Digital
Schweiz

E-Banking-Betrug mit Phishing-Mails: Das sind die Tricks der kriminellen Hacker

Seit 5 Jahren attackieren diese Hacker Schweizer E-Banking-Nutzer – das musst du wissen

Seit 2013 greift die Retefe-Gang gezielt Schweizer E-Banking-Nutzer an. Das solltest du über die «Operation Emmental» wissen.
08.03.2018, 18:2109.03.2018, 09:27
Mehr «Digital»

E-Banking kann so löchrig sein wie Schweizer Käse. Dies behaupten die Sicherheitsexperten von Trend Micro. 2017 haben sie die «Operation Emmental» analysiert, eine «grossangelegte Schadsoftware-Kampagne», die seit Jahren gezielt auf Schweizer E-Banking-Nutzer abzielt. Diese Woche haben die Betrüger wieder zugeschlagen.

Was ist passiert?

Der Angriff am Dienstagmorgen dauerte nur wenige Stunden, war aber heftig. In mehreren Kantonen waren auf einen Schlag aussergewöhnlich viele gefälschte E-Mails in Umlauf, die angeblich von der Polizei stammen. Im Anhang findet sich eine infizierte Word- oder Zip-Datei. Wer den Anhang öffnet, fängt sich einen E-Banking-Trojaner namens Retefe ein. Die Opfer wurden gezielt angeschrieben. Die Angreifer kannten nicht nur Name und E-Mail-Adresse, sondern auch die Postadresse.

Die Retefe-Gang oder «Operation Emmental» – so nennen Sicherheits-Experten die kriminellen Hacker – hat es seit Jahren auf Schweizer E-Banking-Nutzer abgesehen. Die Cyberabwehr-Einheit des Bundes beobachtet und analysiert die Angriffswellen seit 2013. 

Wie viele Schweizer sind betroffen?

Die ersten Warnungen gab es am Dienstagmorgen im Aargau, in Basel-Landschaft, in Bern, aber auch in der Ost- und Zentralschweiz sowie in Schaffhausen und in Zürich. Wie viele Schweizer angeschrieben wurden, lässt sich nicht genau eruieren. Die gemeldeten Fälle sind immer nur die Spitze des Eisbergs. Bei früheren Angriffswellen sollen Hunderttausende dieser Phishing-Mails verschickt worden sein.

Die Kantonspolizei Zürich spricht im aktuellen Fall von «sehr vielen Meldungen aus der Bevölkerung in sehr kurzer Zeit». Bei der Kantonspolizei Aargau gingen rund ein Dutzend Meldungen ein, bei der Kantonspolizei Thurgau waren es «innerhalb weniger Stunden rund zwei Dutzend Rückmeldungen aus der Bevölkerung, was für unsere Verhältnisse eine grosse Zahl ist», sagt Mediensprecher Daniel Meili.

Wer steckt hinter dem Angriff?

Das ist derzeit unklar. Stand heute lässt sich nur mit Sicherheit sagen, dass es sich bei der via E-Mail verbreiteten Malware um eine Version des seit 2014 bekannten E-Banking-Trojaners Retefe handelt. «Die Akteure ‹bearbeiten› den Schweizer Markt schon seit Jahren», sagt Daniel Stirnimann, Security-Experte bei Switch. 

«Die Urheberschaft dürfte via ausländische Server agieren», sagt Roland Pfister von der Kapo Aargau. Die Ermittlungen könnten Monate dauern, da die Schweizer Behörden bei Online-Angriffen aus dem Ausland nicht selbst in anderen Ländern ermitteln dürfen, sondern auf die Kooperation anderer Staaten angewiesen sind. Je nach Land mahlen die juristischen Mühlen besonders langsam.

Den Phishing-Angriff bemerkt hat auch das Cyber Defence Team (CSIRT) der Swisscom. Aber auch dort weiss oder sagt man nicht, wer konkret hinter dem Angriff steckt.

Bei der Melde- und Analysestelle Informationssicherung (MELANI) heisst es, «es sei noch viel zu früh», etwas über die Täter zu sagen.

Was unternimmt die Polizei?

