"Torpig", der tückische Trojaner
Im Windschatten der Phishing-Mails gegen Kunden von BA-CA und Raiffeisen wurde ein Trojaner verbreitet, der nach und nach die Konten plündert. Den Trojaner fängt man sich über eine Windows-Sicherheitslücke via WWW ein.
Erst rauschte einschlägiger Spam vorbei, dann hagelte es Phishing-Mails und danach Medienberichte - das Trippeln der im Hintergrund einrückenden Trojaner hingegen blieb die längste Zeit unbemerkt.
Rund um die in allen Medien präsente, einfache Passwort-Fischerei bei Kunden von Raiffeisen und BA-CA spielt sich nämlich eine weit raffiniertere Attacke auf einer höheren technischen Ebene mit Trojanern, die Online-Konten plündern, ab.
"Torpig" loggt die TANs
Im Spiel sind Trojaner aus der "Torpig"-Familie, von der seit Juli 2005 mehr als zwei Dutzend Unterarten existieren. "Torpigs" sind äußerst leicht wandelbar, treten nie in großer Zahl zusammen auf und benehmen sich äußerst unauffällig - bis auf dem befallenen Rechner eine Online-Banking-Tansaktion passiert.
Log-in, Password und Transaktionscode [TAN] werden mitgeloggt und im Hintergrund blitzartig benutzt, um vom Konto Überweisungen zu tätigen. Der Eigentümer bleibt ahnungslos, weil "Torpig" die Bestätigungs-Pop-ups der jeweiligen Bank schneller wegschaltet, als der Benutzer sie wahrnehmen kann. Letzterer wird dann bei der eigenen Transaktion von der Bank informiert, dass der neue TAN bereits verbraucht ist. Spätestens hier sollte der Rechner vom Netz genommen werden, um die Transaktionen zu stoppen.
Heimische Komplizen
Die Überweisungen wiederum gehen zum Teil nicht mehr direkt ins Ausland, sondern auf das Konto von Komplizen in Österreich. Die wurden ganz offensichtlich in der allerersten Spam-Welle rekrutiert, die nach dem Muster großteils westafrikanischer Betrüger schöne Prozente versprechen, wenn man sein Konto für Geldtransaktionen zur Verfügung stellt.
Der Grund für diese Vorgangsweise ist, dass einige österreichische Banken technische Automatismen bei auffälligen Transaktionen in gewisse Staaten wie etwa Weißrussland eingerichtet haben, die den Abfluss der Gelder automatisch blockieren.
Wie der "Kurier" berichtet, wurden alleine in der letzten Woche die Fälle dreier Bankkunden beider betroffener Geldinstitute bekannt, deren Konten um insgesamt 40.000 Euro erleichtert wurden. Es ist freilich davon auszugehen, dass die Dunkelziffer der Betroffenen weitaus höher liegt. Laut "Kurier" wurde das erbeutete Geld zum Teil bar über Western Union ins Ausland transferiert.
Die Phisher brachten "Torpig"
Wie aber kamen die "Torpigs", die keine mobilen Würmer, sondern zur automonen Verbreitung unfähige Trojaner sind, dann unter die Leute?
Inzwischen ist davon auszugehen, dass ihre Verbreitung von genau jenen Phishing-Websites ausging, die sich als Eingabeformulare von BA-CA bzw. Raiffeisen präsentierten und außerdem die Ahnungslosesten dazu verleiteten, Log-in, Kundennummer, TANs usw. selber einzugeben.
Organisierte Kriminalität
Wer sich vom einzigen wirklichen Bug in der Betrugsaktion, dem schlechten Deutsch der Phishing-Mail, verlocken ließ - "Bitte! Die Form ausfulen!" - und auf den Link darunter klickte, um nachzusehen, ob die Website ebenso trashig gemacht ist - der fing sich "Torpig.O" ein. Allerdings nur, wenn das betreffende Windows nicht auf dem neuesten Sicherheitsstand war und kein aktueller Virenscanner lief.
Zählt man den Rekrutierungs-Spam, die Phishing-Mails und den raffinierten Einsatz der Trojaner zusammen, dann kommt "organisierte Kriminalität" dabei heraus.
(futurezone | Erich Moechel)