SpyEye wird als Online Banking Trojaner bezeichnet, aber ist er das tatsächlich?


Die als Banking-Trojaner bekannte Software gibt Sicherheitsexperten erneut Rätsel auf. Das neueste Feature der Software ist das Einklinken des Trojaners in die Webcam und das Mikrofon des befallenen Gerätes. Sind das tatsächlich Fähigkeiten die ein Online-Bankräuber braucht, oder steckt da mehr hinter als viele meinen?

Der Angriff auf Kontodaten läuft mehrstufig ab.

Zuerst brauchst du Nutzername und Passwort für das Online Banking Konto. Da gibt es sicher diverse Möglichkeiten heranzukommen, aber wenn alles andere schief läuft, könnte man die Kamera nutzen und das Mikrofon. Von einem Forschungsteam wurde vor einiger Zeit eine Software getestet, die anhand der Tippgeräusche auf der Tastatur die geschrieben Buchstaben relativ akurat identifizieren kann. Die Technik ist eher aus der Kryptografie bekannt und wird unter dem Oberbegriff „Side Channel Attack“ mit anderen zusammengefasst.

Die Forschungsergebnisse von damals

Im Jahr 2001 wurde von Forschern der Universität Berkeley die Möglichkeit untersucht, anhand der Klickabstände des Tastaturanschlags einer Person, den eingegebenen Text zu rekonstruieren. Das Forscherteam kam zu dem Schluss, dass bei praktisch jedem Probanden eine Art biometrischer Fingerabdruck erstellt werden konnte. Dieser Biometrische Fingerabdruck wurde anhand des Tippgeräusches und der akustischen Abstände beim Tippen eines Textes auf der Tastatur erstellt (Ein PDF von 2001!)
Darüber hinaus konnte mittels des Tippprofils des Probanden der geschriebene Text anhand der Geräusche rekonstruiert werden.

Asonow und Agrawal haben einen ähnlichen akustischen Ansatz gewählt. Nur wurde hier nicht die Person in den Mittelpunkt der Studie gestellt, sondern das Keyboard selbst. Die beiden Forscher haben mittels akustischer Analyse herausgefunden, dass jede Taste auf einem Keyboard einen einzigartigen Klang hat. Aus einem akustischen Sample konnte so der Text rekursiv wieder hergestellt werden. (Ein PDF von 2004!)

Sind die Forschungsergebnisse heute noch relevant?

Wie gesagt, es gibt einfachere Möglichkeiten an Nutzernamen und Passwörter zu kommen. Das spielt bei den heutigen Angriffstechniken auf Online Banking eine eher untergeordnete Rolle.

Die zweite Variante wäre der Angriff auf das angeblich sichere HBCI Verfahren. Das gilt bislang als nicht geknackt und wird wahrscheinlich eher von Leuten genutzt die viele Kontobewegungen haben. Ich vermute dass HBCI-Geräte eher im Firmenumfeld genutzt werden. Da könnte sich dann der Aufwand eventuell lohnen die gewonnenen Daten manuell auszuwerten.

Was spricht gegen einen Angriff auf HBCI?

Webcams und integrierte Mikrofone finden sich eher in mobilen Geräten als in der Standardausrüstung des Desktop-PC. Das spricht gegen Variante 2, weil die die HBCI-Geräte zu klobig für den normalen „Dienstreisenden“ sind.

Wer kauft die Features von SpyEye?

Am wahrscheinlichsten erscheint mir, dass der neue SpyEye nicht primär für das Abgreifen von Bankdaten entwickelt wurde. Hinter der Entwicklung einer Software steht auch immer ein Kunde, der bestimmte Features braucht. Was kann diese Software?

1. Telefonate überwachen
2. Tastatureingaben visuell und akustisch mitschneiden.
3. Videokonferenzen überwachen.
3. Dokumente kopieren
4. Sensible Daten aufzeichnen, die sonst nur über umständliches Social Engineering in Erfahrung zu bringen sind.

