Trojanisches Pferd spioniert TANs auf Online-Banking-Portalen aus

Gefälschte Seite täuscht Änderung des Authentifizierungsverfahrens vor

(29.03.07) - Trend Micro warnt alle Computeranwender vor einem Trojanischen Pferd, welches beim Aufruf von Online-Banking Portalen der Postbank und anderen Bankinstituten eine gefälschte Seite einschleust. Eine vermeintliche Umstellung des Transaktionsverfahrens wird als Vorwand benutzt, Transaktionsnnummern der Banking-Kunden abzufragen. Um die Seite noch authentischer wirken zu lassen, blendet das Trojanische Pferd ein Bild eines "DigiPass"-Tokens zur dynamischen Passwort-Generierung ein. Trend Micro rät allen Anwendern zu erhöhter Vorsicht, da die gefälschte Website äußerst professionell gestaltet ist.

Kunden mehrerer Bankinstitute, darunter auch der Postbank, deren Rechner mit dem Trojanischen Pferd infiziert wurde, gelangen nach der Anmeldung im Online-Banking Portal ihrer Bank auf eine gefälschte Seite, die sich von den echten Webseiten kaum unterscheidet. Die Benutzer erhalten den Hinweis, dass die Bank zum 17.05.2007 das iTAN-Verfahren zur Authentifizierung von Online-Transaktionen einstellt. An die Stelle des iTAN-Verfahrens sollte die "sicherere" Lösung durch DigiPass-Tokens treten. Die Anwender werden aufgefordert, 40 iTANs auf der Seite einzugeben.

Da sich das Trojanische Pferd lokal auf dem Rechner befindet und die gefälschte Seite während des Zugriffs auf das Banking-Portal einschleust, bleibt auch die Anzeige einer sicheren SSL-Verbinung bestehen. Um die Ankündigung der vermeintlichen Umstellung noch vertrauenswürdiger erscheinen zu lassen, lädt die Malware ein Bild des "Go3"-Tokens von Vasco. Der Hersteller Vasco hat mittlerweile das Bild durch eine Datei ersetzt, die eine Warnung für die Betroffenen enthält.

Trend Micro rät allen Computer-Anwendern, beim Online-Banking besondere Vorsicht walten zu lassen. Sowohl die Aufforderung zur mehrmaligen Eingabe von Transaktionsnummern wie auch die gehäufte Anzeige von Fehlermeldungen lassen oft auf ungewollte Aktivitäten im Hintergrund schließen. Um eventuelle finanzielle Schäden zu vermeiden, sollte der Vorgang in diesem Fall unbedingt abgebrochen und das Browser-Fenster geschlossen werden. Trend Micro erkennt das trojanische Pferd als TSPY_AGENT.POA. (Trend Micro: ma)