E-Banking kann so löchrig sein wie Schweizer Käse. Dies behaupten die Sicherheitsexperten von Trend Micro. 2017 haben sie die «Operation Emmental» analysiert, eine «grossangelegte Schadsoftware-Kampagne», die seit Jahren gezielt auf Schweizer E-Banking-Nutzer abzielt. Diese Woche haben die Betrüger wieder zugeschlagen.
Der Angriff am Dienstagmorgen dauerte nur wenige Stunden, war aber heftig. In mehreren Kantonen waren auf einen Schlag aussergewöhnlich viele gefälschte E-Mails in Umlauf, die angeblich von der Polizei stammen. Im Anhang findet sich eine infizierte Word- oder Zip-Datei. Wer den Anhang öffnet, fängt sich einen E-Banking-Trojaner namens Retefe ein. Die Opfer wurden gezielt angeschrieben. Die Angreifer kannten nicht nur Name und E-Mail-Adresse, sondern auch die Postadresse.
Die Retefe-Gang oder «Operation Emmental» – so nennen Sicherheits-Experten die kriminellen Hacker – hat es seit Jahren auf Schweizer E-Banking-Nutzer abgesehen. Die Cyberabwehr-Einheit des Bundes beobachtet und analysiert die Angriffswellen seit 2013.
Die ersten Warnungen gab es am Dienstagmorgen im Aargau, in Basel-Landschaft, in Bern, aber auch in der Ost- und Zentralschweiz sowie in Schaffhausen und in Zürich. Wie viele Schweizer angeschrieben wurden, lässt sich nicht genau eruieren. Die gemeldeten Fälle sind immer nur die Spitze des Eisbergs. Bei früheren Angriffswellen sollen Hunderttausende dieser Phishing-Mails verschickt worden sein.
Die Kantonspolizei Zürich spricht im aktuellen Fall von «sehr vielen Meldungen aus der Bevölkerung in sehr kurzer Zeit». Bei der Kantonspolizei Aargau gingen rund ein Dutzend Meldungen ein, bei der Kantonspolizei Thurgau waren es «innerhalb weniger Stunden rund zwei Dutzend Rückmeldungen aus der Bevölkerung, was für unsere Verhältnisse eine grosse Zahl ist», sagt Mediensprecher Daniel Meili.
Das ist derzeit unklar. Stand heute lässt sich nur mit Sicherheit sagen, dass es sich bei der via E-Mail verbreiteten Malware um eine Version des seit 2014 bekannten E-Banking-Trojaners Retefe handelt. «Die Akteure ‹bearbeiten› den Schweizer Markt schon seit Jahren», sagt Daniel Stirnimann, Security-Experte bei Switch.
«Die Urheberschaft dürfte via ausländische Server agieren», sagt Roland Pfister von der Kapo Aargau. Die Ermittlungen könnten Monate dauern, da die Schweizer Behörden bei Online-Angriffen aus dem Ausland nicht selbst in anderen Ländern ermitteln dürfen, sondern auf die Kooperation anderer Staaten angewiesen sind. Je nach Land mahlen die juristischen Mühlen besonders langsam.
Den Phishing-Angriff bemerkt hat auch das Cyber Defence Team (CSIRT) der Swisscom. Aber auch dort weiss oder sagt man nicht, wer konkret hinter dem Angriff steckt.
Wir sehen die selbe #Malspam Welle auch im Namen der #SBB («Ihre Sbb Quittung vom 06.03.2018») und #Swisscom («Ticketsbestellung für Swisscom Schweiz AG»). Ausführungspfad: Word > cmd > powershell > C:\Users\Public\[0-9]{5}.exe https://t.co/byIeoPD5LO
— Swisscom CSIRT (@swisscom_csirt) 6. März 2018
Bei der Melde- und Analysestelle Informationssicherung (MELANI) heisst es, «es sei noch viel zu früh», etwas über die Täter zu sagen.
Im Kanton Zürich ermittelt die Abteilung Cybercrime der Kantonspolizei. Man arbeite dabei mit anderen Polizei-Corps und Bundesstellen wie MELANI zusammen.
Bei MELANI heisst es jedoch, man habe keinen Ermittlungsauftrag, daher habe «die Lokalisierung der Täterschaft» für sie «nicht oberste Priorität».
Das versendete Word-Dokument enthält keinen Trojaner, dieser wird erst beim Öffnen des Dokuments heruntergeladen. Es sei «aussergewöhnlich schwierig, die E-Mails zu filtern», sagt Swisscom-Mediensprecherin Sabrina Hubacher. Die Gründe dafür:
Der E-Banking-Trojaner wird beim Öffnen des Mail-Anhangs aus dem Internet heruntergeladen. Wichtig ist daher, dass diese infizierten Webseiten von den Providern schnell gesperrt werden. «Sobald Swisscom Kenntnis davon hat, werden die entsprechenden URLs blockiert. In diesem Fall die URLs infizierter Seiten, von welchen die Malware runtergeladen wird.»
