Wie das S-CERT berichtet, werden derzeit vermehrt gefälschte Telekom-Rechnungen mit infizierten PDF-Dateien verteilt. Wird solch eine PDF-Datei vom Empfänger auf einem Windows-System geöffnet, versucht die Malware eine Sicherheitslücke im Adobe Reader auszunutzen, um so das System mit einem Online-Banking-Trojaner zu infizieren.

Die E-Mails sind in einem guten Deutsch verfasst und haben typische Betreffzeilen wie z.B. “Online-Rechnung. () Telekom GmbH.” oder “Telekom Deutschland GmbH. Online-Rechnung.”

Die für die Infektion genutzte Sicherheitslücke wurde von Adobe bereits 2010 geschlossen. Ihr könnt euch also ganz einfach schützen, indem ihr …

… den auf eurem Windows-System installierten Adobe Reader stets auf dem aktuellen Stand haltet.
… einen anderen PDF-Betrachter als den Adobe Reader nutzt.
… Anhänge in “dubiosen” E-Mails gar nicht erst öffnet.

Ursprünglich wollte ich heute eine Review zu “Das gibt Ärger” verfassen, bin dann aber nach dem Essen auf der Couch eingeschlafen (kein Kommentar bitte). Deswegen müsst ihr euch nun mit einer Warnmeldung zufrieden geben:

Aktuell werden als Vodafone-Rechnung getarnte E-Mails verbreitet, die eine PDF-Datei enthalten. Diese PDF-Datei wiederum enthält einen Online-Banking-Trojaner, der eine ältere (und vom Hersteller bereits geschlossene) Sicherheitslücke im Adobe Reader ausnutzt, um sich in eurem System einzunisten (ja, deswegen nerve ich euch regelmäßig auf Facebook und Twitter mit den zahlreichen Update-Meldungen).

Ist der Trojaner erst mal installiert, gaukelt er euch bei der nächsten Anmeldung im Online-Banking eine fehlerhafte Gutschrift vor und fordert euch auf, eine entsprechende Rücküberweisung vorzunehmen (siehe auch meinen Blogbeitrag vom 21.07.2011).

Wie immer gilt: Sofern solch eine E-Mail in eurem Posteingang landet, solltet ihr sie einfach löschen und auf gar keinen Fall den Anhang öffnen!

Seit gestern ist die Online-Banking-Software StarMoney 7.0 noch bis zum 24.12.2011 kostenlos im CHIP-Adventskalender erhältlich. Den direkten Download findet ihr unter

http://www.chip.de/downloads/StarMoney-Vollversion_52269481.html

Online-Banking-Programme wie StarMoney sind nicht nur komfortabler, sondern haben gegenüber dem weit verbreiteten Browser-Banking auch enorme Sicherheitsvorteile. Nicht ohne Grund zielen alle derzeit bekannten Phishing-Angriffe auf das Online-Banking per Browser ab.

Auch wenn es sich bei StarMoney 7.0 nicht um die aktuelle Version handelt und der Support dieser Version voraussichtlich am 31. März nächsten Jahres eingestellt wird, lohnt sich der Download.

Updates werden auch nach diesem Termin (voraussichtlich bis zum 31.12.2012) weiterhin über www.starmoney.de als Download zur Verfügung gestellt. Danach erfolgt leider kein Austausch der Sicherheitszertifikate mehr, so dass PIN/TAN-Nutzer ein (vergünstigtes) Update auf die aktuelle Version erwerben müssen, sobald deren Institut einen Zertifikatswechsel vornimmt.

Nutzer einer FinTS- bzw. HBCI-Chipkarte können StarMoney auch nach dem 31.12.2012 problemlos weiternutzen, da diese von dem Austausch der Sicherheitszertifikate nicht betroffen sind.

