Rootkits. 

So geht’s: Installieren Sie das Tool und klicken Sie auf „Ja“, um das Programm direkt anschließend zu starten. Mit „Start scan“ beginnen Sie mit der Suche nach aktivierten Rootkits auf Ihrem PC. Das Sicherheits-Tool prüft die laufenden Prozesse und sucht in der Windows-Registry nach Hinweisen auf die heimlichen Schädlinge. Setzen Sie anschließend je ein Häkchen vor jeden gefundenen Eintrag, den Sie entfernen wollen. 

Manche Einträge wie laufende Prozesse lassen sich jedoch nicht bereinigen. Diese müssen Sie zuerst über den Task-Manager beenden und die Dateien dann im Windows-Explorer löschen. Mit „Clean up checked items“ entfernen Sie gefundene Rootkits.

Prüfen Sie Ihren PC zusätzlich mit dem Rescue System 3.6.9 von Avira. Dabei handelt es sich um eine bootfähige CD, die Ihren PC mit Antivir von Avira prüft, ohne dass Windows läuft. Das hat den Vorteil, dass sich ein Banking-Trojaner nicht aktivieren und verstecken kann.

So geht’s: Klicken Sie doppelt auf die EXE-Datei des Rescue-Systems. Es öffnet sich ein integriertes Brennprogramm, mit dem Sie eine CD-ROM brennen. Legen Sie dazu einen CD-Rohling ein und klicken Sie auf „Brenne CD“. 

Wenn Sie die CD lieber mit Ihrem Standard-Brennprogramm erstellen wollen, klicken Sie auf „Beenden“ und bestätigen Sie die folgende Frage mit „Ja“. Danach geben Sie den Speicherort sowie einen Namen für die ISO-Datei an und brennen die CD.

Legen Sie danach die frisch gebrannte CD in Ihr CD-ROM-Laufwerk ein und starten Sie Ihren PC neu. Eventuell müssen Sie noch die Boot-Reihenfolge im BIOS ändern, wenn Ihr Computer nicht von der eingelegten CD startet. 

Drücken Sie die Eingabetaste, sobald das Boot-Fenster des Rescue-Systems erscheint. Danach startet das Live-System. Bevor Sie anschließend Ihren PC checken, sollten Sie zuerst noch den enthaltenen Virenscanner und die verwendeten Signaturen aktualisieren. Klicken Sie dazu auf „Update“ und bestätigen Sie danach mit „Ja“. Sofern eine Online-Verbindung besteht, aktualisiert das Rescue-System sich nun über das Internet. Wenn Sie einen DSL-Router mit integriertem DHCP-Server verwenden, klappt die Internetverbindung automatisch. Ansonsten müssen Sie sich jeweils ein neues Rescue-System herunterladen und auf CD brennen, um den Check immer mit einem aktuellen System durchzuführen.

Klicken Sie nun auf „Scanner starten“, um mit der Überprüfung des Computers zu beginnen. Rechts unten sehen Sie eine Übersicht der entdeckten Schädlinge. In der Standardeinstellung protokolliert das Rescue-System gefundene Schädlinge nur und löscht sie nicht. Klicken Sie auf „Konfiguration“ und wählen Sie „Versuchen, infizierte Dateien zu reparieren“ aus, um Schädlinge zu entfernen und gleichzeitig Datenverlust zu vermeiden. Setzen Sie zudem noch das Häkchen vor „Dateien umbenennen, wenn sie nicht repariert werden können?“. 

Wenn Sie „Infizierte Dateien löschen“ auswählen, werden wichtige Dateien eventuell unwiederbringlich gelöscht. Diese Option sollten Sie deshalb nur in Ausnahmefällen nutzen.

Nur ein Teil der aktuell von den Banken angebotenen Verfahren ist sicher gegen Banking-Trojaner. Beim herkömmlichen TAN-Verfahren beispielsweise fängt ein heimlich auf dem PC vorhandener Schädling problemlos jede TAN ab und verwendet sie für eigene Überweisungen. 

Keinen Schutz gegen Banking-Trojaner bieten die teilweise weit verbreiteten Verfahren TAN, iTAN, eTAN sowie Smart TAN. 

