Roland
Neue Gefahr beim Online-Banking: Ein fieser Trojaner treibt Kunden von über 100 Banken in das Netz von Online-Kriminellen.
Trojaner wirft Phishing-Netz aus
Online-Kriminelle denken sich immer raffiniertere Methoden aus, um an geheime Bankdaten zu kommen. Ein neuer Trojaner droht nun Nutzern von Online-Banking persönliche Daten zu entreißen. Das Sicherheitsunternehmen Websense Security Labs warnt vor einem Schädling, der Kunden von über 100 Banken gleichzeitig ins Netz der Phisher treibt. Welche Banken konkret davon betroffen sind, gibt das Unternehmen jedoch nicht an.
Kunde bemerkt nichts
Das Trojanische Pferd "MetaFisher" manipuliert eine Windows-Systemdatei, auf die Web-Browser regelmäßig zugreifen. Dort trägt es mehr als 100 Web-Adressen bekannter europäischer und amerikanischer Banken ein und verknüpft sie mit Internet-Adressen von Phishing-Webseiten. Wer mit seinem Browser versucht, die Adresse einer dieser Banken aufzurufen, wird auf eine nachgebaute Seite der Hacker umgeleitet. Werden nun Daten wie PIN- und TAN-Nummern eingegeben, landen diese bei den Kriminellen. In der Adress-Zeile des Browsers erscheint jedoch die korrekte Web-Adresse der Bank. Der Kunde bemerkt also nichts von dem Täuschungsmanöver. Besonders fies: Auf vielen PC-Systemen kann sich der Trojaner völlig unbemerkt vom Anwender einschleichen.
Trojaner nutzt verseuchte Webseiten
Von Nutzen sind PIN- und TAN-Daten den Kriminellen allerdings nur, wenn sie nicht "verbraucht" werden. Misstrauisch sollten Online-Banking-Kunden daher immer dann werden, wenn während einer Banking-Sitzung die Eingabe mehrerer TAN-Nummern in Folge nicht zu einer Transaktion führt, sondern zu einer Fehlermeldung. Diese Methode wird für viele Hacks genutzt, bei denen Passwörter und Zugangscodes abgefischt werden.
Verbreitung über WMF-Lücke
Der Trojaner verbreitet sich vorwiegend über präparierte Webseiten unter Ausnutzung der bekannten Windows-Metafile-(WMF-)Sicherheitslücke. Das bedeutet: Wer das Sicherheitsupdate von Microsoft noch nicht installiert hat, riskiert durch den bloßen Besuch einer solchen Webseite, sich den Trojaner einzufangen. Im Allgemeinen kommen solche Schädlinge auch per eMail auf den PC – oft als vermeintlich lustiges Bild oder amüsante Powerpoint-Präsentation getarnt – und über Tauschbörsen. Daher sollte jeder Surfer dafür Sorge tragen, sein Anti-Viren-Programm jederzeit auf dem neusten Stand zu halten. Auch ohne Virenscanner lässt sich mit einem einfachen Test herausfinden, ob der PC mit diesem Trojaner infiziert ist.
hosts-Datei überprüfen
Der Trojaner macht sich an der Datei "hosts" zu schaffen. Diese Textdatei befindet sich im Verzeichnis "drivers\etc" im System-Verzeichnis von Windows, also etwa in "C:\Windows\System32\drivers\etc". Nach der Installation von Windows enthält sie lediglich einige mit "#" beginnende Kommentarzeilen sowie einen Eintrag "127.0.0.1 localhost". Wenn die hosts-Datei auf einem Rechner so aussieht, ist das in Ordnung. Sind jedoch weitere Einträge vorhanden, die der Anwender nicht selbst vorgenommen hat, kann dies ein Zeichen für eine Manipulation durch einen Schädling sein.
Phishing-Netz aktualisiert sich
Der Trojaner enthält nicht, wie frühere Vertreter dieser Spezies, eine feste Liste von Web-Adressen sondern holt sich über das Internet aktuelle Informationen. Wird eine Phishing-Seite von Netz genommen, können die Kriminellen die Umleitung mit Hilfe von "MetaFisher" auf eine neue Adresse lenken. Auf diese Weise umgehen die Täter das Problem, dass Phishing-Server meist recht schnell dicht gemacht werden und nicht mehr zur Verfügung stehen.