Wenn man alle Fähigkeiten der Software einem Kundenprofil zuordnet, sehe ich vier potentielle Käufer der Software:

1. Staaten die ihre Bürger belauschen wollen.
2. Firmen die bei Ausschreibungen bessere Karten haben wollen.
3. Personen die Betriebsgeheimnisse von Firmen verkaufen.
4. Parteien die im Wahlkampf schmutzige Wäsche ausbreiten.

Der Markt ist vorhanden. Wieviel Geld sich damit verdienen lässt, kann man nur ahnen. Vermutlich mehr, als durch Diebstahl einiger Überweisungen.

SpyEye ist kein Online-Banking Trojaner. SpyEye ist mehr. Das mögliche Missbrauchen von Bankdaten ist nur ein Abfallprodukt einer langen aber professionellen Softwareentwicklung. Mit der Entwicklung des Online-Banking haben Kriminelle einen lukrativen Anreiz bekommen die Trojanersoftware weiter zu entwickeln. Die Branche ist professionell und steckt längst nicht mehr in den Kinderschuhen. Sie ernährt sowohl den Kriminellen der die Software nutzt als auch ganze Scharen von Sicherheitsdienstleistern die sich auf deren Bekämpfung spezialisiert haben.

Die Entwickler von SpyEye haben hier den Prototypen einer Software demonstriert, dessen Fähigkeiten so manchen Diktator und sicher auch einige Innenminister hoch erfreut.

Advertisements

Was ist INDECT?


Die Australier haben ja ziemlich „gute“ Erfahrungen mit iface gemacht. Der europäische Ansatz zur totalen Überwachung lautet INDECT.

INDECT geht ein Stück weiter. Hier geht es nicht nur darum Straßen und Plätze zu überwachen und jederzeit den Aufenthaltsort jedes Bürgers zu ermitteln, sondern auch um Internetüberwachung. Die Infrastruktur ist in Teilen schon vorhanden und muss nur ausgebaut werden. INDECT soll in der Lage sein, abnormales Verhalten aufzuspüren und präventiv Straftaten vorzubeugen. Häh?

Ich formuliere das mal um. In den Augen der Überwacher sind wir alle Raubkopierer und Terroristen. Wir brauchen den Polizeistaat auch um unsere Kinder zu schützen könnte aus es bald wieder aus dem Mund von Ursula Zensursula tönen, oder irgendeiner anderen Marionette die Karriere machen will.

Wenn man INDECT mal weiter spinnt, wird dein Kaufverhalten anhand deiner EC oder Kreditkarteninformationen mit deinen Äußerungen auf Facebook und co verknüpft. Alles was nicht im Internet über dich in Erfahrung gebracht werden kann wird mit den Aufnahmen verknüpft welche die Überwachungskameras über dich liefern. So findet der Überwacher dann auch deinen realen Freundeskreis und kann deine Freunde gleich mal auf Konformität prüfen.

Wenn Du größere Mengen Bargeld abhebst, geht die rote Überwacherlampe an, weil man Bargeldgeschäfte noch nicht überwachen kann. Schaltest du zu allem Übel auch noch dein Handy ab, geht die zweite Überwacherlampe an. Bei drei Lampen rückt wieder die Spezialeinheit aus, weil dein Verhalten zu abnormal ist.

Natürlich weiß längst jeder, auch die die es nicht wissen sollen, dass du am Wochenende zum Ski fahren in die Schweiz fährst. Dummerweise hast du dich entschieden die Autobahnmaut zu sparen und fährst lieber Landstraße. Dass du sparen willst, ehrt dich natürlich, aber eigentlich geht es darum, dass dich die Kameras auf den Autobahnen nicht mehr aufzeichnen können.

Jetzt geht Lampe Nummer drei an. Das wars. Du bist eindeutig ein Raubkopierer.