Sicherheit beim Online-Banking

URLzone räumt Konten ab

Money Mules – die unwissenden Geldwäscher

Wird Geld von einem Konto auf ein anderes überwiesen, entstehen Einträge bei den Banken, über die Transaktionen zurückverfolgt und unter Umständen storniert werden können. Wie also tricksen die Betreiber des URLzone-Botnets diese Sicherheitsmaßnahmen aus? Dabei helfen ihnen sogenannte Money Mules, auf Deutsch etwa Finanzagenten.

Lockangebot: Mit solchen Mails suchen die Kriminellen nach unwissenden Geldwäschern. (Quelle: Sunbelt)
Lockangebot: Mit solchen Mails suchen die Kriminellen nach unwissenden Geldwäschern. (Quelle: Sunbelt)

Rekrutiert werden diese unwissenden Geldwäscher oft per E-Mail. Dabei landen Angebote in den Postfächern, die eine einfache Arbeit versprechen. Man muss lediglich ein neues Konto eröffnen und erhält dann Einzahlungen, die man abzüglich einer satten Provision auf ein anderes Konto weiterleitet. Oder man erhält Einzahlungen, die man anschließend per Bargeldtransfer, etwa über Western Union, weiterschickt. Die einzelnen Agenten werden nur eine begrenzte Zeit genutzt. Die meisten Kriminellen verfügen über ein großes Netz an Money Mules, zwischen denen sie das Geld immer wieder hin- und herschicken.

Banken und Strafverfolgungsbehörden bleiben in aller Regel an den Agenten hängen, die nur kleine Beträge verwalten und zurückbehalten. Spätestens wenn eine Überweisung die Landesgrenzen überschreitet, wird die Verfolgung kompliziert.

Gefälschte Konten: Mit diesem Code spiegelt URLzone falsche Drop-Konten vor. (Quelle: RSA)
Gefälschte Konten: Mit diesem Code spiegelt URLzone falsche Drop-Konten vor. (Quelle: RSA)

Laut einer Analyse von RSA ging die Cyber-Gang hinter URLzone noch einen Schritt weiter. Um zu verhindern, dass die Forscher die echten Accounts der Finanzagenten aus dem Code der Software auslesen können, haben die Entwickler Gegenmaßnahmen in die Malware integriert. So prüft die Software beispielsweise, ob der Rechner, der eine Transaktion anfordert, überhaupt Teil des Botnets ist. Fällt er bei dieser Verifikation durch, gibt die Malware gefälschte Kontodaten zurück, die nichts mit dem eigentlichen Netzwerk der Finanzagenten zu tun haben. Damit wollen die Kriminellen verhindern, dass Forscher und Fahnder den echten Money Mules auf die Schliche kommen.

Der Code und die Inhalte für die jeweiligen Anzeigen kommen nicht vom Client, sondern werden direkt vom C&C-Server geliefert. Dieser erstellt nicht etwa zufällige Daten, sondern nutzt die Informationen von bereits bestohlenen Nutzern. Im Klartext: Nicht nur wird einem Opfer das Geld gestohlen, im schlimmsten Fall gerät es auch noch in die Mühlen der Strafverfolgung und muss dann beweisen, dass es keine Transaktionen als Finanzagent durchgeführt hat.