Im Kanton Zürich ermittelt die Abteilung Cybercrime der Kantonspolizei. Man arbeite dabei mit anderen Polizei-Corps und Bundesstellen wie MELANI zusammen.

Bei MELANI heisst es jedoch, man habe keinen Ermittlungsauftrag, daher habe «die Lokalisierung der Täterschaft» für sie «nicht oberste Priorität».

Warum filtern E-Mail-Provider die gefährlichen E-Mails nicht als Spam?

Das versendete Word-Dokument enthält keinen Trojaner, dieser wird erst beim Öffnen des Dokuments heruntergeladen. Es sei «aussergewöhnlich schwierig, die E-Mails zu filtern», sagt Swisscom-Mediensprecherin Sabrina Hubacher. Die Gründe dafür:

  • «Die Retefe-Malware wird für jeden dieser Angriffe neu erstellt. Sie muss also bei jedem Angriff von den Virenscanner-Herstellern neu ‹gelernt› werden.
  • Der Angriff war kurz und präzise, sogenanntes Spear Phishing. Nur eine Handvoll Empfängeradressen war ungültig.
  • Es wurden viele kompromittierte, gültige Absender verwendet, die auf keiner Blacklist stehen.
  • Die Eigenschaften der E-Mails haben stark variiert, beispielsweise unterschiedlicher, personalisierter Betreff und Nachrichteninhalt.»

Was unternehmen die Provider bei solchen Angriffswellen?

Der E-Banking-Trojaner wird beim Öffnen des Mail-Anhangs aus dem Internet heruntergeladen. Wichtig ist daher, dass diese infizierten Webseiten von den Providern schnell gesperrt werden. «Sobald Swisscom Kenntnis davon hat, werden die entsprechenden URLs blockiert. In diesem Fall die URLs infizierter Seiten, von welchen die Malware runtergeladen wird.»

Die Stiftung Switch, die für den Betrieb und die Sicherheit der Schweizer Internetadressen verantwortlich ist, bietet einen Dienst an, der die Infektion von Retefe verhindern soll. «In den meisten Fällen wird der Schadcode vom Internet nachgeladen. Unser DNS-Firewall-Service blockiert diese Zugriffe, da wir diese Kampagnen automatisch detektieren», sagt Daniel Stirnimann, Security-Experte bei Switch.

Können die Täter wirklich seit 2013 ungehindert Schweizer Bankkonten leeren?

Nicht zwingend. Selbst wenn Angreifer Zugriff auf das Bankkonto haben, müssten weitere Sicherheitsmassnahmen überwunden werden. So würden die Banken mit dem Kunden persönlich Kontakt aufnehmen, falls eine Zahlungsanweisung in besonderer Höhe oder Art (Auslandsüberweisung) vorliegt.

Um die langfristigen Ermittlungen nicht zu gefährden, erteilt die Kapo Zürich keine konkreten Auskünfte. Denkbar ist also, dass die Hintermänner früherer Retefe-Angriffe längst im Gefängnis sitzen, aber inzwischen Nach­ah­mungs­tä­ter aktiv sind. Hinter dem aktuellen Angriff müssen also nicht zwingend die gleichen kriminellen Hacker stecken, die bereits vor fünf Jahren erstmals mit einem Vorläufer des heutigen Retefe-Trojaners aktiv in Erscheinung traten.

Die Retefe-Gang nutzt für ihre Angriffe seit Jahren ein kleines Botnet aus infizierten Computern. Werden die Kriminellen verhaftet, bleibt das Botnet allenfalls aktiv und kann von Nach­ah­mungs­tä­tern weiter genutzt werden.

Warum kennt die Retefe-Gang Name und Adresse ihrer Opfer?

Die Angreifer schreiben ihre potenziellen Opfer in den aktuellen Phishing-Mails persönlich an. Sie kennen auch die Adresse oder den Wohnort, wodurch der Betrugsversuch schwerer zu durchschauen wird. «Dies ist möglich aus dem Zusammenführen von öffentlich zugänglichen Daten oder Angeboten im Schwarzmarkt», sagt Sabrina Hubacher, Mediensprecherin bei Swisscom.

