Warnung an die Kunden von zwölf Schweizer Banken: Laut der Schweizer Internetregistrierungsstelle Switch reiten Hacker derzeit eine grossangelegte Attacke gegen die E-Banking-Konten – mit einer perfiden Methode, die kaum Spuren hinterlässt.

Beim Virus handelt es sich um einen neuartigen Trojaner namens Retefe, teilte Switch-Sicherheitsexperte Serge Droz am Dienstag auf Anfrage der Nachrichtenagentur sda mit. Er bestätigte einen entsprechenden Bericht der Onlineausgabe der «Handelszeitung». Den grossangelegten Angriff auf Bankkunden machte ursprünglich das Informatiksicherheitsunternehmen Trend Micro publik.

Spam-Mail manipuliert Computer

Der Angriff läuft folgendermassen ab: Der Bankkunde öffnet eine Spam-Mail, diese manipuliert den Rechner. Das Programm löscht sich nach erfolgreicher Infektion selbst. Sobald der Kunde dann die E-Banking-Seite seiner Bank aufruft, wird er auf einen falschen Server umgeleitet. Dort sieht er eine kopierte Seite seiner Bank. Damit ist es passiert. Der Kunde gibt seine Sicherheitsinformationen ein, diese gelangen so an die Betrüger.

Danach wird der Kunde dazu angehalten, auf seinem Smartphone eine manipulierte App zu installieren. Diese schickt dann die Sicherheits-SMS (mTan) der Bank an die Angreifer weiter. Die Kriminellen haben damit volle Kontrolle über den E-Banking-Zugang des Opfers.

E-Banking-Kunden betroffen

Gegen welche zwölf Banken sich der Angriff richtet, konnte Droz nicht sagen. Betroffen seien in der Schweiz aber vor allem grössere Retailbanken. Genaue Namen könnten auch deshalb nicht bekanntgegeben werden, weil sich die Liste periodisch ändere.

Trotzdem sei es für Kunden leicht festzustellen, ob sie betroffen seien: «Wurden Sie beim E-Banking aufgefordert, eine App auf Ihrem Mobiltelefon zu installieren, sind sie Opfer der Kriminellen.» Betroffene Kunden sollten schnellstmöglich ihre Bank informieren. So könnten betrügerische Zahlungen gestoppt werden.

«Besonderer Angriff»

Der Fall sei in zweierlei Hinsicht besonders, teilte Droz mit. «Erstens sind nur Banken in der Schweiz, Österreich, Deutschland und Japan betroffen.» Deshalb könnten die Angreifer ungestörter agieren. Zweitens sei der Angriff auf der Opferseite fast nicht erkennbar.

«Der eingeschleuste Virus nimmt zwei, nur für Fachleute überhaupt sichtbare Änderungen vor und löscht sich danach», schrieb Droz. Es sei praktisch kein Indiz auf einem betroffenen Computer auffindbar. «Insbesondere Antivirensoftware findet nichts.»

Die Internetregistrierungsstelle hat spezielle Massnahmen ergriffen, um gegen den Hackerangriff vorzugehen: «Wir überwachen diesen Trojaner, seit er in die Schweiz kam», schrieb Droz. Ende 2013 war die Schadsoftware erstmals aufgetaucht. Durch Analysen hätte ein Grossteil der Angreiferinfrastruktur ausser Betrieb genommen werden können.

SDA/thu