Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.

Seit 5 Jahren attackieren diese Hacker Schweizer E-Banking-Nutzer – das musst du wissen

Seit 2013 greift die Retefe-Gang gezielt Schweizer E-Banking-Nutzer an. Das solltest du über die «Operation Emmental» wissen.



E-Banking kann so löchrig sein wie Schweizer Käse. Dies behaupten die Sicherheitsexperten von Trend Micro. 2017 haben sie die «Operation Emmental» analysiert, eine «grossangelegte Schadsoftware-Kampagne», die seit Jahren gezielt auf Schweizer E-Banking-Nutzer abzielt. Diese Woche haben die Betrüger wieder zugeschlagen.

Was ist passiert?

Der Angriff am Dienstagmorgen dauerte nur wenige Stunden, war aber heftig. In mehreren Kantonen waren auf einen Schlag aussergewöhnlich viele gefälschte E-Mails in Umlauf, die angeblich von der Polizei stammen. Im Anhang findet sich eine infizierte Word- oder Zip-Datei. Wer den Anhang öffnet, fängt sich einen E-Banking-Trojaner namens Retefe ein. Die Opfer wurden gezielt angeschrieben. Die Angreifer kannten nicht nur Name und E-Mail-Adresse, sondern auch die Postadresse.

Die Retefe-Gang oder «Operation Emmental» – so nennen Sicherheits-Experten die kriminellen Hacker – hat es seit Jahren auf Schweizer E-Banking-Nutzer abgesehen. Die Cyberabwehr-Einheit des Bundes beobachtet und analysiert die Angriffswellen seit 2013. 

Wie viele Schweizer sind betroffen?

Die ersten Warnungen gab es am Dienstagmorgen im Aargau, in Basel-Landschaft, in Bern, aber auch in der Ost- und Zentralschweiz sowie in Schaffhausen und in Zürich. Wie viele Schweizer angeschrieben wurden, lässt sich nicht genau eruieren. Die gemeldeten Fälle sind immer nur die Spitze des Eisbergs. Bei früheren Angriffswellen sollen Hunderttausende dieser Phishing-Mails verschickt worden sein.

Die Kantonspolizei Zürich spricht im aktuellen Fall von «sehr vielen Meldungen aus der Bevölkerung in sehr kurzer Zeit». Bei der Kantonspolizei Aargau gingen rund ein Dutzend Meldungen ein, bei der Kantonspolizei Thurgau waren es «innerhalb weniger Stunden rund zwei Dutzend Rückmeldungen aus der Bevölkerung, was für unsere Verhältnisse eine grosse Zahl ist», sagt Mediensprecher Daniel Meili.

Wer steckt hinter dem Angriff?

Das ist derzeit unklar. Stand heute lässt sich nur mit Sicherheit sagen, dass es sich bei der via E-Mail verbreiteten Malware um eine Version des seit 2014 bekannten E-Banking-Trojaners Retefe handelt. «Die Akteure ‹bearbeiten› den Schweizer Markt schon seit Jahren», sagt Daniel Stirnimann, Security-Experte bei Switch. 

«Die Urheberschaft dürfte via ausländische Server agieren», sagt Roland Pfister von der Kapo Aargau. Die Ermittlungen könnten Monate dauern, da die Schweizer Behörden bei Online-Angriffen aus dem Ausland nicht selbst in anderen Ländern ermitteln dürfen, sondern auf die Kooperation anderer Staaten angewiesen sind. Je nach Land mahlen die juristischen Mühlen besonders langsam.

Den Phishing-Angriff bemerkt hat auch das Cyber Defence Team (CSIRT) der Swisscom. Aber auch dort weiss oder sagt man nicht, wer konkret hinter dem Angriff steckt.

Bei der Melde- und Analysestelle Informationssicherung (MELANI) heisst es, «es sei noch viel zu früh», etwas über die Täter zu sagen.

Was unternimmt die Polizei?

Im Kanton Zürich ermittelt die Abteilung Cybercrime der Kantonspolizei. Man arbeite dabei mit anderen Polizei-Corps und Bundesstellen wie MELANI zusammen.

Bei MELANI heisst es jedoch, man habe keinen Ermittlungsauftrag, daher habe «die Lokalisierung der Täterschaft» für sie «nicht oberste Priorität».