«Die Angreifer haben bereits in der Vergangenheit gestohlene und/oder gekaufte Daten benutzt, um personalisierte E-Mails zu versenden», sagt Daniel Stirnimann, Security-Experte bei Switch. So seien zum Beispiel vor ein paar Monaten die Daten der gehackten Website dvd-shop.ch genutzt worden, um Schweizern personalisierte Phishing-Mails zu senden. Beim gehackten DVD-Shop wurden 70'000 Datensätze mit E-Mail-Adresse, Name, Wohnadresse und Passwort erbeutet. Besonders gravierend: «Der Datenabfluss von dvd-shop.ch war längere Zeit online verfügbar», sagt Max Klaus von MELANI.

«Um welche Daten es sich bei der aktuellen Spam-Kampagne handelt, können wir nicht sagen», heisst es bei Switch.

Stammen die nun genutzten Namen und Adressen aus dem Digitec-Hack?

«Darüber lässt sich nur spekulieren. Es ist aber denkbar, dass hier gewisse Recherche-Arbeit getätigt wurde, indem zum Beispiel Informationen aus verschiedenen Datenabflüssen miteinander kombiniert worden sind», sagt Klaus von MELANI.

Die Datensätze aus dem Digitec- und DVD-Shop-Hack «wurden bereits in früheren Kampagnen benutzt. Wir bezweifeln daher, dass diese hier erneut verwendet wurden, können das aber nicht ausschliessen», sagt Stirnimann von Switch. Der Security-Experte geht davon aus, dass die nun genutzten Namen und Adressen von neuen Datenlecks stammen. 

Welche Betriebssysteme sind gefährdet?

Retefe wird seit 2014 weiter entwickelt und die Angriffe perfektioniert. Retefe-Versionen gibt es für Windows, Mac und Android.

Eigentlich schlägt das Mac-System Alarm, wenn unsignierte, sprich nicht vertrauenswürdige Programme, installiert werden sollen. Für die Retefe-Gang ist es aber offenbar kein Problem, sich auf dem Schwarzmarkt so genannte Entwickler-IDs zu verschaffen und so den Schutz des Betriebssystems vor Malware auszuhebeln.

2017 tauchte Retefe erstmals für Mac auf. Die Schadsoftware kann sich beispielsweise als macOS-Update ausgeben.
2017 tauchte Retefe erstmals für Mac auf. Die Schadsoftware kann sich beispielsweise als macOS-Update ausgeben.bild: govcert.admin

Bei der Android-Version von Retefe handelt es sich um einen «SMS Stealer», also eine App, die es den Angreifern erlaubt, den per SMS übermittelten Sicherheits-Code (TAN) der Bank abzugreifen. Die Angreifer können so selbst die zweistufige Anmeldung des E-Bankings überwinden.

Ist der PC infiziert, wird der Nutzer bei der E-Banking-Anmeldung aufgefordert, eine App zu installieren, um den Sicherheitscode für das E-Banking zu erhalten. Die bösartige App überwacht das Handy un ...
Ist der PC infiziert, wird der Nutzer bei der E-Banking-Anmeldung aufgefordert, eine App zu installieren, um den Sicherheitscode für das E-Banking zu erhalten. Die bösartige App überwacht das Handy und schickt den von der Bank übermittelten Sicherheitscode (TAN) in der echten SMS an die Betrüger. (Handy-Nutzer können die Grafik antippen, um sie zu vergrössern.)bild: trend micro

Was macht der E-Banking-Trojaner auf dem PC oder Mac?

Windows-Nutzer erhalten meist ein Word-Dokument, Mac-Nutzer eine Zip-Datei. Wird die Datei geöffnet, lädt ein Makro den Trojaner aus dem Netz herunter.

Ursprünglich änderte Retefe lediglich die DNS-Einstellungen des Computers. So konnten die Angreifer die E-Banking-Anmeldung auf eine kopierte E-Banking-Website umleiten. Der E-Banking-Nutzer gibt sein Passwort also auf einer Website ein, die wie die echte Banken-Website aussieht, aber von den Angreifern betrieben wird. Seit 2014 haben die Angreifer Retefe weiterentwickelt und ihre Methoden immer wieder variiert. 

