E-Banking-Trojaner Gozi: Das raten Experten

Die Schadsoftware «Gozi ISFB», die gestern die Website von «20 Minuten» beeinträchtigte, hat Schweizer Nutzer im Visier. So können Sie sich schützen.

Im Visier der Hacker: Unter anderem Finanzinformationen.

Im Visier der Hacker: Unter anderem Finanzinformationen.

(Bild: Keystone Gaetan Bally)

Jan Rothenberger@janro

Schadsoftware auf den Servern von «20 Minuten»: Die Melde- und Analysestelle Informationssicherung des Bundes schlug am Mittwoch Alarm, nachdem in der Bundesverwaltung Infektionen festgestellt worden waren, und sperrte die Website des Newsportals am Donnerstag vorübergehend. Inzwischen ist die schädliche Software im System von «20 Minuten» identifiziert und gelöscht worden. Ziel des Angriffs war, die Malware Gozi ISFB auf die Rechner von Surfern zu schleusen.

Was weiss man über den Gozi-Trojaner?

Gozi ISFB ist eine Schadsoftware, die von Hackern immer wieder neu aufgelegt wird. Der Gozi-Trojaner war erstmals 2007 entdeckt worden. Ein IT-Sicherheitsunternehmen deckte damals auf, dass die Malware Tausende Rechner infiziert und Bankdaten auf den befallenen Systemen gesammelt hatte.

2013 wurden mehrere Personen verhaftet, die mutmasslich an der Entwicklung von Gozi beteiligt waren. Die Geschichte der Schadsoftware endet dort allerdings nicht. Es existieren frische Generationen des Trojaners, der nach wie vor im Netz kursiert und von anderen Cyberkriminellen weiterentwickelt und genutzt wird. So tauchte Gozi ISFB in der Vergangenheit regelmässig wieder auf, in einer jeweils erneuerten und damit auch wieder gefährlichen Version. Laut Daniel Roethlisberger, Sicherheitsspezialist bei Switch, werde die jetzige Variante auf dem Schwarzmarkt gehandelt. In der aktuellen Version wurde diese von unbekannten Tätern erworben und eingesetzt.

Wie läuft eine Infektion ab?

Roethlisberger erklärt auf Anfrage den typischen Ablauf: Cyberkriminelle verschaffen sich Zugang zu einer Schwachstelle in einer Website. Über diese wird Schadsoftware auf den Rechner eines Besuchers geschleust. Ein sogenanntes Exploit-Kit, quasi eine Werkzeugkiste spezialisiert auf Sicherheitslücken, sucht nach Einfallstoren im Browser. Findet das Exploit-Kit eine solche, infiziert sie den Rechner mit der eigentlichen Malware. Im Fall von Gozi ISFB ist dies ein E-Banking-Trojaner. Dieser heftet sich an den Browser und spioniert unter anderem Onlinebanking-Aktivitäten aus. «Die Malware klinkt sich ein und liest mit», so Roethlisberger. Auch sei Gozi ISFB in der Lage, vom Nutzer unbemerkt Transaktionen zu machen. Neben mehreren Schweizer Banken seien davon auch Portale von Versicherungen und Onlinehändlern betroffen.

Was kann der Gozi-Trojaner?

«Gozi ISFB ist ein typischer Vertreter seiner Art von Malware», so Roethlisberger. Hier seien keine Amateure am Werk. Die aktuelle Version sei seit April 2015 in der Schweiz im Einsatz. Die Täter gehen laut Roethlisberger geschickt vor, so sei die Schadsoftware gezielt auf den hiesigen Markt ausgerichtet. Sie werde auf Schweizer Websites eingeschleust und ziele gleichzeitig auf Schweizer Banken und Onlineportale. Dabei sei sie auf diese angepasst und in der Lage, Zielwebsites zu manipulieren. So spielt der Gozi-Trojaner dem Nutzer normale Abläufe auf seinem Banking-Portal vor, saugt im Hintergrund aber Daten ab und nimmt im Verborgenen Transaktionen vor.

Gemäss Security Intelligence ist der Trojaner in der Lage, verschiedene Webbrowser zu infizieren, neben dem Internet Explorer auch Firefox, Chrome, Opera und Edge.

Eine Infografik von Switch zeigte bereits Anfang Jahr die Infektionen mit Gozi, die ein gehackter Werbeserver an einem einzelnen Tag in der Schweiz verursachte, nämlich rund 1500.

Bild: Switch (zvg)

Wie stellt man fest, ob man betroffen ist?

Laut Sicherheitsexperte Roethlisberger gibt es Warnzeichen, die Nutzer beachten sollten. Etwa, dass sich ein E-Banking-Portal anders verhalte als gewohnt: Zum Beispiel durch eine wiederholte Aufforderung zur Passwortangabe, ungewöhnlich lange Ladezeiten oder Wartehinweise, die vorher nicht auftraten. Betroffen seien ausschliesslich Laptops und Desktop-Computer, auf den Befall mobiler Geräte gebe es keine Hinweise. Den wirksamsten Schutz böten gängige Antivirenprogramme. Zwar seien aktuell nicht alle in der Lage, auch die neusten Malware-Varianten aufzuspüren. Das dürfte sich aber rasch ändern, so Roethlisberger.

Wie schützt man sich vor dem Gozi-Trojaner?

Roethlisberger rät dazu, seinen Rechner softwaremässig auf dem neusten Stand zu halten. Dazu gehöre neben Betriebssystem und Browser auch Software wie Flash, Acrobat-Reader oder Java. «Wer Updates aufschiebt, lebt jeden Tag etwas gefährlicher.» Wer keinen aktuellen Virenscanner im Einsatz hat, sollte dringend einen solche installieren. Roethlisberger betont, dass Gozi ISFB längst nicht die einzige Schadsoftware ist, mit der Cyberkriminelle derzeit in der Schweiz operieren. Ein wehrhaftes System sei darum nicht nur beim Schutz vor dem E-Banking-Trojaner wichtig, sondern auch bei anderen Cyber-Bedrohungen.

Wie vorgehen bei Verdacht auf Infektion?

Wer Warnzeichen beobachtet hat oder von Antivirensoftware über eine Infektion informiert wurde, tut gut daran, seine E-Banking- und Onlineshopping-Aktivitäten zu überprüfen. «In diesen Fällen sollten sich Nutzer an den Kundendienst wenden», rät Roethlisberger. Wichtig sei dabei, nicht die auf dem Portal angegebene Hotline anzurufen, da die Cyberkriminellen in der Lage seien, hier eine gefälschte Nummer anzuzeigen. Die Telefonnummer aus den Unterlagen zu wählen, sei die sichere Alternative. Fachlich versierte Nutzer können den Gozi-Trojaner anhand von online auffindbaren Anleitungen selbst entfernen. Allerdings empfiehlt Daniel Roethlisberger, auf Antivirensoftware zu setzen. Zum anderen sei das meist die zuverlässigere Methode, zum anderen hätten Sicherheitsprogramme den Vorteil, auch weitere mögliche Infektionen zu entdecken.

Bernerzeitung.ch/Newsnetz

Diese Inhalte sind für unsere Abonnenten. Sie haben noch keinen Zugang?

Erhalten Sie unlimitierten Zugriff auf alle Inhalte:

  • Exklusive Hintergrundreportagen
  • Regionale News und Berichte
  • Tolle Angebote für Kultur- und Freizeitangebote

Abonnieren Sie jetzt