Virenlabor

Trojaner Ursnif attackiert europäische Bankkunden

Avast Security News Team, 16 April 2021

Seriöse E-Mails mit gefährlichem Anhang: Aktuell hat der Banking-Trojaner Ursnif vor allem Kunden deutscher Banken im Visier.

Viele Spam-Mails lassen sich einfach erkennen: Etwa an merkwürdigen Absenderadressen, fehlender persönlicher Anrede oder mangelnder Rechtschreibung. Auf solche Indizien darf man sich aber nicht mehr verlassen. Cyberkriminelle sind inzwischen in der Lage, Empfänger persönlich anzuschreiben („Sehr geehrter Herr Meier“), vertrauenswürdige Absenderadressen vorzutäuschen sowie tadellose Nachrichten mit perfekter Rechtschreibung und Aufmachung zu verfassen. In einigen Fällen ist selbst Korrespondenz enthalten. Auf Basis dieser Masche versuchen sie immer wieder den Banking-Trojaner Ursnif zu verteilen, der es insbesondere auf Bankdaten und Passwörter abgesehen hat. Aktuell hat der Schädling vor allem Bankkunden in Deutschland und Italien im Visier.

Unser Threat Labs-Team hat in dieser Woche mit 15 betroffenen deutschen Kreditinstituten Kontakt aufgenommen. Außerdem stieß unser Team auf Bank- und Zahlungsinformationen, die offenbar von Opfern aus dem Bankenumfeld stammten. Konkret handelte es sich um über 100 italienische Banken, mehr als 2.200 einzelne Betroffene und Informationen von mehr als 1.700 Kunden eines einzigen Zahlungsabwicklers.

Die meisten, wenn nicht sogar jeder einzelne gefundene Datensatz bedeutetet einen realen finanziellen Verlust, sowohl für die Kunden*innen als auch für die Banken und Zahlungsabwickler. Damit nicht genug: Kaum ein Opfer war sich der Attacke bewusst, die Cyberkriminellen hätten also weiter abkassieren können. Erst durch die Warnung der Avast-Forscher*innen kam der Fall ans Licht. Ein Happy End? Leider nein, nur ein Zwischenerfolg.

Ursnif: Mit fingierten E-Mails zum Betrug

Ursnif kommt seit Jahren in betrügerischen E-Mail-Kampagnen mit einem Volumen von mehreren zehntausend Nachrichten pro Tag zum Einsatz. Wie beschrieben, haben dabei Cyberkriminelle zunehmend den "Wert" von perfekter Aufmachung und Ansprache der Nachrichten für die eigenen Erfolgsaussichten für sich entdeckt. Im konkreten Fall wurden italienische Bankkunden mit vollendenten muttersprachlichen Nachrichten in die Falle gelockt. Ist erst einmal das Interesse geweckt, reicht ein unüberlegter Klick, und der Trojaner macht sich ans Werk. Denn im Anhang lauern meist passwortgeschützte Zip-Dateien. Der Trick dahinter: Durch den Passwortschutz schlagen viele Virenscanner nicht Alarm. Wird die enthaltene Word-Datei mit dem in der E-Mail enthaltenen Passwort dann geöffnet, schnappt die Falle zu und der Trojaner installiert sich auf dem Computer.

Warum Nutzer*innen immer wieder auf solche Manipulationsversuche hereinfallen? Neben der seriösen Aufmachung werden die Empfänger meist mit einer wichtigen und dringenden Aufgabe konfrontiert. Der Dateianhang dient dann zur Lösung des Problems. Auch wenn nur wenige Empfänger in die Falle tappen, ist das Geschäft einträglich.

Schäden in Millionenhöhe

Unterm Strich zählen vor allem Banken und Zahlungsabwickler zu den Leidtragenden. Denn sie müssen die Probleme operativ lösen und obendrein für die finanziellen Verluste ihrer Kunden*innen geradestehen. Die Kosten sind nicht ohne. Ein Beispiel: Das Internet Crime Complaint Center (IC3) des FBI stellte in seinem Internet Crime Report 2019 fest, dass ihr Recovery Asset Team (RAT) allein 1.307 Vorfälle mit Verlusten in Höhe von über 384 Millionen US-Dollar verzeichnete. Die Summe gibt einen guten Anhaltspunkt, welche gigantischen Schäden durch Banking-Trojaner wie Ursnif weltweit im Lauf der Zeit entstehen.

So können sich Verbraucher vor Ursnif schützen

Wie also vor Ursnif und anderen Phishing-Kampagnen schützen? An erster Stelle steht Aufklärung. Regel Nummer Eins: Banken, Bezahldienste und andere Unternehmen fragen Sie NIE per E-Mail oder Telefon nach Passwörtern, Anmeldedaten oder anderen persönlichen Daten.

Entsprechende Nachrichten sollten also umgehend im Papierkorb oder im Spam-Ordner landen. Wer diese Regel beherzigt, ist eigentlich schon auf der sicheren Seite. Folgende Regeln sind ebenfalls wichtig.

  • Nicht auf Links klicken: Wer glaubt, an einer Warnmeldung könnte etwas Wahres dran sein, sollte nicht auf den Link in der E-Mail klicken, sondern sich in einem neuen Browser-Fenster manuell beim Dienst anmelden und selbst nachschauen, ob etwas nicht stimmt.

  • Keine Dateianhänge öffnen: Unter keinen Umständen bedenkenlos Dateianhänge von E-Mails unbekannter Herkunft öffnen. Dabei spielt es keine Rolle, ob es sich um anscheinend ungefährliche Dateien wie Bilder, Dokumente oder sonstige Dateien handelt.

  • Nicht antworten: Niemals auf Phishing-Spam reagieren: In diesem Fall wissen die Cybergangster, dass die E-Mail-Adresse auch tatsächlich genutzt wird. Dadurch hagelt es noch mehr Spam- und Phishing-Mails.

  • Zwei-Faktor-Authentifizierung nutzen: Durch diese Maßnahme wird besonders gründlich überprüft, ob Sie wirklich die Person sind, für die Sie sich ausgeben, wenn Sie sich bei einem Dienst wie Online-Banking anmelden. Denn dazu müssen zwei Dinge angeben bevor Sie Zugriff erhalten - Ihr Passwort und beispielsweise einen Sicherheitscode, den Sie per SMS oder einer speziellen App auf Ihr Smartphone erhalten. (Hinweis: Die Zwei-Faktor-Authentifizierung ist seit dem 14. September 2020 durch das Inkrafttreten der neuen Europäischen Zahlungsdienstrichtlinie für alle Online-Banken verpflichtend.)

  • Schutzsoftware nutzen: Wer Online-Banking betreibt, sollte eine umfassende Schutzsoftware, wie z.B. Avast Ultimate nutzen. 

Cybergangster machen niemals Pause

Der Fall Ursnif zeige erneut: Cyberkriminelle machen keine Pause. Jeden Tag werden Nutzer*innen rund um die Welt mit E-Mails bombardiert, bei denen nur ein Klick an der falschen Stelle großen Schaden verursachen kann. Es gilt also mehrmals pro Tag intelligente Entscheidungen zu treffen, um diesen „Gangstern“ zu entgehen.

 

Interessiert an mehr News von uns? Folgen Sie uns auf Facebook und auf Twitter!