Der zugrundeliegende Trojaner ist laut Mitteilung des Bundesamts für Sicherheit in der Informationstechnik (BSI) bereits seit mehreren Jahren aktiv. Die neue Variante habe es zurzeit gezielt auf TANs von Online-Banking-Nutzern und Kreditkartendaten abgesehen. Die Infektion des PCs erfolge meist durch ein so genanntes Drive-by-Exploit, also den Besuch einer mit Schadcode infizierten Webseite, so das BSI weiter.
Wenn der Computer eines Nutzers mit dieser neuen Variante der Schadsoftware infiziert ist und dieser die Anmelde-Webseite seines Kreditkarten- oder Bankportals öffnet, sorgt die Schadsoftware dafür, dass zwar die korrekte Webseite aufgerufen, dort aber manipulierte Inhalte angezeigt werden.
Unter Vorspielung falscher Tatsachen wird der Nutzer so dazu gebracht, bestimmte Daten preiszugeben. Die angebliche Begründung sieht zum Beispiel im Fall der Kredikartendaten wie folgt aus (wer des Deutschen halbwegs mächtig ist, sollte bereits erkennen, das hier etwas nicht stimmen kann):
"Die XY Portal passt sich den hohen Kundenansprüchen an. Wir bleiben immer auf dem neusten Stand mit Sicherheitsvorschriften um unseren Kunden mehr Sicherheiten zu bieten. Unser Sicherheitsabteilung erfand ein neues Sicherheitssystem, die Angriffe von Dritten verhindert um Betrugsfälle. Diese Sicherheitssystem muss von allen Online- Banking-Kunden genutzt werden.
Wir empfehlen Ihre Daten zu Angleichung anzugeben. Sollte die Anmeldung in 48 Stunden nicht erfolgen, so wird Ihre Karte vorübergehend gesperrt, bis zu Ende der Anmeldevorgang."
Dadurch sollen die Nutzer dazu gebracht werden, insbesondere Daten zur Kreditkartennummer, zum Inhaber der Kreditkarte, zum Gültigkeitsdatum, zur Prüfnummer und zum Geburtsdatum des Karteninhabers in die entsprechend erscheinende Maske einzugeben.
In anderen Fällen manipuliert die Schadsoftware laut BSI Online-Banking-Seiten und fordert dort unter anderem zur Eingabe von 20 TANs auf. Die auf dem Computer installierte Schadsoftware leitet diese Informationen an die Täter weiter, die die Daten entweder selbst einsetzen oder weiterverkaufen können.
Das Bundeskriminalamt und das BSI geben deswegen folgende Ratschläge:
-
Sollten Sie beim Aufrufen Ihres Kreditkarten- oder Bank-Portals die oben dargestellte oder eine ähnliche Aufforderung zur Eingabe Ihrer Daten erhalten, geben Sie diese keinesfalls ein. Ihr Rechner ist dann mit hoher Wahrscheinlichkeit mit einer Schadsoftware infiziert. Nehmen Sie im Zweifelsfall zur Klärung Kontakt zu Ihrem Bank- beziehungsweise Kreditkarteninstitut auf.
-
Um einer Infektion mit der Schadsoftware vorzubeugen beziehungsweise eine bereits erfolgte Infektion des Rechners zu beseitigen, sollten Nutzer ein aktuelles Virenschutzprogramm einsetzen. Sie sollten darüber hinaus darauf achten, dass Sie regelmäßig die Sicherheitsupdates für Ihr Betriebssystem und für weitere verwendete Software installieren sowie eine Personal Firewall einsetzen. Vorsichtig sollten Nutzer auch bei Links oder Dateianhängen in E-Mails sein: Dahinter können sich Schadprogramme oder infizierte oder gefälschte Webseiten verbergen.
(Computerwoche.de/hal)