Hacker attackieren deutsche Banken

Angreifer nutzen erstmals die BHO-Technik des Internet Explorers, um einen Trojaner zu installieren. Die Banking-Sites deutscher Banken sind wehrlos.

Die Angriffe von Phishern haben eine neue Dimension erreicht. Phisher sind Hacker, die vertrauliche Daten der Anwender stehlen. Bei ihrer Attacke mit ‘Bankhood.A‘ haben die Datendiebe erstmals einen Trojaner als ein ‘Browser Helper Object’ (BHO) getarnt. Das teilten die Sicherheitsexperten vom ‘Sans Institute’ mit.
“Dieser als BHO getarnte Trojaner ist ein großes Risiko für das Online Banking”, warnte Kevin Liston vom Sans Institute. Die Gefahr sei deshalb so groß, weil BHO eine offizielle Microsoft-Technik sei. Die Anti-Viren-Software vieler Hersteller erkenne daher die Attacke nicht.

Nach Angaben des Security-Hüters sind weltweit 50 Online-Banking-Sites bedroht. Darunter sind auch deutsche Seiten: deutsche-bank.de, citibank.de, dit-online.de und dab-bank.com. Das Sans Institute hat eine Liste aller gefährdeten Sites online gestellt.

Ein BHO ist eine dll-Datei. Wenn der Internet Explorer (IE) startet, liest er die Windows-Registry nach den BHOs aus und lädt sie in seinen Arbeitsspeicher. Die BHOs registrieren jede aufgerufene Website. Mircrosoft hatte BHO mit dem Internet Explorer-Version 4.x auf den Markt gebracht, damit Entwickler den Browser modifizieren und kontrollieren können.

Ende Juni hatten Phisher den Trojaner Bankhood.A als BHO getarnt und mit einem groß angelegten Einbruch in Webservern hinterlegt. Durch zwei Lücken im IE gelangte die Malware auf die Rechner der ahnungslosen Opfer. Microsoft hat für eine IE-Schwachstelle im April einen Patch veröffentlicht, das andere Loch wurde am 02. Juli geflickt.

Bankhood.A wartet nach Angaben des Sans Institute darauf, das der IE-Nutzer bestimmte URLs aufruft. Der Trojaner zeichnet die Tastatureingaben auf, noch bevor diese per SSL (Secure Socket Layer) verschlüsselt werden. Dann schickt er die Daten an den Autor der Malware.

Nach der BHO-Spyware und den BHO-Hijackern (Programmen, die nur den Aufruf von Werbe-Sites erlauben) könne man die Liste der BHO-Malware jetzt um die BHO-Trojaner erweitern, hieß es beim Internet-Dienstleister Netcraft. Bereits früher hatte BHO-Spyware wie das Programm ‘Hotbar’ die Nerven der Anwender strapaziert. Diese Malware war der Peer-to-Peer-Software ‘Imesh’ beigepackt und installierte im IE zusätzliche Schaltflächen.

Die Sicherheitsexperten warnen jetzt davor, BHOs grundsätzlich zu verteufeln. “Das Problem sind nicht die BHOs, sondern die Tatsache, das man BHOs ohne Wissen des Nutzers herunterladen und installieren kann”, meinte Johannes Ullrich vom Sans Institute. Die BHO-Technik werde zwar nur im IE verwendet. Browser wie Mozilla verfügten jedoch über ähnliche Erweiterungen, über die Software von anderen Herstellern eingefügt werden könne. “Wir haben aber nur den Internet Explorer untersucht”, hieß es beim Sans Institue.

Viren-Scanner könnten bestimmte BHOs nur erkennen, wenn sie über spezielle Signaturen verfügten. Viele BHOs zielten allerdings auf einen kleinen Nutzerkreis, so dass die Hersteller von Anti-Viren-Software für diese keine Signaturen schrieben, hieß es.

Eine bessere Idee sei es daher, die BHOs von Zeit zu Zeit mit dem kostenlosen Programm ‘BHODemon 2.0‘ zu kontrollieren. Das Windows XP Service Pack 2 enthalte ebenfalls ein Tool, um die BHOs zu prüfen. Microsoft will dieses Upgrade noch in diesem Jahr auf den Markt bringen.

Aus den USA und Großbritannien kommen derweil immer mehr Berichte über immer raffiniertere Phishing-Attacken. Das Marktforschungsunternehmen Gartner hat den durch Phishing in den vergangenen zwölf Monaten entstandenen Schaden auf 1,2 Milliarden Dollar beziffert .

Die jüngste Attacke zeigt: Jetzt geraten auch die Deutschen in das Visier der Phisher. Fünfzehn Millionen Deutsche erledigen nach Angaben des Bundesverbandes deutscher Banken ihre Geldgeschäfte online. Eine verlockende Beute.