Für die technisch Interessierten: So funktioniert Retefe
Daniel Stirnimann, Security-Experte bei Switch, erklärt die Problematik so: «Die Retefe-Schadsoftware ist im Grunde nur ein Powershell-Script. Es werden diverse legitime Programme vom Internet nachgeladen wie z.B. Tor. Danach wird ein lokales TLS-Root-Zertifikat installiert, damit die Angreifer für jegliche HTTPS-Verbindungen Zertifikate ausstellen können, die von den infizierten Computern als vertrauenswürdig eingestuft werden. Schliesslich wird der Web-Browser umkonfiguriert, damit er einen Proxyserver über Tor verwendet. Auf diesem Proxy-Server entscheiden die Angreifer, welchen Datenverkehr sie manipulieren möchten. Die Retefe-Schadsoftware ist eine reine ‹Umkonfiguration› eines Systems, wie es auch von der internen IT-Abteilung gemacht werden könnte. Das macht es für Antiviren-Programme schwierig, eine Infektion zu erkennen.»

Erkennen Windows, Mac oder Virenscanner den Trojaner?

Neue Retefe-Versionen werden von Virenscannern und Betriebssystemen in den ersten Stunden der Malware-Verbreitung oft nicht als Malware erkannt, da Retefe kaum von gutartiger Software unterschieden werden kann. Das gilt auch für das Windows-eigene Schutzprogramm Windows Defender. Stark vereinfacht gesagt, verhält sich Retefe wie normale Programme, die beispielsweise von IT-Administratoren genutzt werden. Die Schadsoftware ist quasi eine Umkonfiguration eines Computersystems, was per se nicht bösartig ist. Die Antivirenhersteller können daher meist erst nach einer neuen Angriffswelle auf die neue Retefe-Version reagieren.

Da die Retefe-Gang ihre Malware mit gültigen Entwickler-Zertifikaten ausstattet, schlägt auch das Betriebssystem in den ersten Stunden oder Tagen des Angriffs nicht Alarm. Erst wenn Apple oder Microsoft reagieren, wird Retefe vom Betriebssystem erkannt.

Diese Website zeigt, ob dein Virenscanner die neuste Retefe-Version erkennt.

Warum wissen die Hacker, ob ich Windows oder Mac nutze?

Retefe greift Windows-PCs bereits seit 2014 an. Ab April 2017 beobachteten die Behörden erstmals gezielte Angriffe mit Retefe gegen Mac-Nutzer. Die Kriminellen versuchen zuerst herauszufinden, welches Betriebssystem und welche Software ihre potenziellen Opfer installiert haben. Hierzu senden sie zunächst eine E-Mail mit einem sogenannten Tracking-Pixel. Das ist ein 1x1-Pixel grosses Bild, das für den Nutzer unsichtbar ist.

Wenn dieses Bild heruntergeladen wird (was abhängig von der E-Mail-Konfiguration automatisch geschehen kann), wird eine Verbindung mit dem Server der Angreifer aufgebaut, auf dem das Bild abgespeichert ist. Nun werden automatisch verschiedenste Daten über den Computer des Opfers (Mail-Programm, Webbrowser, Betriebssystem etc.) an die Angreifer übermittelt.

In einem zweiten Schritt senden sie eine präparierte E-Mail, die auf das entsprechende Betriebssystem – Windows oder Mac – zugeschnitten ist.

Die erste E-Mail versucht (automatisch) zu tracken, welches Mail-Programm, welchen Webbrowser und welches Betriebssystem das Opfer nutzt. Die zweite E-Mail versucht einen E-Banking-Trojaner (z.B. Rete ...
Die erste E-Mail versucht (automatisch) zu tracken, welches Mail-Programm, welchen Webbrowser und welches Betriebssystem das Opfer nutzt. Die zweite E-Mail versucht einen E-Banking-Trojaner (z.B. Retefe) zu installieren, der gezielt auf Windows- oder Mac zugeschnitten ist.

Fällt überhaupt noch jemand auf diese Masche herein?

