Auch das Phishing mit Malware hat sich weiter entwickelt und hinterhältige Formen hervorgebracht.

Die Verbreitung der Malware erfolgt zumeist mittels eines Loaders. Dabei handelt sich meistens um sehr kleine Kommandopakete, die zusammen mit attraktiven Anwendungen, Dokumenten oder Bildern einnisten und installieren (1). Nach der Methode, die auch die Botnetz-Malware verwendet, nimmt der Loader sodann Kontakt zu seinem Update-Server auf und lädt die Programmteile und Einstellungen, die als Malware zum Einsatz kommen sollen. Auf diese Weise können auch neue Bestandteile installiert oder die Tarnung erneuert werden (2).
 

 
Die ersten bekannt gewordenen Formen überwachten und protokollierten den Homebanking-Vorgang, brachen eine Überweisung des Opfers nach Eingabe der Transaktionsnummer – TAN – ab und übermittelten die Kontozugangsdaten, also Kontonummer und Persönliche Identifikationsnummer – PIN – sowie die ausgespähte TAN an die Drop Zone, den sicheren Speicherort des Täters. Danach kappte die Malware die Internetverbindung des Opfers und verhinderte die Wiederaufnahme der Verbindung. Aus der Drop Zone nahm der Täter die ausgespähten Daten auf auf und missbrauchte das Konto des Opfers mit etwas zeitlichem Verzug.

Nach der Einführung des iTAN-Verfahrens (3) funktioniert diese Form des Missbrauchs nicht mehr, weil mit einer beliebigen TAN keine Anweisung mehr freigeschaltet werden kann. Neue Arbeitsweisen mit der Malware hebeln aber auch diese Sicherheitsmaßnahme aus (3a).
  

 
Neuere Methoden führen den Missbrauch während der Homebanking-Session des Opfers aus (4). Das kann so geschehen, dass die Malware selbständig eine Überweisung generiert mit Empfängerdaten, die ihr entweder fest einprogrammiert sind oder die sie vom Update-Server holt. Von dem Opfer erfordert sie entweder mit Tricks die Eingabe der vom Bankserver erforderten iTAN (z.B. mit einem Sicherheitshinweis oder anlässlich von Seitenaufrufen, die üblicherweise keine Angabe einer iTAN verlangen (wie bei der Kontoübersicht) oder sie wartet, bis das Opfer selber eine Transaktion ausführt. In diesen Fällen wird dem Opfer mit entsprechend manipulierten Bildschirmanzeigen vorgegaukelt, dass nur die von ihm gewollte Transaktion ausgeführt oder bestätigt wird.

Eine Variante davon übermittelt den Beginn der Homebanking-Session dem Täter, der sich dann als Man-in-the-Middle einklinken kann und die beschriebenen Manipulationen von Hand durchführen kann (5).
 

 
Gegen solche Angriffe kann sich der Anwender nur mit durchdachten Abwehrmaßnahmen schützen. Zur Grundausstattung gehören eine persönliche Firewall und ein immer wieder aktualisierter Virenscanner sowie die Verwendung eines Benutzerkontos ohne Administratorenrechte. Damit kann die Infektion mit Malware äußerst erschwert werden, weil sie entweder sofort erkannt oder ihre Installation verhindert werden kann. Dabei beschränkt die Firewall die Übertragungswege zum Internet und überwacht die verbleibenden. Die Antivirensoftware überprüft die aus dem Internet geladenen Dateien auf schädliche Bestandteile, soweit sie ihr bekannt sind. Der Ausschluss von Administratorenrechten verhindert, dass sich Programme installieren. Wenn der Anwender jedoch meint, ein harmloses Programm oder eine gewünschte Programmerweiterung zu installieren, kann sich dahinter auch die Installation der Malware verbergen.

Der Loader kann sich aber auch im Router des Heimnetzwerkes oder im BIOS (6) des infizierten Rechners verbergen, so dass sie bei jedem Neustart und zum Beispiel auch dann aktiviert werden, nachdem das System völlig neu aufgesetzt werden. 
 

 
Methoden mit höherer Sicherheit sind aufwändig. Sie können darin bestehen, dass alle Homebanking-Sessions und Webshop-Bestellungen nur von einem PC aus durchgeführt werden, der „sauber“ ist und für nichts anderes verwendet wird. Das erfordert, ebenso wie die übrigen Abhilfemaßnahmen, Disziplin und Aufwand vom Anwender. Eine probate Methode besteht darin, Homebanking und andere manipulationsgefährdete Aktionen nicht mit dem normal gestarteten Computer auszuführen, sondern das System mit einer CD oder DVD zu starten, die zwar ein vollwertiges Betriebssystem und eine hilfreiche Umgebung bieten, aber keine Schreibrechte zulassen. Die hat unlängst eine DVD für das sichere Online-Banking vorgestellt und an seine Leser verteilt (7). Eine nur von erfahrenen Anwendern und Experten zugängliche Methode besteht darin, das Homebanking in einer gekapselten virtuellen Maschine durchzuführen, die nach jeder Anwendung wieder gelöscht wird.
 

 
Auch die Sicherheitsunternehmen versuchen, Lösungen zu entwickeln, die auch auf verseuchten Rechnern die Aktivitäten der Malware unterbinden soll. Eine Lösung, das Programm SiteTrust von der Firma Verdasys, tarnt sich selber mit den Methoden der Tarnkappentechnik ( Rootkit) und soll die Manipulationen der Malware von einer tiefen Systemebene aus unterbinden (8). Genau dort, im Kernel, also dem Betriebssystemkern, operieren bereits einzelne Erscheinungsformen der Malware mit denselben Methoden, die auch SiteTrust verwenden will. Sie werden sich von dem Sicherheitsprogramm nicht unterbinden lassen. 

(1) Drive-by-Download, siehe Malware: online

(2) Formularfelder von Trojaner Limbo

(3) Sicherheit von Homebanking-Portalen

(3a) 07.12.2008: Jüngst ist der Trojan. PWS. ChromeInject.A aufgetaucht, der sich als Browser-Applikation tarnt: Trojaner tarnt sich als Firefox-Plug-in, tecchannel 05.12.2008;
Trojaner in Firefox-Add-on stiehlt Zugangsdaten für Banken, Heise online 05.12.2008

(4) Daniel Bachfeld, Dunkle Flecken. Neuartige Angriffe überrumpeln Webanwender, c't 11/08, S.82

(5) Phishing: The Man in the Middle
 

 
(6) Onlinedurchsuchung: Angriffsobjekt PC

(7) Daniel Bachfeld, Sicheres Online-Banking. Zahl oder Karte. Sicherer Zugriff aufs Online-Konto, c't 17/2008, S. 94;
Mirko Dölle, Abgehärtet. Sicheres Online-Banking mit c't Bankix, c't 17/08, Seite 104

(8) Erica Naone, Sichere Transaktionen mit PC-Virenschleudern, Technology Review 16.10.2008;
Rootkit sichert infizierte Rechner beim Online-Banking, Heise online 16.10.2008