Aktuelle Warnmeldung

Banking-Trojaner nutzt betrügerische Einträge in Whitelist für PSD2-Ausnahmen

Aktuell beobachtet das S-CERT eine neue Vorgehensweise von Banking-Trojanern bei Angriffen gegen das Online-Banking der Sparkassen. Im Fokus steht hierbei die Liste der vertrauenswürdigen Empfänger-IBANs (sog. Whitelist) im Zuge der PSD2-Ausnahmen von der starken Kundenauthentifizierung. Überweisungen an IBANs in dieser Liste sind ohne Eingabe einer TAN möglich. Allerdings muss initial die Aufnahme einer IBAN in diese Liste der vertrauenswürdigen Empfänger mit einer TAN bestätigt werden.

Details:
Diese Möglichkeit wird von aktuellen Varianten der Gozi Banking-Trojaner-Familie ausgenutzt: Der Trojaner späht bei der Anmeldung des Kunden zum Online-Banking dessen Anmeldedaten aus. Danach initiiert er im Hintergrund die Aufnahme einer IBAN der Betrüger in die Whitelist des Kunden und verleitet den Kunden in der Folge unter dem Vorwand einer Änderung der Kunden-IBANs zur Eingabe einer TAN im Browser.

Ein beispielhafter Screenshot der betrügerischen Einblendungen im Browser findet sich unter
- https://forum.s-cert.de/screenshots/S-CERT-I544401-Web01.png

Kommt ein Kunde dieser Aufforderung nach, legitimiert er hiermit die Aufnahme der betrügerischen IBAN in die Whitelist.
Im Weiteren melden sich die Betrüger dann mit den ausgespähten Zugangsdaten des Kunden beim Online-Banking an und führen beliebige Überweisungen an diese IBAN durch, ohne dass diese jeweils separat mit einer TAN bestätigt werden müssen.

Betroffen sind hiervon Nutzer aller drei TAN-Verfahren (chipTAN, smsTAN und pushTAN). Nutzer des chipTAN-Verfahrens fordert der Trojaner nach der Anmeldung zum Online-Banking zunächst auf, eine TAN-Generator-Synchronisation durchzuführen.