{"id":196252,"date":"2017-11-12T12:44:41","date_gmt":"2017-11-12T11:44:41","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=196252"},"modified":"2017-11-12T12:47:18","modified_gmt":"2017-11-12T11:47:18","slug":"phishing-und-banking-trojaner-bedroht-bankkunden","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2017\/11\/12\/phishing-und-banking-trojaner-bedroht-bankkunden\/","title":{"rendered":"Phishing- und Banking-Trojaner bedroht Bankkunden"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" align=\"left\" height=\"47\"\/>Bankkunden in \u00d6sterreich (Bank Austria, aber auch Sparkassen und Volksbanken) \u2013 und wohl auch in Deutschland \u2013 sind aktuell von einer Phishing-Kampagne bedroht. Dabei wird auch ein Mobilger\u00e4te-Trojaner mit ausgeliefert. <\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/ssl-vg03.met.vgwort.de\/na\/cee5e52057de4c3b9db140996a55094b\" width=\"1\" height=\"1\"\/>Sicherheitsforscher von Proofpoint habe Anfang November 2017 in <a href=\"https:\/\/www.proofpoint.com\/us\/threat-insight\/post\/credential-phishing-and-android-banking-trojan-combine-austrian-mobile-attacks\" target=\"_blank\">diesem Blog-Beitrag<\/a> auf die Bedrohung hingewiesen, die Phishing und Trojaner kombiniert. <\/p>\n<h2>Angriff auf deutschsprachige Bankkunden<\/h2>\n<p>Phishing-Angriffe auf Bankkunden, Trojaner im Bankwesen und Kreditkartenphishing sind h\u00e4ufige Bedrohungen, die Sicherheitsforscher regelm\u00e4\u00dfig sowohl in gro\u00dfem Umfang als auch bei gezielten Angriffen beobachten.<\/p>\n<p>Proofpoint-Forscher haben jedoch k\u00fcrzlich Phishing-Angriffe beobachtet, bei denen all diese Elemente in einem einzigen, mehrstufigen Schema zusammengefasst sind. An dem Angriff ist auch der Marcher Android Banking Trojaner, der auf Kunden \u00f6sterreichischer Gro\u00dfbanken zielt, beteiligt. Die Angriffe von Marcher werden immer raffinierter, wobei die Kunden der Institute Bank Austria, Raiffeisen Meine Bank und Sparkasse mindestens seit Januar 2017 im Fokus der Kriminellen stehen.<\/p>\n<h2>Analyse des Angriffs<\/h2>\n<p>Marcher wird h\u00e4ufig per SMS verschickt. Aber im aktuellen Fall wird den Opfern ein Link in einer E-Mail angezeigt. Oftmals ist der e-Mail-Link ein verk\u00fcrzter bit.ly-Link, der die Zieladresse verschleiern soll. Der Link f\u00fchrt zu einer Phishing-Seite, die nach Anmeldedaten f\u00fcr das Bankkonto (oder einer Kontonummer und PIN) fragt. <\/p>\n<p><a href=\"https:\/\/www.proofpoint.com\/sites\/default\/files\/f1_0.png\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" title=\"Phishing-Seite\" alt=\"Phishing-Seite\" src=\"https:\/\/www.proofpoint.com\/sites\/default\/files\/f1_0.png\" width=\"641\" height=\"482\"\/><\/a><br \/>(Quelle: Proofpoint)<\/p>\n<p>Da die Kriminellen den bit.ly URL-K\u00fcrzer zum Ausliefern des Phishing-Links verwendeten, lassen sich die Auslieferungsstatistiken f\u00fcr diese spezielle Kampagne abrufen. Der Link leitet zu einer URL weiter, die dazu bestimmt ist, legitim zu erscheinen. Es handelt sich um eine kanonische Dom\u00e4ne von <em>sicher97140[.]info<\/em> mit dem Logo der \"Bank Austria\".