Warum filtern E-Mail-Provider die gefährlichen E-Mails nicht als Spam?

Das versendete Word-Dokument enthält keinen Trojaner, dieser wird erst beim Öffnen des Dokuments heruntergeladen. Es sei «aussergewöhnlich schwierig, die E-Mails zu filtern», sagt Swisscom-Mediensprecherin Sabrina Hubacher. Die Gründe dafür:

Was unternehmen die Provider bei solchen Angriffswellen?

Der E-Banking-Trojaner wird beim Öffnen des Mail-Anhangs aus dem Internet heruntergeladen. Wichtig ist daher, dass diese infizierten Webseiten von den Providern schnell gesperrt werden. «Sobald Swisscom Kenntnis davon hat, werden die entsprechenden URLs blockiert. In diesem Fall die URLs infizierter Seiten, von welchen die Malware runtergeladen wird.»

Die Stiftung Switch, die für den Betrieb und die Sicherheit der Schweizer Internetadressen verantwortlich ist, bietet einen Dienst an, der die Infektion von Retefe verhindern soll. «In den meisten Fällen wird der Schadcode vom Internet nachgeladen. Unser DNS-Firewall-Service blockiert diese Zugriffe, da wir diese Kampagnen automatisch detektieren», sagt Daniel Stirnimann, Security-Experte bei Switch.

Können die Täter wirklich seit 2013 ungehindert Schweizer Bankkonten leeren?

Nicht zwingend. Selbst wenn Angreifer Zugriff auf das Bankkonto haben, müssten weitere Sicherheitsmassnahmen überwunden werden. So würden die Banken mit dem Kunden persönlich Kontakt aufnehmen, falls eine Zahlungsanweisung in besonderer Höhe oder Art (Auslandsüberweisung) vorliegt.

Um die langfristigen Ermittlungen nicht zu gefährden, erteilt die Kapo Zürich keine konkreten Auskünfte. Denkbar ist also, dass die Hintermänner früherer Retefe-Angriffe längst im Gefängnis sitzen, aber inzwischen Nach­ah­mungs­tä­ter aktiv sind. Hinter dem aktuellen Angriff müssen also nicht zwingend die gleichen kriminellen Hacker stecken, die bereits vor fünf Jahren erstmals mit einem Vorläufer des heutigen Retefe-Trojaners aktiv in Erscheinung traten.

Die Retefe-Gang nutzt für ihre Angriffe seit Jahren ein kleines Botnet aus infizierten Computern. Werden die Kriminellen verhaftet, bleibt das Botnet allenfalls aktiv und kann von Nach­ah­mungs­tä­tern weiter genutzt werden.

Warum kennt die Retefe-Gang Name und Adresse ihrer Opfer?

Die Angreifer schreiben ihre potenziellen Opfer in den aktuellen Phishing-Mails persönlich an. Sie kennen auch die Adresse oder den Wohnort, wodurch der Betrugsversuch schwerer zu durchschauen wird. «Dies ist möglich aus dem Zusammenführen von öffentlich zugänglichen Daten oder Angeboten im Schwarzmarkt», sagt Sabrina Hubacher, Mediensprecherin bei Swisscom.

«Die Angreifer haben bereits in der Vergangenheit gestohlene und/oder gekaufte Daten benutzt, um personalisierte E-Mails zu versenden», sagt Daniel Stirnimann, Security-Experte bei Switch. So seien zum Beispiel vor ein paar Monaten die Daten der gehackten Website dvd-shop.ch genutzt worden, um Schweizern personalisierte Phishing-Mails zu senden. Beim gehackten DVD-Shop wurden 70'000 Datensätze mit E-Mail-Adresse, Name, Wohnadresse und Passwort erbeutet. Besonders gravierend: «Der Datenabfluss von dvd-shop.ch war längere Zeit online verfügbar», sagt Max Klaus von MELANI.

«Um welche Daten es sich bei der aktuellen Spam-Kampagne handelt, können wir nicht sagen», heisst es bei Switch.

Stammen die nun genutzten Namen und Adressen aus dem Digitec-Hack?

«Darüber lässt sich nur spekulieren. Es ist aber denkbar, dass hier gewisse Recherche-Arbeit getätigt wurde, indem zum Beispiel Informationen aus verschiedenen Datenabflüssen miteinander kombiniert worden sind», sagt Klaus von MELANI.

