Der unabhängige IT- und Tech-Kanal!
internet.board.entertainment.games.hardware
ENISA (Logo)
Der "High Roller"-Cybercrime-Ring wurde von den IT-Sicherheitsunternehmen McAfee und Guardian Analytics Ende letzten Monats entdeckt (gulli:News berichtete). Die Kriminellen griffen Banken aller Größenordnungen an und verursachten einen geschätzten Schaden von 60 Millionen bis zwei Milliarden Euro. Die Kriminellen gingen dabei äußerst geschickt vor und verwendeten Malware, die den Transfer des Geldes der Opfer auf sogenannte "Mule-Konten" ohne Interaktion des Benutzers eigenständig durchführte. Mule-Konten haben Besitzer, die selbst nicht an den kriminellen Aktivitäten beteiligt sind und als Geldkuriere fungieren.
ENISA-Sprecher Professor Udo Helmbrecht erklärt, High Roller beweise wieder einmal das alte Sprichwort, dass Kriminelle dorthin gingen, wo das Geld ist - heutzutage also zunehmend ins Internet. Es sollte, so der Professor, nicht überraschend kommen, dass Gruppen organisierter Krimineller Online-Banking-Anwendungen angreifen. Dennoch errege High Roller aus drei Gründen Aufmerksamkeit: die Angriffe seien hoch automatisiert, auf technisch hohem Niveau und äußerst gezielt.
Die Angriffe der Gruppe liefen laut ENISA in drei Phasen ab: zunächst wurden durch Online-Ermittlungen und sogenanntes "Spear Phishing" - also gezielte Phishing-Angriffe - lohnende Ziele, also Konten mit hohen Beträgen, identifiziert. Anschließend wurde Malware - für die entsprechenden Banking-Anwendungen angepasste Versionen der Baukasten-Trojaner ZeuS, SpyEye und Ice 9 - auf den Rechner der Zielperson gespielt. Die Malware wurde gestartet, wenn das Opfer die Banking-Anwendung startete. Später wurden, vor dem Benutzer versteckt, automatisch betrügerische Finanz-Transaktionen durchgeführt.
Die ENISA gibt Banken drei Tipps zum Umgang mit der Bedrohung durch Internet-Kriminelle. Der erste: "Gehen Sie davon aus, das alle Rechner infiziert sind". Gerade die äußerst populäre, seit 2007 verwendete ZeuS-Malware werde von gängiger Sicherheitssoftware nach wie vor nur selten erkannt, so die ENISA. Daher sei es für Banken in der aktuellen Situation sicherer, davon auszugehen, dass alle Kunden-PCs infiziert seien, und Sicherheitsmaßnahmen zu entwerfen, die trotz dieser Infektionen funktionieren.
Der zweite Tipp der ENISA lautet dementsprechend, es sollten sichere Geräte für das Online-Banking verwendet werden. Viele Sicherheitssysteme für Banking-Anwendungen funktionierten nach wie vor basierend auf der Annahme, dass der Rechner des Kunden sicher und nicht von Malware befallen sei, so die Behörde. Diese Annahme sei allerdings gefährlich. Es müssten daher zusätzliche, sichere Kommunikationswege - etwa SMS, Anrufe oder Smartcard-Geräte - genutzt werden, nicht nur um den Benutzer zu identifizieren, sondern auch, um die Details der Transaktion zwischendurch zu überprüfen, um eine Manipulation der Übertragung auszuschließen.
Als dritte Maßnahme fordert die ENISA eine bessere internationale Kooperation der Behörden bei der Bekämpfung von Online-Straftaten. Dies gelte für die Prävention ebenso wie für die Reaktion auf bereits begangene Verbrechen, schreibt die ENISA. Die Behörde arbeite daher daran, eine engere Zusammenarbeit und einen verstärkten Informationsaustausch zwischen den nationalen Behörden zu fördern.
In Zukunft, so die ENISA, werde die Browser- und Smartphone-Sicherheit immer wichtiger werden, da mehr und mehr Transaktionen auf Smartphones oder Tablets durchgeführt würden. Die schnell steigende Verbreitung von mobilen Geräten stellt nach Meinung der Behörde eine gute Gelegenheit dar, die Sicherheit von Endanwendern zu erhöhen, beispielsweise durch die Verwendung von auf Sicherheit überprüften App-Stores oder durch die Möglichkeit, Smartphones zur zusätzlichen Absicherung von Transaktionen zu nutzen. Es sei allerdings ein Fehler, davon auszugehen, dass Smartphones automatisch sicher seien, so die ENISA.
Text-Quellen: ENISA
Annika Kremer (g+) am Sonntag, 08.07.2012 11:57 Uhr
Die Tipps sind in etwa so aussagekräftig: Wenn es regnet wirst du nass. Dafür brauchen wir die ENISA. Keep up the grat work! Und vielen dank für die Tipps, ich fühle mich schon sehr viel sicherer. ...
wenn über ein (kompromittiertes) smartphone eine transaktion getätigt wird, soll also die Transaktion via SMS bestätigt werden? ...
Die Europäische Netzwerk-Sicherheits-Behörde "European Network and Information Security Agency" (ENISA) veröffentlichte kürzlich eine Analyse zu Angriffen von Internet-Kriminellen auf Banking-Anwendungen mit einem Schwerpunkt auf der "High Roller"-Kampagne. Der Rat der Behörde an die Banken: "Gehen ...
Heutzutage ist die Internettelefonie neben Fest- und Mobilnetztelefonie immer gefragter. Per Internet zu kommunizieren ist nicht nur komfortabler und billiger, man ist zudem unabhängig von Tarifen, welche nur eine bestimmte Gesprächszeit günstig ermöglichen. Also wieso nicht auch Internet-Telefonie nutzen?
Lars Sobiraj am 12.05.2013, 12:51 Uhr
Wie ein 73-jährige Japaner beweist, kann man das am häufigsten benutzte Tabellenkalkulationsprogramm Microsoft Excel nicht nur für reguläre Berechnungen einsetzen. Tatsuo Horiuchi erstellt ausnahmslos seine traditionellen Gemälde mit Hilfe dieses Programms. Er arbeitet bereits seit 10 Jahren mit der Software und stellt seine Bilder in diversen Ausstellungen vor.
mehr lesen...