Ich selbst nutze StarMoney bereits seit der Version 2.0 und kann bislang nichts Negatives über diese Software berichten. Und nein, obwohl ich im Online-Banking-Bereich arbeite, bekomme ich die Software für den Eigengebrauch nicht kostenlos zur Verfügung gestellt, sondern kaufe mir das Update alle zwei Jahre selbst. Die zusätzliche Sicherheit im Online-Banking und der Komfort sind mir die 30,- Euro alle zwei Jahre definitiv wert …

Aktuell kommt es vermehrt zu Phishing-Versuchen, die aufgrund einer stümperhaften Textmeldung jedoch sofort als solche zu erkennen sind und eher zu einem Schmunzeln als zu echter Besorgnis anregen.

Da es nun auch einen Freund von mir erwischt hat, kann ich euch heute einen entsprechenden Screenshot präsentieren:

Mein persönliches Highlight ist das Logo der Sparkasse Allgäu – welches immer erscheint, unabhängig davon, bei welcher Sparkasse man tatsächlich angemeldet ist.

Die miese Umsetzung dieses Phishing-Angriffs sollte euch allerdings nicht dazu veranlassen, ihn auf die leichte Schulter zu nehmen. Erscheint die obige Meldung auf eurem Bildschirm, ist euer Computer mit einem Online-Banking-Trojaner infiziert. Auch wenn euer Virenscanner behauptet, dass euer System sauber sei. Und um diesen Online-Banking-Trojaner rückstandslos wieder loszuwerden, solltet ihr eurer System komplett neu aufsetzen (Festplatte formatieren, Master Boot Record überschreiben, Betriebssystem und Anwendungen neu installieren).

Wie heise security heute berichtet, ist eine neue Variante des Online-Banking-Trojaners SpyEye entdeckt worden. Diese ist in der Lage, die beim Kreditinstitut hinterlegte Mobilfunknummer von smsTAN-Nutzern zu ändern. Der Angreifer ist danach in der Lage, sich die TANs an die eigene Nummer senden zu lassen.

Wie funktioniert der Angriff?

Im ersten Schritt wird der Rechner des Online-Banking-Teilnehmers auf üblichem Weg mit dem SpyEye-Trojaner infiziert. Ruft der Teilnehmer danach die Online-Banking-Seite seines Kreditinstitutes auf, wird er aufgefordert, sich für neue Schutzfunktionen zu registrieren. Hierzu soll der Teilnehmer von seinem Institut eine neue SIM-Karte erhalten, dessen dazugehörige Mobilfunknummer nun freigeschaltet werden müsse. Der Online-Banking-Nutzer erhält daraufhin eine SMS mit einer TAN, um die Registrierung der neuen Mobilfunknummer zu bestätigen.

Wie kann ich mich schützen?

Neben den allgemeinen Regeln zum Schutz vor Schadsoftware (Sicherheitsupdates, Firewall, Virenscanner, …) hilft beim smsTAN-Verfahren vor allem ein gesundes Misstrauen.

Egal was auf eurem Computerbildschirm steht, maßgeblich ist immer der Inhalt der SMS. Wenn ihr aufgefordert werdet, eine Mobilfunknummer zu bestätigen, die euch nicht gehört, sollten bei euch sämtliche Alarmglocken klingeln. Und zwar so laut, dass ihr dieser Aufforderung nicht nachkommt (dasselbe gilt übrigens auch für angebliche Testüberweisungen, die ihr zur Verifikation mit einer per SMS zugeschickten TAN bestätigen sollt).

Was soll ich tun, wenn mir solch eine Meldung angezeigt wird?

Wie immer gilt: Nicht in Panik geraten! Ein wenig ärgern dürft ihr euch allerdings schon, da aktuellen Trojanern mit Bordmitteln nicht mehr beizukommen ist und ihr um eine Neuinstallation eures Systems nicht herumkommen werdet. Hierzu muss die Festplatte formatiert und, ganz wichtig, der MBR (Master Boot Record) eurer Festplatte überschrieben werden. Danach könnt ihr das Betriebssystem mitsamt aller Anwendungen neu installieren.

Selbstverständlich solltet ihr auch euer Kreditinstitut informieren und euren Online-Banking-Zugang unverzüglich sperren lassen.