Offenbar, sonst wäre die Retefe-Gang nicht weiter aktiv. Der E-Banking-Trojaner «leitet täglich zwischen 10 und 90 E-Banking-Sitzungen um», schrieben die Cyberabwehr-Spezialisten des Bundes Anfang August 2017.

Im Juli 2017 leitete Retefe pro Tag 10 bis 90 E-Banking-Sitzungen auf eine gefälschte Banken-Website um.
Im Juli 2017 leitete Retefe pro Tag 10 bis 90 E-Banking-Sitzungen auf eine gefälschte Banken-Website um.bild: govcert.admin

Das Retefe-Botnet besteht laut Computer Emergency Response Team des Bundes (GovCERT) in der Regel nur aus 100 bis 300 infizierten Computern. Es ist aber offenbar gross genug, um genügend «Einkommen» für die Angreifer zu generieren. Sonst hätte die Kampagne, die auch gegen Nutzer in Österreich, Schweden und Japan abzielt, nicht länger als fünf Jahre gedauert.

Warum fallen Menschen immer noch auf Phishing-Mails herein?

Die Retefe-Gang betreibt einen beträchtlichen technischen Aufwand, um Schweizer E-Banking-Nutzer auszunehmen. Die Betrüger – dabei muss es sich nicht immer um die selben Täter handeln – haben ihre Angriffsmethoden seit 2013 kontinuierlich perfektioniert. Auf den ersten Blick erstaunt es daher, dass sie sich bei den Phishing-Mails nicht ebenso viel Mühe geben. Die E-Mails kommen nach wie vor oft in holprigem Deutsch daher. Die Kriminellen machen sich nicht mal die Mühe, die E-Mail-Adresse zu verschleiern. Weshalb?

Denkbar ist, dass sie bewusst auf Opfer abzielen, die besonders unvorsichtig sind. Das sind die dankbarsten Opfer. Die mögliche Logik der Täter: Wer auf eine schlecht gefälschte E-Mail hereinfällt, fällt auch auf eine manipulierte E-Banking-Website herein. Umgekehrt würde ein besonders vorsichtiger Internetnutzer vermutlich weder auf die Phishing-Mail noch auf auf die gefälschte E-Banking-Anmeldung hereinfallen.

Welche Tricks nutzt die Retefe-Gang, um ihre Opfer zu täuschen?

  • Unbekannte rufen Schweizer Firmen an und behaupten, sie seien von der Post oder einem privaten Paketdienst. Da das Paket angeblich nicht ausgeliefert werden konnte, brauche man die E-Mail-Adresse, um weitere Informationen zur Zustellung senden zu können. Gibt man die E-Mail-Adresse an, erhält man einen Link, der Retefe herunterlädt.
  • Die Angreifer nutzen die natürliche Neugierde der Menschen und bringen ihre Opfer mit kleinen Tricks dazu, gefährliche Makros in Word-Dateien auszuführen oder das Admin-Passwort beim Mac-Betriebssystem einzugeben, so dass sich Retefe installieren kann.
Microsoft Word schützt den Nutzer eigentlich vor Malware. Die Betrüger versuchen ihre Opfer aber mit dieser Nachricht dazu zu verleiten, den Schutz zu deaktivieren, damit sich Retefe installieren kann ...
Microsoft Word schützt den Nutzer eigentlich vor Malware. Die Betrüger versuchen ihre Opfer aber mit dieser Nachricht dazu zu verleiten, den Schutz zu deaktivieren, damit sich Retefe installieren kann.

«Diese Datei wurde mit einer früheren Version von Microsoft Office Word erstellt.» Um die Word-Datei öffnen zu können, müsse man auf «Inhalte aktivieren» klicken. Klingt pausibel, allerdings deaktiviert man so den Schutz vor gefährlichen Makros und Retefe wird aus dem Internet heruntergeladen.

