# taz.de -- Elektronischer Bankraub per Handy: "Zeus" zockt weiter ab
> Der Datenschädling "Zeus" räumte in Europa Millionen von
> Online-Banking-Konten ab. Jetzt sind erste Verantwortliche verhaftet.
> Doch die Abzocke geht weiter - sogar per Handy.
IMG Bild: Angeblich sicher: Transaktionsnummern per Handy.
Es dürfte das bislang größte Verfahren gegen Online-Gauner werden, die mit
Hilfe von Schädlingsprogrammen Online-Banking-Konten unvorsichtiger Nutzer
ausraubten: In Großbritannien und den USA sind mehr als 100 Menschen
angeklagt, die zu einem internationalen Internet-Bankräuberring gehören
sollen. Allein in den USA sollen dabei rund drei Millionen Dollar
eingenommen worden sein, in Großbritannien noch einmal zehn Millionen - die
Summe könnte aber noch steigen. Mindestens 20 Personen sitzen in Haft.
Noch ist allerdings unklar, ob wirklich auch Hintermänner gefasst werden
konnten. So sind die in den USA festgenommenen Personen vor allem
sogenannte "Mules", "Geldagenten", die im Auftrag ihnen unbekannter Dritter
Geld von ausgeraubten Opfern entgegennahmen und es weiterleiteten -
offenbar vor allem nach Osteuropa.
Dafür erhielten sie dann einen Prozentanteil der Beute, ließen sich durch
die Polizei aber auch leicht ermitteln. Sie sollen unter anderem durch
Anzeigen in russischen Zeitungen angeworben worden sein.
Der bei den virtuellen Raubzügen eingesetzte Datenschädling, genannt
"Zeus", kursiert seit mindestens Frühjahr 2010. Er kam unter anderem per
Spam-E-Mail auf die Festplatte Betroffener, und nutzte bis vor kurzem
Windows-Sicherheitslücken aus.
Zeus wird über ein sogenanntes Botnetz zusammengehalten: Angegriffen werden
nicht nur einzelne Rechner, sondern gleich viele Hundert, die dann zentral
gesteuert werden können, um möglichst viele weitere Rechner zu
infiltrieren.
Während in den USA und Großbritannien die Ermittlungsbehörden versuchen,
das Netz der gut organisierten Online-Bankräuber zu durchschauen, geht die
Abzocke allerdings unverdrossen weiter.
Varianten von Zeus kursieren nämlich immer noch, wobei unklar ist, wer sie
kontrolliert. Bekannt ist nur, dass immer neue Versionen auftauchen, die
zudem ständig anpassungsfähiger und "schlauer" werden.
Der bislang wohl heimtückischste Zeus-Spross nistet sich auf Smartphones
ein. Wie das IT-Sicherheitsunternehmen S21Sec in dieser Woche bekannt gab,
hat es eine Version isoliert, die geschickt den PC-Schädling mit
Handy-Malware kombiniert.
Zeus öffnet dazu auf befallenen Rechnern ein Fenster und fordert den
Benutzer auf, sein Mobiltelefon als "neues Sicherheitsmerkmal" anzugeben.
Dort kann er dann sowohl Gerätemarke als auch Telefonnummer eingeben.
"Unterstützt" werden derzeit einige Blackberry-Modelle und Handys mit
Symbian-Betriebssystem, das vor allem von Nokia genutzt wird. Hat das Opfer
seine Daten eingegeben, erhält es eine SMS mit einem angeblichen
Sicherheitsupdate, manchmal wird auch ein "Nokia Update" angekündigt.
Klickt man auf den in der SMS enthaltenen Link, wird dann eine
Handy-Version von Zeus heruntergeladen, die S21Sec "Zitmo" (für "Zeus
Man-in-the-Mobile") getauft hat.
Einmal auf dem Gerät, belauscht Zitmo den Ein- und Ausgang von SMS. Selbige
werden mittlerweile bei zahlreichen Banken nämlich für so genannte "mTANs"
verwendet, mobile Transaktionsnummern, die man zur Bestätigung von
Online-Banking-Überweisungen eingeben muss.
Da sie über das Handy versendet werden und damit einen zweiten, vom PC
unabhängigen Kanal verwenden, gelten mTANs als Sicherheitsgewinn.
Allerdings hört Zitmo genau die nun ab und sendet sie zu seinen Urhebern,
die dann das Konto abräumen können.
Unschönerweise besaß Zitmo bis vor kurzem sogar ein gültiges
Entwickler-Sicherheitszertifikat, das dafür sorgte, dass auf Nokia-Handys
bei der Installation keine Fehlermeldung auftrat, wie sie sonst bei Codes
zwielichtigen Ursprungs auftaucht. Immerhin wurde das Zertifikat
mittlerweile zurückgezogen, so dass ahnungslose Nutzer zumindest einmal
gewarnt werden. Allerdings sind viele Smartphone-Besitzer gewohnt, solche
Hinweise einfach wegzudrücken.
Die Attacke durch Zitmo zeigt, dass man mittlerweile auch auf Handys, die
längst kleine Computer sind, höllisch aufpassen muss, was man installiert.
Leichtgläubigkeit, so meinen auch die Sicherheitsforscher von S21Sec, sei
da völlig fehl am Platze.
1 Oct 2010
## AUTOREN
DIR Ben Schwan
## ARTIKEL ZUM THEMA