Die Stiftung Switch, die für den Betrieb und die Sicherheit der Schweizer Internetadressen verantwortlich ist, bietet einen Dienst an, der die Infektion von Retefe verhindern soll. «In den meisten Fällen wird der Schadcode vom Internet nachgeladen. Unser DNS-Firewall-Service blockiert diese Zugriffe, da wir diese Kampagnen automatisch detektieren», sagt Daniel Stirnimann, Security-Experte bei Switch.
Nicht zwingend. Selbst wenn Angreifer Zugriff auf das Bankkonto haben, müssten weitere Sicherheitsmassnahmen überwunden werden. So würden die Banken mit dem Kunden persönlich Kontakt aufnehmen, falls eine Zahlungsanweisung in besonderer Höhe oder Art (Auslandsüberweisung) vorliegt.
Um die langfristigen Ermittlungen nicht zu gefährden, erteilt die Kapo Zürich keine konkreten Auskünfte. Denkbar ist also, dass die Hintermänner früherer Retefe-Angriffe längst im Gefängnis sitzen, aber inzwischen Nachahmungstäter aktiv sind. Hinter dem aktuellen Angriff müssen also nicht zwingend die gleichen kriminellen Hacker stecken, die bereits vor fünf Jahren erstmals mit einem Vorläufer des heutigen Retefe-Trojaners aktiv in Erscheinung traten.
Die Retefe-Gang nutzt für ihre Angriffe seit Jahren ein kleines Botnet aus infizierten Computern. Werden die Kriminellen verhaftet, bleibt das Botnet allenfalls aktiv und kann von Nachahmungstätern weiter genutzt werden.
Die Angreifer schreiben ihre potenziellen Opfer in den aktuellen Phishing-Mails persönlich an. Sie kennen auch die Adresse oder den Wohnort, wodurch der Betrugsversuch schwerer zu durchschauen wird. «Dies ist möglich aus dem Zusammenführen von öffentlich zugänglichen Daten oder Angeboten im Schwarzmarkt», sagt Sabrina Hubacher, Mediensprecherin bei Swisscom.
«Die Angreifer haben bereits in der Vergangenheit gestohlene und/oder gekaufte Daten benutzt, um personalisierte E-Mails zu versenden», sagt Daniel Stirnimann, Security-Experte bei Switch. So seien zum Beispiel vor ein paar Monaten die Daten der gehackten Website dvd-shop.ch genutzt worden, um Schweizern personalisierte Phishing-Mails zu senden. Beim gehackten DVD-Shop wurden 70'000 Datensätze mit E-Mail-Adresse, Name, Wohnadresse und Passwort erbeutet. Besonders gravierend: «Der Datenabfluss von dvd-shop.ch war längere Zeit online verfügbar», sagt Max Klaus von MELANI.
«Um welche Daten es sich bei der aktuellen Spam-Kampagne handelt, können wir nicht sagen», heisst es bei Switch.
«Darüber lässt sich nur spekulieren. Es ist aber denkbar, dass hier gewisse Recherche-Arbeit getätigt wurde, indem zum Beispiel Informationen aus verschiedenen Datenabflüssen miteinander kombiniert worden sind», sagt Klaus von MELANI.
Die Datensätze aus dem Digitec- und DVD-Shop-Hack «wurden bereits in früheren Kampagnen benutzt. Wir bezweifeln daher, dass diese hier erneut verwendet wurden, können das aber nicht ausschliessen», sagt Stirnimann von Switch. Der Security-Experte geht davon aus, dass die nun genutzten Namen und Adressen von neuen Datenlecks stammen.
Retefe wird seit 2014 weiter entwickelt und die Angriffe perfektioniert. Retefe-Versionen gibt es für Windows, Mac und Android.
Eigentlich schlägt das Mac-System Alarm, wenn unsignierte, sprich nicht vertrauenswürdige Programme, installiert werden sollen. Für die Retefe-Gang ist es aber offenbar kein Problem, sich auf dem Schwarzmarkt so genannte Entwickler-IDs zu verschaffen und so den Schutz des Betriebssystems vor Malware auszuhebeln.
Bei der Android-Version von Retefe handelt es sich um einen «SMS Stealer», also eine App, die es den Angreifern erlaubt, den per SMS übermittelten Sicherheits-Code (TAN) der Bank abzugreifen. Die Angreifer können so selbst die zweistufige Anmeldung des E-Bankings überwinden.
Windows-Nutzer erhalten meist ein Word-Dokument, Mac-Nutzer eine Zip-Datei. Wird die Datei geöffnet, lädt ein Makro den Trojaner aus dem Netz herunter.
Ursprünglich änderte Retefe lediglich die DNS-Einstellungen des Computers. So konnten die Angreifer die E-Banking-Anmeldung auf eine kopierte E-Banking-Website umleiten. Der E-Banking-Nutzer gibt sein Passwort also auf einer Website ein, die wie die echte Banken-Website aussieht, aber von den Angreifern betrieben wird. Seit 2014 haben die Angreifer Retefe weiterentwickelt und ihre Methoden immer wieder variiert.