Die Datensätze aus dem Digitec- und DVD-Shop-Hack «wurden bereits in früheren Kampagnen benutzt. Wir bezweifeln daher, dass diese hier erneut verwendet wurden, können das aber nicht ausschliessen», sagt Stirnimann von Switch. Der Security-Experte geht davon aus, dass die nun genutzten Namen und Adressen von neuen Datenlecks stammen. 

Welche Betriebssysteme sind gefährdet?

Retefe wird seit 2014 weiter entwickelt und die Angriffe perfektioniert. Retefe-Versionen gibt es für Windows, Mac und Android.

Eigentlich schlägt das Mac-System Alarm, wenn unsignierte, sprich nicht vertrauenswürdige Programme, installiert werden sollen. Für die Retefe-Gang ist es aber offenbar kein Problem, sich auf dem Schwarzmarkt so genannte Entwickler-IDs zu verschaffen und so den Schutz des Betriebssystems vor Malware auszuhebeln.

Bild

2017 tauchte Retefe erstmals für Mac auf. Die Schadsoftware kann sich beispielsweise als macOS-Update ausgeben. bild: govcert.admin

Bei der Android-Version von Retefe handelt es sich um einen «SMS Stealer», also eine App, die es den Angreifern erlaubt, den per SMS übermittelten Sicherheits-Code (TAN) der Bank abzugreifen. Die Angreifer können so selbst die zweistufige Anmeldung des E-Bankings überwinden.

Bild

Ist der PC infiziert, wird der Nutzer bei der E-Banking-Anmeldung aufgefordert, eine App zu installieren, um den Sicherheitscode für das E-Banking zu erhalten. Die bösartige App überwacht das Handy und schickt den von der Bank übermittelten Sicherheitscode (TAN) in der echten SMS an die Betrüger. (Handy-Nutzer können die Grafik antippen, um sie zu vergrössern.) bild: trend micro

Was macht der E-Banking-Trojaner auf dem PC oder Mac?

Windows-Nutzer erhalten meist ein Word-Dokument, Mac-Nutzer eine Zip-Datei. Wird die Datei geöffnet, lädt ein Makro den Trojaner aus dem Netz herunter.

Ursprünglich änderte Retefe lediglich die DNS-Einstellungen des Computers. So konnten die Angreifer die E-Banking-Anmeldung auf eine kopierte E-Banking-Website umleiten. Der E-Banking-Nutzer gibt sein Passwort also auf einer Website ein, die wie die echte Banken-Website aussieht, aber von den Angreifern betrieben wird. Seit 2014 haben die Angreifer Retefe weiterentwickelt und ihre Methoden immer wieder variiert. 

Für die technisch Interessierten: So funktioniert Retefe

Daniel Stirnimann, Security-Experte bei Switch, erklärt die Problematik so: «Die Retefe-Schadsoftware ist im Grunde nur ein Powershell-Script. Es werden diverse legitime Programme vom Internet nachgeladen wie z.B. Tor. Danach wird ein lokales TLS-Root-Zertifikat installiert, damit die Angreifer für jegliche HTTPS-Verbindungen Zertifikate ausstellen können, die von den infizierten Computern als vertrauenswürdig eingestuft werden. Schliesslich wird der Web-Browser umkonfiguriert, damit er einen Proxyserver über Tor verwendet. Auf diesem Proxy-Server entscheiden die Angreifer, welchen Datenverkehr sie manipulieren möchten. Die Retefe-Schadsoftware ist eine reine ‹Umkonfiguration› eines Systems, wie es auch von der internen IT-Abteilung gemacht werden könnte. Das macht es für Antiviren-Programme schwierig, eine Infektion zu erkennen.»

Erkennen Windows, Mac oder Virenscanner den Trojaner?

Neue Retefe-Versionen werden von Virenscannern und Betriebssystemen in den ersten Stunden der Malware-Verbreitung oft nicht als Malware erkannt, da Retefe kaum von gutartiger Software unterschieden werden kann. Das gilt auch für das Windows-eigene Schutzprogramm Windows Defender. Stark vereinfacht gesagt, verhält sich Retefe wie normale Programme, die beispielsweise von IT-Administratoren genutzt werden. Die Schadsoftware ist quasi eine Umkonfiguration eines Computersystems, was per se nicht bösartig ist. Die Antivirenhersteller können daher meist erst nach einer neuen Angriffswelle auf die neue Retefe-Version reagieren.

