SpyEye wird als Online Banking Trojaner bezeichnet, aber ist er das tatsächlich?


Die als Banking-Trojaner bekannte Software gibt Sicherheitsexperten erneut Rätsel auf. Das neueste Feature der Software ist das Einklinken des Trojaners in die Webcam und das Mikrofon des befallenen Gerätes. Sind das tatsächlich Fähigkeiten die ein Online-Bankräuber braucht, oder steckt da mehr hinter als viele meinen?

Der Angriff auf Kontodaten läuft mehrstufig ab.

Zuerst brauchst du Nutzername und Passwort für das Online Banking Konto. Da gibt es sicher diverse Möglichkeiten heranzukommen, aber wenn alles andere schief läuft, könnte man die Kamera nutzen und das Mikrofon. Von einem Forschungsteam wurde vor einiger Zeit eine Software getestet, die anhand der Tippgeräusche auf der Tastatur die geschrieben Buchstaben relativ akurat identifizieren kann. Die Technik ist eher aus der Kryptografie bekannt und wird unter dem Oberbegriff „Side Channel Attack“ mit anderen zusammengefasst.

Die Forschungsergebnisse von damals

Im Jahr 2001 wurde von Forschern der Universität Berkeley die Möglichkeit untersucht, anhand der Klickabstände des Tastaturanschlags einer Person, den eingegebenen Text zu rekonstruieren. Das Forscherteam kam zu dem Schluss, dass bei praktisch jedem Probanden eine Art biometrischer Fingerabdruck erstellt werden konnte. Dieser Biometrische Fingerabdruck wurde anhand des Tippgeräusches und der akustischen Abstände beim Tippen eines Textes auf der Tastatur erstellt (Ein PDF von 2001!)
Darüber hinaus konnte mittels des Tippprofils des Probanden der geschriebene Text anhand der Geräusche rekonstruiert werden.

Asonow und Agrawal haben einen ähnlichen akustischen Ansatz gewählt. Nur wurde hier nicht die Person in den Mittelpunkt der Studie gestellt, sondern das Keyboard selbst. Die beiden Forscher haben mittels akustischer Analyse herausgefunden, dass jede Taste auf einem Keyboard einen einzigartigen Klang hat. Aus einem akustischen Sample konnte so der Text rekursiv wieder hergestellt werden. (Ein PDF von 2004!)

Sind die Forschungsergebnisse heute noch relevant?

Wie gesagt, es gibt einfachere Möglichkeiten an Nutzernamen und Passwörter zu kommen. Das spielt bei den heutigen Angriffstechniken auf Online Banking eine eher untergeordnete Rolle.

Die zweite Variante wäre der Angriff auf das angeblich sichere HBCI Verfahren. Das gilt bislang als nicht geknackt und wird wahrscheinlich eher von Leuten genutzt die viele Kontobewegungen haben. Ich vermute dass HBCI-Geräte eher im Firmenumfeld genutzt werden. Da könnte sich dann der Aufwand eventuell lohnen die gewonnenen Daten manuell auszuwerten.

Was spricht gegen einen Angriff auf HBCI?

Webcams und integrierte Mikrofone finden sich eher in mobilen Geräten als in der Standardausrüstung des Desktop-PC. Das spricht gegen Variante 2, weil die die HBCI-Geräte zu klobig für den normalen „Dienstreisenden“ sind.

Wer kauft die Features von SpyEye?

Am wahrscheinlichsten erscheint mir, dass der neue SpyEye nicht primär für das Abgreifen von Bankdaten entwickelt wurde. Hinter der Entwicklung einer Software steht auch immer ein Kunde, der bestimmte Features braucht. Was kann diese Software?

1. Telefonate überwachen
2. Tastatureingaben visuell und akustisch mitschneiden.
3. Videokonferenzen überwachen.
3. Dokumente kopieren
4. Sensible Daten aufzeichnen, die sonst nur über umständliches Social Engineering in Erfahrung zu bringen sind.

Wenn man alle Fähigkeiten der Software einem Kundenprofil zuordnet, sehe ich vier potentielle Käufer der Software:

1. Staaten die ihre Bürger belauschen wollen.
2. Firmen die bei Ausschreibungen bessere Karten haben wollen.
3. Personen die Betriebsgeheimnisse von Firmen verkaufen.
4. Parteien die im Wahlkampf schmutzige Wäsche ausbreiten.

Der Markt ist vorhanden. Wieviel Geld sich damit verdienen lässt, kann man nur ahnen. Vermutlich mehr, als durch Diebstahl einiger Überweisungen.

SpyEye ist kein Online-Banking Trojaner. SpyEye ist mehr. Das mögliche Missbrauchen von Bankdaten ist nur ein Abfallprodukt einer langen aber professionellen Softwareentwicklung. Mit der Entwicklung des Online-Banking haben Kriminelle einen lukrativen Anreiz bekommen die Trojanersoftware weiter zu entwickeln. Die Branche ist professionell und steckt längst nicht mehr in den Kinderschuhen. Sie ernährt sowohl den Kriminellen der die Software nutzt als auch ganze Scharen von Sicherheitsdienstleistern die sich auf deren Bekämpfung spezialisiert haben.

Die Entwickler von SpyEye haben hier den Prototypen einer Software demonstriert, dessen Fähigkeiten so manchen Diktator und sicher auch einige Innenminister hoch erfreut.

Advertisements

Wie sicher kann man online Banking machen?


Diese Frage kann man leider nicht mit wenigen Worten beantworten. Das kommt nämlich darauf an, wie paranoid Sie sind. Je mehr Ahnung Sie von der Materie bekommen, desto unsicherer wird das ganze auch. Ziemlich paradox, oder?

Ich nenne mal ein Beispiel. Das Secure Socket Layer kennt manch einer als https:// und ein anderer wiederum garnicht. Wenn Sie es kennen, sind Sie sicher der Meinung, dass es sicher ist, wenn Sie es nicht kennen, dann sage ich Ihnen jetzt, dass es eben nicht so sicher ist, wie manche glauben. Die Verschlüsselung an sich ist ok, das ist garnicht das Problem.

Problem Nummer 1: Der Client authentifiziert sich am Server. Der Server authentifiziert sich am nicht am Client. So ist es möglich, dass Sie zwar meinen Sie wären auf Ihrer Bankseite, in Wirklichkeit loggen Sie sich gaber gerade bei einem Fremden ein. Der Fremde kennt nun Ihre Zugangsdaten. Toll, oder?

Problem Nummer 2: Googeln Sie mal nach Diginotar. Egal wie gut die die Verschlüsselung auch sein mag, wenn die CA (Certificate Authority) nicht mehr vertrauenswürdig ist, können Sie nicht genau sagen, wieviele Personen oder Dienste in der Lage sind, diesen verschlüsselten Netzwerkverkehr mitzulesen.

Noch Fragen? Das waren jetzt mal zwei kleine Beispiele im Schnelldurchgang angeschnitten. Es gibt allerdings noch ein paar mehr Themen dazu. Eine Website die das Thema in Gänze aufgreift und Ihnen einige neue Denkanstöße zum Thema Online-Banking und Sicherheit geben kann habe ich gefunden, als ich über das Thema Sicherheit des mTAN Verfahrens recherchiert habe