Bei all diesen Verfahren sind die TANs unabhängig von der Transaktion einsetzbar. Ein Banking-Trojaner kann also die eingegebene Nummer dazu verwenden, eine ganz andere als die angezeigte Transaktion auszuführen. Dabei ist es nicht relevant, ob der Kunde die Transak­tionsnummer von einer fixen Liste abliest oder ob er sie mit einem Generator wie beim Smart-TAN-Verfahren erstellt. Auch bei diesem technisch aufwendigeren Verfahren werden die TANs in einer vorgegebenen Reihenfolge erstellt und sind nicht abhängig von der aktuellen Transaktion. 

Diese Verfahren sind sicher gegen Banking-Trojaner: mTAN, Smart TAN plus, Flickercode, HBCI und Se­coder.

mTAN: Beim mTAN-Verfahren — das „m“ steht für „mobil“ — erhält der Bankkunde keine TAN-Liste mehr von seiner Bank. Stattdessen sendet ihm das Finanzinstitut für jede Transaktion eine TAN per SMS auf sein Handy. Die per Mobilfunk übermittelte TAN muss der Kunde dann im Browser eingeben, um die aktuelle Transaktion freizugeben.

Weil die TAN nur für diese eine Transaktion gültig ist, hat ein Banking-Trojaner keine Chance, die Überweisung zu manipulieren. Vergewissern Sie sich allerdings zuerst bei Ihrer Bank, ob diese tatsächlich auch eine nur für eine bestimmte Transaktion gültige TAN erstellt oder ob das Bankhaus wiederum nur mit einer Liste arbeitet, die statt bei Ihnen zu Hause im Rechenzentrum der Bank verwaltet wird. Im letzteren Fall bietet das Verfahren keinen Vorteil gegenüber einem klassischen TAN-Verfahren.

Smart TAN plus: Smart TAN plus beziehungsweise ChipTAN ist ein Zweischrittverfahren, das keine Manipula­tion einer Überweisung durch einen Banking-Trojaner mehr zulässt. 

Um es zu nutzen, benötigt der Anwender einen speziellen TAN-Generator, in den er seine Kontokarte einsteckt. Danach füllt er das Überweisungsformular im Browser aus. Daraus errechnet die Bank einen Zifferncode, den der Kunde in seinen TAN-Generator zusammen mit den ersten sechs Ziffern der Kontonummer des Zielkontos eingibt. Das Gerät zeigt nun eine TAN an, die nur für diese eine Überweisung gilt und im Browser eingegeben werden muss, um die Transaktion freizugeben. 

Flickercode: Der Flicker­code ist eine Weiterentwicklung des Smart-TAN-plus-Verfahrens. Statt des Zifferncodes generiert die Bank hier eine animierte Grafik, die sie im Browser anzeigt. 

Der Anwender benötigt einen speziellen TAN-Generator, den er vor den Bildschirm hält. Auf der Rückseite des Geräts befindet sich ein Rezeptor, der das Flackern (englisch: to flicker)

der Animation entschlüsselt. Die übermittelten Informationen zeigt das Gerät dann zur Kontrolle im Display an. Anschließend erstellt es eine an die Transaktion gebundene TAN, die der Bankkunde im Browser eingibt.

HBCI und Secoder: Home Banking Computer Interface (HBCI) beziehungsweise FinTS (Financial Transaction Services) funktioniert ohne TANs. Stattdessen signiert der Kunde eine Transaktion mit der Eingabe seiner PIN und mit einem geheimen Schlüssel, der auf seiner Karte hinterlegt ist. Diese Signatur gilt ausschließlich für diese eine Überweisung. Weil sie in der Karte erstellt wird, 

kann sie auch nicht klammheimlich von einem Banking-Trojaner ausgelesen werden. 

Das Verfahren wird häufig zusammen mit Homebanking-Software eingesetzt. Problematisch ist, wenn die PIN mit der Tastatur des PCs eingegeben wird, da sie dort wiederum von ­einem Trojaner erlauscht werden kann. Eine Weiterentwicklung von HBCI ist das Secoder-Verfahren, bei dem der Kartenleser zusätzlich mit einem Display ausgestattet ist.