Da die Retefe-Gang ihre Malware mit gültigen Entwickler-Zertifikaten ausstattet, schlägt auch das Betriebssystem in den ersten Stunden oder Tagen des Angriffs nicht Alarm. Erst wenn Apple oder Microsoft reagieren, wird Retefe vom Betriebssystem erkannt.

Diese Website zeigt, ob dein Virenscanner die neuste Retefe-Version erkennt.

Warum wissen die Hacker, ob ich Windows oder Mac nutze?

Retefe greift Windows-PCs bereits seit 2014 an. Ab April 2017 beobachteten die Behörden erstmals gezielte Angriffe mit Retefe gegen Mac-Nutzer. Die Kriminellen versuchen zuerst herauszufinden, welches Betriebssystem und welche Software ihre potenziellen Opfer installiert haben. Hierzu senden sie zunächst eine E-Mail mit einem sogenannten Tracking-Pixel. Das ist ein 1x1-Pixel grosses Bild, das für den Nutzer unsichtbar ist.

Wenn dieses Bild heruntergeladen wird (was abhängig von der E-Mail-Konfiguration automatisch geschehen kann), wird eine Verbindung mit dem Server der Angreifer aufgebaut, auf dem das Bild abgespeichert ist. Nun werden automatisch verschiedenste Daten über den Computer des Opfers (Mail-Programm, Webbrowser, Betriebssystem etc.) an die Angreifer übermittelt.

In einem zweiten Schritt senden sie eine präparierte E-Mail, die auf das entsprechende Betriebssystem – Windows oder Mac – zugeschnitten ist.

Bild

Die erste E-Mail versucht (automatisch) zu tracken, welches Mail-Programm, welchen Webbrowser und welches Betriebssystem das Opfer nutzt. Die zweite E-Mail versucht einen E-Banking-Trojaner (z.B. Retefe) zu installieren, der gezielt auf Windows- oder Mac zugeschnitten ist.

Fällt überhaupt noch jemand auf diese Masche herein?

Offenbar, sonst wäre die Retefe-Gang nicht weiter aktiv. Der E-Banking-Trojaner «leitet täglich zwischen 10 und 90 E-Banking-Sitzungen um», schrieben die Cyberabwehr-Spezialisten des Bundes Anfang August 2017.

Bild

Im Juli 2017 leitete Retefe pro Tag 10 bis 90 E-Banking-Sitzungen auf eine gefälschte Banken-Website um. bild: govcert.admin

Das Retefe-Botnet besteht laut Computer Emergency Response Team des Bundes (GovCERT) in der Regel nur aus 100 bis 300 infizierten Computern. Es ist aber offenbar gross genug, um genügend «Einkommen» für die Angreifer zu generieren. Sonst hätte die Kampagne, die auch gegen Nutzer in Österreich, Schweden und Japan abzielt, nicht länger als fünf Jahre gedauert.

Warum fallen Menschen immer noch auf Phishing-Mails herein?

Die Retefe-Gang betreibt einen beträchtlichen technischen Aufwand, um Schweizer E-Banking-Nutzer auszunehmen. Die Betrüger – dabei muss es sich nicht immer um die selben Täter handeln – haben ihre Angriffsmethoden seit 2013 kontinuierlich perfektioniert. Auf den ersten Blick erstaunt es daher, dass sie sich bei den Phishing-Mails nicht ebenso viel Mühe geben. Die E-Mails kommen nach wie vor oft in holprigem Deutsch daher. Die Kriminellen machen sich nicht mal die Mühe, die E-Mail-Adresse zu verschleiern. Weshalb?

Denkbar ist, dass sie bewusst auf Opfer abzielen, die besonders unvorsichtig sind. Das sind die dankbarsten Opfer. Die mögliche Logik der Täter: Wer auf eine schlecht gefälschte E-Mail hereinfällt, fällt auch auf eine manipulierte E-Banking-Website herein. Umgekehrt würde ein besonders vorsichtiger Internetnutzer vermutlich weder auf die Phishing-Mail noch auf auf die gefälschte E-Banking-Anmeldung hereinfallen.

Welche Tricks nutzt die Retefe-Gang, um ihre Opfer zu täuschen?

