Das mobile TAN (mTAN) Verfahren scheint auch nicht so sicher, wie es von den Banken angepriesen wird. Bei dem mTAN-Verfahren…

 

… werden die TAN’s für Online-Bankgeschäfte auf das Handy des Kunden geschickt, mit denen dieser über einen Webbrowser dann etwa eine Online-Überweisung legitimiert. Diese unabhängigen Übertragungswege sollten die üblichen Pishing- und Trojanerangriffe verhindern. Man kann eine Überweisung nur durchführen, wenn man 1. die Bankverbindung incl. der PIN sowie das für dieses Konto angemeldete Onlinekonto Handy.
Die Entwickler von ZeuS haben einen Weg gefunden, mit Hilfe von Trojanern den PC sowie das dazugehörige Handy zu infizieren.

Bei dieser Vorgehensweise wird in mehreren Schritten vorgegangen. Zuerst muss nach wie vor der Rechner mit einem Trojaner infiziert werden. Dann wird dem Opfer beim Öffnen der OnlineBanking Homepage eine nachgemachte Seite (Pishing) im Browser angezeigt, die vorgibt, das aufgrund von Sicherheitsaktualisierungen die angemeldete Handynummer angegeben werden muss um auf dieses Handy den Link für die Aktualisierung per SMS zuzusenden. Der Trojaner auf dem Rechner versendet dann einen Link auf das Handy, bei dem ein Download neuer Sicherheitszertifikate anpriesen wird. In den angeblichen Zertifikaten versteckt sich allerdings die Mobilversion von ZeuS, die alle eingehenden Nachrichten analysiert und weiterleitet.

Diese Methode ist zwar noch nicht weit verbreitet, aber kriminelle Trojaner Entwickler könnten bald auf diesen Zug aufspringen.

Derweil hat McAfee eine Analyse des Trojanerbaukastens „ZeuS Builder“ in seinem Blog veröffentlicht, mit dem sich Kriminelle mit wenigen Klicks ihre maßgeschneiderte ZeuS-Version zusammenstellen können. Demnach ist ZeuS auch in der Lage, die Eingaben auf virtuellen Tastaturen mitzulesen, bei der man PINs und TANs nicht per Tastatur sondern per Mausklick eingibt.