  • Auch auf Mac-Computern kann sich Retefe über infizierte Word-Dateien oder Zip-Archive verbreiten. Retefe gibt sich zum Beispiel als macOS-Update aus. Es gaukelt dem Nutzer vor, er müsse das Admin-Passwort eingeben, um das Update installieren zu können. Erhält das Programm Admin-Rechte, kann der Trojaner das Betriebssystem beliebig manipulieren.
  • Wohl am häufigsten erhalten die potenziellen Opfer E-Mails, die angeblich von bekannten Firmen wie Zalando, Digitec, Swiss, Post, Swisscom, SBB etc. stammen. Die Betrüger spekulieren, dass ein paar zufällig Angeschriebene die E-Mail nur überfliegen bzw. gar nicht lesen, weil sie gerade ein Ticket gekauft, einen Flug gebucht oder etwas bestellt haben und bloss möglichst schnell die Bestätigung im Anhang sehen wollen. 
  • Bei angeblichen E-Mails der Polizei oder von Steuerämtern spielen die Betrüger mit der Neugier der Menschen. Wer wie im aktuellen Fall vom Dienstag dieser Woche mit seinem Vor- und Nachnamen von der Polizei aus dem eigenen Wohnort angeschrieben wird, schöpft vermutlich weniger Verdacht als bei einer unpersönlichen E-Mail.
Die E-Mails täuschen vor, von einem Polizeiposten am Wohnort der adressierten Person zu stammen und Informationen über eine gefährliche Person im näheren Umfeld zu enthalten. Weitere Infos könne man d ...
Die E-Mails täuschen vor, von einem Polizeiposten am Wohnort der adressierten Person zu stammen und Informationen über eine gefährliche Person im näheren Umfeld zu enthalten. Weitere Infos könne man der angehängten Datei entnehmen.

Warum heisst der Trojaner Retefe?

Die Geschichte der Retefe-Gang geht bis aufs Jahr 2013 zurück. Die Angreifer versuchten damals die Kunden mehrerer Schweizer Banken mit dem damals bekannten Trojaner Citadel um ihr Geld zu bringen. 2014 tauchte erstmals eine völlig neue Malware auf: Retefe. Die Angreifer verschickten im Namen bekannter Firmen wie LeShop oder Zalando infizierte Word-Dateien im RTF-Format. Wohl darum taufte Microsoft die neue Malware auf den Namen ReTeFe.

Neue Sicherheitslücke bedroht Computer. So schützt du dich

Video: srf

Die bösartigsten Computer-Attacken aller Zeiten

1 / 16
Die bösartigsten Computer-Attacken aller Zeiten
Der Lösegeld-Trojaner «WannaCry» geht als bislang grösste Ransomware-Attacke in die IT-Annalen ein. Früher war aber nicht alles besser, im Gegenteil! Wir zeigen dir eine Auswahl der schlimmsten Malware-Attacken ...
Auf Facebook teilenAuf X teilen
DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Das könnte dich auch noch interessieren:
17 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
Hardy18
08.03.2018 19:08registriert Oktober 2015
Ich frag warum einige immer noch glauben, Behörden, Banken etc wollen einen was wichtiges per Mail mitteilen? Alle samt kommunizieren per Post.
842
Melden
Zum Kommentar
avatar
Watson=Propagandahuren
08.03.2018 19:30registriert Februar 2018
Dann ist ja gut führen nicht gewählte Leute ein E-Voting ein ohne dass wir uns je dafür ausgesprochen hätten.
546
Melden
Zum Kommentar
avatar
Valentin Möller
08.03.2018 21:39registriert Februar 2018
Swisscom sagte nach dem klau des Datensatzes, dies sei nicht sehr schlimm.
Jedoch beinhaltete dieser meines Wissens exakt die Informationen, welche für spear phishing benötigt.

Bei der Swisscom wurden doch 800‘000 Personendaten gestohlen. Der DVD-Shop hatte „nur“ 70‘000. Warum wurde also dieser erwähnt?
441
Melden
Zum Kommentar
17
«Anmassende Boni-Exzesse»: FDP-Präsident ruft zu mehr Bescheidenheit auf

FDP-Parteipräsident Thierry Burkart kritisiert die Bezüge von UBS-Chef Sergio Ermotti. Der Tessiner habe zwar nach der Zwangsfusion der CS und der UBS Vertrauen geschaffen. Doch seine Vergütung von 14,4 Millionen Franken nach neun Monaten an der Spitze der UBS sei unverhältnismässig und stossend und «schlicht eine Ohrfeige».

Zur Story