Phisher-Bande plündert EU-weit Konten

"TORPIG-U"
08.02.2006

Bei der BA-CA habe es nur eine Handvoll Kunden erwischt, heißt es, während sich die mit einer weit ausgefeilteren Phishing-Attacke konfrontierte Raiffeisen bisher in Schweigen hüllt: Die internationale "Torpig"-Bande hat EU-weit etwa 90 Banken im Visier.

"Es ist bis jetzt nicht viel passiert" sagt Wolfgang Trexler, der für Sicherheit und Technik im Online-Banking zuständige Produktmanager der BA-CA. Lediglich eine Handvoll Kunden sei betroffen, in jedem Fall sei die Variante "U" des "Torpig"-Trojaners im Spiel gewesen, der Zugangs- und Transaktionscodes ausgeschnüffelt hatte.

Dafür hätten auffällig viele Kunden bei der Hotline angerufen, manche davor und manche wiederum sofort, nachdem sie ihre Daten auf der gefälschten BA-CA-Website eingegeben haben. In allen Fällen seien die Geldtransaktionen der unbekannten Betrüger verhindert worden, nicht zuletzt geholfen habe der Umstand, dass "Torpig-U" den BA-CA-Sicherheitsleuten bereits seit einem Monat bekannt gewesen sei.

Das Rätsel der Verbreitung

Die Verbreitung des tückischen Trojaners bleibt aber weiterhin im Dunklen. Die Schlussfolgerung, dass sich "Torpig-U" über die gefälschten Websites der Phisher verbreite, sei zwar nahe liegend, zumindest im Falle BA-CA war das aber nicht nachweisbar, sagt Trexler: "Soweit wir wissen, wurde das nicht gemacht."

Die einzige Infektion, deren Werdegang zweifelsfrei nachvollzogen werden konnte, so Trexler weiter, sei der Fall eines Kunden gewesen, der eingestandenermaßen den Crack eines beliebten Computerspiels von einem Server in Russland heruntergeladen hatte. Danach fand sich der Kunde auch mit "Torpig-U" beglückt.

Es sei auch nicht auszuschließen, dass ein unauffälliger Wurm den "gehunfähigen" Trojaner huckepack transportiere, oder dass eben präparierte Websites zum Einsatz kommen, sagte Trexler.

Bugs im Text

Dass bei der BA-CA relativ wenig Schaden angerichtet wurde, dürfte vor allem auch am fehlerhaften "Design" des wichtigsten Angriffselements gelegen sein.

Der Text der Phishing-Mail mit Aufforderung zur Eingabe der Kontodaten an die Kunden der BA-CA war - anders als die weit raffinierter gemachten E-Mails an die Raiffeisen-Kunden - mit einigen orthografischen und grammatikalischen Fehlern durchsetzt.

~ Link: Tante Juttas "Phaustregeln" gegen Phishing (../http://www.fuzo-archiv.at/?id=88195v2) ~

Raiffeisen schweigt sich aus

Die ebenfalls und mit Phishing-Mails in vergleichbar weit höherer Qualität angegriffene Raiffeisen-Gruppe hüllte sich bis zuletzt in Schweigen. Auf eine Anfrage der futurezone am vergangenen Freitag [drei Tage nach Beginn des Phishing-Spams] zum Thema "Torpig" hieß es lediglich, man höre zum ersten Mal, dass irgendein Trojaner bei diesem "Phish-Zug" angeblich eine Rolle spiele.

Am Montag fragte dann Raiffeisen vice versa an, welche Hinweise auf Trojaner der futurezone denn vorlägen und ersuchte um Übermittlung von Informationen, was anderntags in Form eines Artikels der Einfachheit halber gleich öffentlich geschah.

Erst rauschte einschlägiger Spam vorbei, dann hagelte es Phishing-Mails und danach Medienberichte - das Trippeln der im Hintergrund einrückenden Trojaner hingegen blieb die längste Zeit unbemerkt.

Gut organisierte Kriminelle

Was beide Banken strikt und peinlichst vermeiden, ist der Begriff "organisierte Kriminalität" und um eine solche handelt es sich bei den "Torpig"-Phishern allemal.

Ein Blick auf den Code des Wurms macht offenbar, dass hier [mindestens] eine Betrügerbande tätig ist, die länderübergreifend in Westeuropa agiert. Während in Österreich, das im Dezember in das "Torpig"-Prgramm aufgenommen wurde, gerade einmal vier Telebanking-Websites gelistet sind, die zu BA-CA bzw. Raiffeisen gehören, enthält der Code von "Torpig-U" gute zwei Dutzend deutsche Banken-Websites. Ebensoviele Banken-Angriffsziele aus Großbritannien sind gelistet, in Spanien nimmt der tückische Trojaner gar 31 Banken ins Visier.

(futurezone | Erich Moechel)