Hände weg vom Telebanking!

[q/uintessenz presse]

Hände weg vom Telebanking!

Konsumenten sind neuer Betrugssoftware schutzlos ausgeliefert

Konsumenten und ihre Bankkonten sind einer neuen Generation von Computerviren 
schutzlos ausgeliefert. Diese "Man In The Browser" genannte Attacke verändert 
Empfänger und Betrag von Online-Überweisungen während des 
Überweisungsvorgangs und umgeht dabei alle Schutzmechanismen. Daher raten die 
Experten der Wiener Datenschutzorganisation q/uintessenz dringend, bis auf 
weiteres auf Online-Banking per Webbrowser vollständig zu verzichten.


Bisherige Betrugswellen ("Phishing") im Bereich des Online-Banking konnten von 
Kunden, die die Sicherheitshinweise der Banken befolgten, erkannt und damit 
rechtzeitig abgewendet werden.

Wie q/uintessenz in Erfahrung bringen konnte, ist seit über einer Woche eine 
neue Generation von "Trojanern" aktiv, auf deren Konto eine noch 
unveröffentlichte Anzahl von unberechtigten Abbuchungen geht. 
Die Manipulationen dieser Betrugssoftware können auch von aufmerksamen 
Benutzern nicht erkannt und von Virenscannern nicht entdeckt werden.

Die neuen Schadprogramme setzen sich direkt im Web-Browser des Opfers fest und 
erkennen, wenn eine Online-Überweisung getätigt werden soll. Dann werden die 
gesendeten und empfangenen Daten so verändert, daß die Überweisung mit einem 
geänderten Betrag auf ein anderes Konto umgeleitet wird. Dem arglosen 
Benutzer wird allerdings auf dem Bildschirm nur die von ihm eingegebene 
Transaktion angezeigt. Aufgrund ihrer Arbeitsweise schlägt q/uintessenz für 
diese Klasse von Angriffen die Bezeichnung "Man In The Browser" oder "MIB" 
vor, in Anlehnung an "Man In The Middle"-Angriffe, bei denen Nachrichten 
zwischen Absender und Empfänger unbemerkt verändert werden.

Kriminelle Organisationen können diese MIB-Trojaner im Internet in 
verschiedenen Versionen kaufen und die anzugreifenden Banken bequem aus einer 
Liste auswählen. Die Betrugssoftware richtet sich gegen die meistverbreiteten 
Versionen von Microsoft Windows und die Webbrowser Internet Explorer und 
Mozilla Firefox.

Keines dieser Betrugsprogramme wird derzeit von einem Virenscannererkannt, und 
da laufend neue Versionen von Trojanern entwickelt werden, sind Virenscanner 
prinzipiell keine ausreichende Schutzmaßnahme. Weder die kürzlich 
eingeführten "ITANs" (eine von den Banken als sicher angepriesene Erweiterung 
der bekannten Transaktionsnummern oder TANs) noch die Verwendung einer 
Signaturkarte bieten Schutz gegen diese Art des Betrugs.

Daher rät q/uintessenz derzeit dringend von der Verwendung von Online-Banking 
unter Windows-Betriebssystemen ab, bis von den Banken wirkungsvolle 
Schutzmaßnahmen eingeführt werden.


Rückfragehinweis:

Verein q/uintessenz
Christian Mock +43-676-841 786 316
Martin Slunsky +43-664-414 10 12
mailto: office at quintessenz.org
http://quintessenz.org/
http://quintessenz.org/mib/

q/uintessenz - Verein zur Wiederherstellung der Bürgerrechte im 
Informationszeitalter - ist eine Vereinigung von Menschen aus Technik, 
Wissenschaft, Journalismus und Kunst, die seit 1994 aktiv ist und die 
Öffentlichkeit über Netzthemen informiert. q/uintessenz ist Gründungsmitglied 
der Dachverbände Global Internet Liberty Campaign und EDRi [European Digital 
Rights] und Mitveranstalter der Big Brother Awards und der Linuxwochen.