Neue Retefe-Versionen werden von Virenscannern und Betriebssystemen in den ersten Stunden der Malware-Verbreitung oft nicht als Malware erkannt, da Retefe kaum von gutartiger Software unterschieden werden kann. Das gilt auch für das Windows-eigene Schutzprogramm Windows Defender. Stark vereinfacht gesagt, verhält sich Retefe wie normale Programme, die beispielsweise von IT-Administratoren genutzt werden. Die Schadsoftware ist quasi eine Umkonfiguration eines Computersystems, was per se nicht bösartig ist. Die Antivirenhersteller können daher meist erst nach einer neuen Angriffswelle auf die neue Retefe-Version reagieren.
Da die Retefe-Gang ihre Malware mit gültigen Entwickler-Zertifikaten ausstattet, schlägt auch das Betriebssystem in den ersten Stunden oder Tagen des Angriffs nicht Alarm. Erst wenn Apple oder Microsoft reagieren, wird Retefe vom Betriebssystem erkannt.
Diese Website zeigt, ob dein Virenscanner die neuste Retefe-Version erkennt.
Retefe greift Windows-PCs bereits seit 2014 an. Ab April 2017 beobachteten die Behörden erstmals gezielte Angriffe mit Retefe gegen Mac-Nutzer. Die Kriminellen versuchen zuerst herauszufinden, welches Betriebssystem und welche Software ihre potenziellen Opfer installiert haben. Hierzu senden sie zunächst eine E-Mail mit einem sogenannten Tracking-Pixel. Das ist ein 1x1-Pixel grosses Bild, das für den Nutzer unsichtbar ist.
Wenn dieses Bild heruntergeladen wird (was abhängig von der E-Mail-Konfiguration automatisch geschehen kann), wird eine Verbindung mit dem Server der Angreifer aufgebaut, auf dem das Bild abgespeichert ist. Nun werden automatisch verschiedenste Daten über den Computer des Opfers (Mail-Programm, Webbrowser, Betriebssystem etc.) an die Angreifer übermittelt.
In einem zweiten Schritt senden sie eine präparierte E-Mail, die auf das entsprechende Betriebssystem – Windows oder Mac – zugeschnitten ist.
Offenbar, sonst wäre die Retefe-Gang nicht weiter aktiv. Der E-Banking-Trojaner «leitet täglich zwischen 10 und 90 E-Banking-Sitzungen um», schrieben die Cyberabwehr-Spezialisten des Bundes Anfang August 2017.
Das Retefe-Botnet besteht laut Computer Emergency Response Team des Bundes (GovCERT) in der Regel nur aus 100 bis 300 infizierten Computern. Es ist aber offenbar gross genug, um genügend «Einkommen» für die Angreifer zu generieren. Sonst hätte die Kampagne, die auch gegen Nutzer in Österreich, Schweden und Japan abzielt, nicht länger als fünf Jahre gedauert.
Die Retefe-Gang betreibt einen beträchtlichen technischen Aufwand, um Schweizer E-Banking-Nutzer auszunehmen. Die Betrüger – dabei muss es sich nicht immer um die selben Täter handeln – haben ihre Angriffsmethoden seit 2013 kontinuierlich perfektioniert. Auf den ersten Blick erstaunt es daher, dass sie sich bei den Phishing-Mails nicht ebenso viel Mühe geben. Die E-Mails kommen nach wie vor oft in holprigem Deutsch daher. Die Kriminellen machen sich nicht mal die Mühe, die E-Mail-Adresse zu verschleiern. Weshalb?
Denkbar ist, dass sie bewusst auf Opfer abzielen, die besonders unvorsichtig sind. Das sind die dankbarsten Opfer. Die mögliche Logik der Täter: Wer auf eine schlecht gefälschte E-Mail hereinfällt, fällt auch auf eine manipulierte E-Banking-Website herein. Umgekehrt würde ein besonders vorsichtiger Internetnutzer vermutlich weder auf die Phishing-Mail noch auf auf die gefälschte E-Banking-Anmeldung hereinfallen.
«Diese Datei wurde mit einer früheren Version von Microsoft Office Word erstellt.» Um die Word-Datei öffnen zu können, müsse man auf «Inhalte aktivieren» klicken. Klingt pausibel, allerdings deaktiviert man so den Schutz vor gefährlichen Makros und Retefe wird aus dem Internet heruntergeladen.
Die Geschichte der Retefe-Gang geht bis aufs Jahr 2013 zurück. Die Angreifer versuchten damals die Kunden mehrerer Schweizer Banken mit dem damals bekannten Trojaner Citadel um ihr Geld zu bringen. 2014 tauchte erstmals eine völlig neue Malware auf: Retefe. Die Angreifer verschickten im Namen bekannter Firmen wie LeShop oder Zalando infizierte Word-Dateien im RTF-Format. Wohl darum taufte Microsoft die neue Malware auf den Namen ReTeFe.