„Der Trojaner Sinowal, über den ein Security-Unternehmen kürzlich detailliert in seinem Security-Blog berichtete, taugt zum Alptraum“, berichtet Alexander Meisel, CTO und Mitgründer des Web-Firewall-Spezialisten Art of defence. „Der Trojaner ist seit Jahren aktiv – was an sich schon ungewöhnlich ist – und extrem intelligent: Bei 2.700 Onlinebanking-Sites weltweit kann er theoretisch in Transaktionen eingreifen – und dann Überweisungen auf fremde Konten umleiten.“
Hat sich der Trojaner auf dem Rechner eines Users eingenistet – beispielsweise per
Drive-by-Download – schlummere er dort unbemerkt, bis die URL eines ihm bekannten
Online-Banking-Angebots aufgerufen wird, so Meisel . Dann wird er aktiv: „Wenn der User
beispielsweise eine Überweisung vornimmt, legt er eine Art Maske über das Fenster, in dem
Kontonummer, Bankleitzahl, Betrag und Betreff eingegeben werden. In diesem Fenster landen die
Eingaben, die der Nutzer macht; die darunter liegende Originalmaske füllt der Trojaner dagegen mit
einer Überweisung an seinen Herrn und Meister aus.“ Der Online-affine Bankkunde merkt davon nichts.
Denn der Trojaner manipuliert auch die normalerweise folgende Überprüfungsseite. Erst beim Blick
auf den Kontoauszug wird die falsche Buchung offensichtlich.
Fraud as a Service: Online-Betrug gibt es jetzt als Dienstleistung für Dummys
Security-Gateways schützen Mitarbeiter gegen Exploit-Trojaner
IBM macht E-Banking durch Datentunnel sicher
Immerhin sei den Banken das Problem bewusst, so Meisel: „Wir wissen aus dem Markt, dass
einige Banken sich des Problems Sinowal bereits annehmen.“ Seine Web Application Firewall
Hyperguard schütze in der aktuellen Version 3.0 vor Sinowal-Angriffen. Der Trick dabei: Der
Trojaner erkenne ja anhand von Feldnamen wie Kontonummer, dass er aktiv werden muss. „Hyperguard
verschlüsselt daher diese Feldnamen pro Session – wir nennen das Form Field Protection oder
Feldnamen-Virtualisierung. Statt der für ihn relevanten Information „Kontonummer“ sieht der
Trojaner also nur eine zufällig generierte Buchstaben- und Ziffernfolge – damit ist sein Weck- oder
Manipulationsmechanismus überlistet.“
Zusätzlich abgesichert werde das Online-Banking durch eine URL-Verschlüsselung. Meisel: „
Dabei wird nicht die originale URL an den Web-Browser des Bankkunden ausgeliefert, sondern eine mit
einem separaten Passwort verschlüsselte URL. Auch dies führt dazu, dass Sinowal die Aktionen, bei
denen er eingreifen kann, nicht mehr erkennt.“
Trotz dieser Schutzerfolge gelte bei der IT-Sicherheit weiter die Geschichte von Hase und
Igel. „Je ausgefeilter die Schutzmechanismen werden, desto intelligentere Angriffsformen entwickeln
Hacker. Der beste Schutz besteht in einem Paket aus stetig verbesserter Absicherung der Technologie
durch die Banken und sicherheitsbewusstem Online-Verhalten der Kunden.“