Quelle
Trojaner wirft Phishing-Netz aus
Online-Kriminelle denken sich immer raffiniertere Methoden aus, um an geheime Bankdaten zu kommen. Ein neuer Trojaner droht nun Nutzern von Online-Banking persönliche Daten zu entreißen. Das Sicherheitsunternehmen Websense Security Labs warnt vor einem Schädling, der Kunden von über 100 Banken gleichzeitig ins Netz der Phisher treibt. Welche Banken konkret davon betroffen sind, gibt das Unternehmen jedoch nicht an.
Kunde bemerkt nichts
Das Trojanische Pferd "MetaFisher" manipuliert eine Windows-Systemdatei, auf die Web-Browser regelmäßig zugreifen. Dort trägt es mehr als 100 Web-Adressen bekannter europäischer und amerikanischer Banken ein und verknüpft sie mit Internet-Adressen von Phishing-Webseiten. Wer mit seinem Browser versucht, die Adresse einer dieser Banken aufzurufen, wird auf eine nachgebaute Seite der Hacker umgeleitet. Werden nun Daten wie PIN- und TAN-Nummern eingegeben, landen diese bei den Kriminellen. In der Adress-Zeile des Browsers erscheint jedoch die korrekte Web-Adresse der Bank. Der Kunde bemerkt also nichts von dem Täuschungsmanöver. Besonders fies: Auf vielen PC-Systemen kann sich der Trojaner völlig unbemerkt vom Anwender einschleichen.
Trojaner nutzt verseuchte Webseiten
Von Nutzen sind PIN- und TAN-Daten den Kriminellen allerdings nur, wenn sie nicht "verbraucht" werden. Misstrauisch sollten Online-Banking-Kunden daher immer dann werden, wenn während einer Banking-Sitzung die Eingabe mehrerer TAN-Nummern in Folge nicht zu einer Transaktion führt, sondern zu einer Fehlermeldung. Diese Methode wird für viele Hacks genutzt, bei denen Passwörter und Zugangscodes abgefischt werden.
Verbreitung über WMF-Lücke
Der Trojaner verbreitet sich vorwiegend über präparierte Webseiten unter Ausnutzung der bekannten Windows-Metafile-(WMF-)Sicherheitslücke. Das bedeutet: Wer das Sicherheitsupdate von Microsoft noch nicht installiert hat, riskiert durch den bloßen Besuch einer solchen Webseite, sich den Trojaner einzufangen. Im Allgemeinen kommen solche Schädlinge auch per eMail auf den PC – oft als vermeintlich lustiges Bild oder amüsante Powerpoint-Präsentation getarnt – und über Tauschbörsen. Daher sollte jeder Surfer dafür Sorge tragen, sein Anti-Viren-Programm jederzeit auf dem neusten Stand zu halten. Auch ohne Virenscanner lässt sich mit einem einfachen Test herausfinden, ob der PC mit diesem Trojaner infiziert ist.
hosts-Datei überprüfen
Der Trojaner macht sich an der Datei "hosts" zu schaffen. Diese Textdatei befindet sich im Verzeichnis "drivers\etc" im System-Verzeichnis von Windows, also etwa in "C:\Windows\System32\drivers\etc". Nach der Installation von Windows enthält sie lediglich einige mit "#" beginnende Kommentarzeilen sowie einen Eintrag "127.0.0.1 localhost". Wenn die hosts-Datei auf einem Rechner so aussieht, ist das in Ordnung. Sind jedoch weitere Einträge vorhanden, die der Anwender nicht selbst vorgenommen hat, kann dies ein Zeichen für eine Manipulation durch einen Schädling sein.
Phishing-Netz aktualisiert sich
Der Trojaner enthält nicht, wie frühere Vertreter dieser Spezies, eine feste Liste von Web-Adressen sondern holt sich über das Internet aktuelle Informationen. Wird eine Phishing-Seite von Netz genommen, können die Kriminellen die Umleitung mit Hilfe von "MetaFisher" auf eine neue Adresse lenken. Auf diese Weise umgehen die Täter das Problem, dass Phishing-Server meist recht schnell dicht gemacht werden und nicht mehr zur Verfügung stehen.
Quelle