Bild

Microsoft Word schützt den Nutzer eigentlich vor Malware. Die Betrüger versuchen ihre Opfer aber mit dieser Nachricht dazu zu verleiten, den Schutz zu deaktivieren, damit sich Retefe installieren kann.

«Diese Datei wurde mit einer früheren Version von Microsoft Office Word erstellt.» Um die Word-Datei öffnen zu können, müsse man auf «Inhalte aktivieren» klicken. Klingt pausibel, allerdings deaktiviert man so den Schutz vor gefährlichen Makros und Retefe wird aus dem Internet heruntergeladen.

Die E-Mails täuschen vor, von einem Polizeiposten am Wohnort der adressierten Person zu stammen und Informationen über eine gefährliche Person im näheren Umfeld zu enthalten. Weitere Infos könne man der angehängten Datei entnehmen.

Warum heisst der Trojaner Retefe?

Die Geschichte der Retefe-Gang geht bis aufs Jahr 2013 zurück. Die Angreifer versuchten damals die Kunden mehrerer Schweizer Banken mit dem damals bekannten Trojaner Citadel um ihr Geld zu bringen. 2014 tauchte erstmals eine völlig neue Malware auf: Retefe. Die Angreifer verschickten im Namen bekannter Firmen wie LeShop oder Zalando infizierte Word-Dateien im RTF-Format. Wohl darum taufte Microsoft die neue Malware auf den Namen ReTeFe.

Neue Sicherheitslücke bedroht Computer. So schützt du dich

Video: srf

Die bösartigsten Computer-Attacken aller Zeiten

Das könnte dich auch interessieren:

Magic Johnson vs. Larry Bird – ein College-Final als Beginn einer grossen Sportrivalität

Link zum Artikel

Die Schweiz befindet sich im Notstand – die 18 wichtigsten Antworten zur neuen Lage

Link zum Artikel

4 Gründe, weshalb die Corona-Zahlen des BAG wenig mit der Realität zu tun haben

Link zum Artikel

Lasst meinen Sex in Ruhe, ihr Ehe- und Kartoffel-Fanatiker!

Link zum Artikel

Die Fallzahlen steigen wieder leicht an – so sieht's in deinem Kanton aus

Link zum Artikel

Das iPad kriegt Radar? Darum ist der Lidar-Sensor eine kleine Revolution

Link zum Artikel

Corona International: EU beschliesst Einreisestopp ++ Italien mit 345 neuen Todesopfern

Link zum Artikel

Ein Virus beendet Jonas Hillers Karriere: «Es gäbe noch viel schlimmere Szenarien»

Link zum Artikel

Wie ansteckend sind Kinder wirklich? Was die Wissenschaft bis jetzt dazu weiss

Link zum Artikel

Deutschland knackt die Zwei-Millionen-Grenze

Link zum Artikel

Der Mann, der es wagt, Trump zu widersprechen

Link zum Artikel

So lief Tag 1 nach Bekanntgabe der «ausserordentliche Lage» für die Schweiz

Link zum Artikel

Wie ich nach 3 Stunden Möbelhaus von Wolke 7 plumpste

Link zum Artikel
Alle Artikel anzeigen
DANKE FÜR DIE ♥
Würdest du gerne watson und Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
Oder unterstütze uns per Banküberweisung.

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

Zoom hat's vermasselt – die unglaubliche Chronologie der Zoom-Fails

Zoom ist der grosse Profiteur der Corona-Pandemie. Über 200 Millionen Menschen tauschen sich täglich über die Videokonferenz-App aus. Doch nun tauchen täglich neue Probleme auf. IT-Experten nennen Zoom «ein Datenschutz-Desaster» oder schlicht «Schadsoftware».

Zoom wird seit Wochen von neuen Nutzern überrannt, da die Corona-Pandemie immer mehr Menschen dazu zwingt, von zuhause aus zu arbeiten. Das schlagende Argument des Skype-Rivalen sind die nahezu reibungslos funktionierenden Videoanrufe und Videokonferenzen. Egal ob mit zwei oder 100 Personen, egal ob am PC oder Smartphone, es funktioniert. Und zwar so einfach, dass es jede und jeder nutzen kann (sogar Boris Johnson).

>> Coronavirus: Alle News im Liveticker

Darum zoomen längst nicht nur …

Artikel lesen
Link zum Artikel