Man-in-the-middle

Phishing wird in den letzten Jahren vermehrt durch Einsatz von Trojanern begangen, die Man-in-the-middle-/Man-in-the-browser-Attacken ausführen.

Die Schadsoftware wird unbemerkt beim Surfen im Internet oder durch das Öffnen einer Spam-E-Mail auf dem Computer des Bankkunden installiert. Die Schadsoftware liest die für eine Transaktion notwendige PIN und TAN mit, indem sie sich zwischen die Datenverbindung des Kunden und seiner Bank schaltet. Schließlich sendet die Software die Daten über die Internetverbindung an die Rechner der Täter.

Eine Kommission des Landeskriminalamts Baden-Württemberg ermittelte unter dem Namen "Katusha" folgenden Man-in-the-browser-Angriff:

Die Infektion der Kunden-PCs erfolgte sowohl über manipulierte PDF-Dateien als auch über so genannte Drive-by-Infections. Dabei werden PCs über Schwachstellen des Browsers angegriffen, wenn ein Nutzer beim Surfen im Internet auf manipulierte Webseiten gelangt. Das Aufrufen der manipulierten Seite reicht bereits aus, um den PC zu infizieren. Da die Täter die Schadsoftware ständig aktualisiert und verändert haben, wurde diese selbst von aktueller Antiviren-Software häufig nicht erkannt. Der Trojaner nistete sich auf den infizierten PC als so genannter „Man in the Browser“ ein. Sobald ein Geschädigter eine Onlinebanking-Sitzung begonnen hatte, wurde der Trojaner aktiv. Nachdem der Kunde eine Überweisung geschrieben hatte und zur Eingabe einer i-TAN aufgefordert wurde, veränderte der Trojaner Betrag, Saldo, Verwendungszweck sowie die Empfängerdaten. Der Kontoinhaber konnte dies nicht erkennen. Erst dann wurde die Überweisung mit der angeforderten i-TAN an die Bank übermittelt. Auch wenn der geschädigte Bürger die Kontoübersichtsseite betrachtet hat, blieb ihm die missbräuchliche Überweisung verborgen, da auch diese Seite vom Trojaner manipuliert wurde. So war für die Geschädigten die missbräuchliche Überweisung erst auf dem Papierkontoauszug erkennbar.

(Quelle: Pressemitteilung vom 29.10.2010)