<\/p>\n<p>Ist das Opfer auf den Phishing-Version hereingefallen, wird die Anmeldung auf der Phishing-Seite mit E-Mail-Adresse und Telefonnummer verlangt. <\/p>\n<p><a href=\"https:\/\/www.proofpoint.com\/sites\/default\/files\/f3_0.png\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" title=\"Phishing-Anmeldeseite\" alt=\"Phishing-Anmeldeseite\" src=\"https:\/\/www.proofpoint.com\/sites\/default\/files\/f3_0.png\" width=\"622\" height=\"452\"\/><\/a><br \/>(Quelle: Proofpoint)  <\/p>\n<p>Nachdem der Betr\u00fcger das Konto und die pers\u00f6nlichen Daten des Opfers erhalten hat, versucht er einen Social Engineering-Angriff. Er informiert den Benutzer dar\u00fcber, dass sie die \"Bank Austria Security App\" noch nicht auf dem Smartphone installiert ist. Ohne diese App k\u00f6nne kein Online-Banking mehr ausgef\u00fchrt werden. Folgende Abbildung zeigt die Download-Eingabeaufforderung f\u00fcr diese gef\u00e4lschte App.<\/p>\n<p><a href=\"https:\/\/www.proofpoint.com\/sites\/default\/files\/f4_0.png\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" title=\"Fake-Download Bank Austria-App\" alt=\"Fake-Download Bank Austria-App\" src=\"https:\/\/www.proofpoint.com\/sites\/default\/files\/f4_0.png\" width=\"638\" height=\"506\"\/><\/a><br \/>(Quelle: Proofpoint)<\/p>\n<p>Kommt der Benutzer dieser Aufforderung nach und l\u00e4dt die App herunter, erh\u00e4lt er zus\u00e4tzliche Hinweise zur Installation. Damit gelangt der Marcher-Trojaner auf das Android-System. Die im Proofpoint-Beitrag ver\u00f6ffentlichten Statistiken zeigen, dass 7% der Besucher die App von der Phishing-Seite heruntergeladen haben. Die App fordert vom Benutzer extensive Berechtigungen an. <\/p>\n<p><img loading=\"lazy\" decoding=\"async\" title=\"Berechtigungen des Trojaners\" alt=\"Berechtigungen des Trojaners\" src=\"https:\/\/www.proofpoint.com\/sites\/default\/files\/f10_0.png\" width=\"360\" height=\"535\"\/><br \/>(Quelle: Proofpoint)<\/p>\n<p>Die App kann Kontakte auslesen, Telefonanrufe und SMS verschicken, den Standort abfragen und mehr. Nach der Installation findet das Opfer ein Icon auf dem Android-Ger\u00e4t.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.proofpoint.com\/sites\/default\/files\/f12_0.png\" width=\"142\" height=\"131\"\/>(Quelle: Proofpoint)<\/p>\n<p>Nutzt der Anwender diese App f\u00fcr seine Bankgesch\u00e4fte, fischt der Trojaner Anmeldedaten und mehr ab und fordert auch zur Eingabe der Kreditkartennummer auf. Dabei k\u00f6nnen diverse Kreditkartendaten verifiziert werden. <\/p>\n<p>Proofpoint hat im Oktober diverse Angriffswellen beobachtet, wobei teilweise bis zu 20.000 Nutzer auf die Links klickten. Es ist davon auszugehen, dass diese Kampagnen weiter gehen und m\u00f6glicherweise auch andere Banken mit aufgenommen werden. Weitere Details lassen sich <a href=\"https:\/\/www.proofpoint.com\/us\/threat-insight\/post\/credential-phishing-and-android-banking-trojan-combine-austrian-mobile-attacks\" target=\"_blank\">bei Proofpoint nachlesen<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Bankkunden in \u00d6sterreich (Bank Austria, aber auch Sparkassen und Volksbanken) \u2013 und wohl auch in Deutschland \u2013 sind aktuell von einer Phishing-Kampagne bedroht. Dabei wird auch ein Mobilger\u00e4te-Trojaner mit ausgeliefert.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[131,426],"tags":[3727,2330,3175,4328,1107],"class_list":["post-196252","post","type-post","status-publish","format-standard","hentry","category-android","category-sicherheit","tag-banking","tag-mobilgerate","tag-phishing","tag-sicherheit","tag-trojaner"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/196252","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=196252"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/196252\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=196252"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=196252"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=196252"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}