Retefe-Hackerangriff auf Schweizer Bankkunden: Was tun?

Unter dem Titel "Operation Emmental – so löchrig wie ein Schweizer Käse" veröffentlichte Trend Micro gestern eine Warnung, dass Hacker unter Verwendung eines Trojaners namens Retefe gerade dabei seien, Schweizer E-Banking-Kunden anzugreifen. Die Bundesstelle Melani (Melde- und Analysestelle Informationssicherung) gibt nun eine Teilentwarnung. Retefe sei den Behörden bereits seit November 2013 bekannt. Sie seien daher bereits seit 2013 mit verschiedensten Partnern in der Schweiz und Europa in Kontakt: "Unter diesen Partnern befinden sich auch die Schweizer Banken", so Melani.

Was tun?

Wie die Bundesstelle weiter schreibt, hätten die Banken bereits vor Monaten Gegenmassnahmen ergriffen. Melani empfiehlt den Schweizer E-Banking-Kunden aber trotzdem folgende Sicherheitsvorkehrungen einzuhalten, beziehungsweise folgende Hinweise zu beachten:

• Schweizer Banken werden ihre Kunden niemals per Mail dazu auffordern, Logindaten bekannt zu geben oder irgendwelche Apps auf dem Smartphone zu installieren.

• Der Virenschutz muss immer auf dem neusten Stand sein.

• Aktivieren Sie die Firewall auf Ihrem Computer und aktualisieren Sie diese regelmässig.

• Verwenden Sie immer aktuelle Betriebssysteme und Web-Browserversionen. Aktualisieren Sie auch alle übrigen auf dem Rechner installierten Programme wie zum Beispiel Microsoft Office, Adobe Reader, etc. regelmässig.

• Öffnen Sie keine Mails und Anhänge von Ihnen unbekannten Absendern und klicken Sie auf keine Links in solchen Mails.

• Installieren Sie auf Ihrem Smartphone keine Apps, wenn Sie von dritter Seite dazu aufgefordert werden. Dies gilt auch für angebliche "Sicherheitszertifikate".

• Wichtig für Android-Benutzer:

  • Installieren Sie nur Apps aus dem offiziellen Google Play Store.

  • Stellen Sie sicher, dass die Option "Unbekannte Herkunft" in den Android-Sicherheitseinstellungen deaktiviert ist.

  • Stellen Sie sicher dass die Option "Apps verifizieren" in den Android-Sicherheitseinstellungen aktiviert ist.

Wie funktioniert der Retefe-Angriff?

Trotz dieser Teilentwarnung von Melani stellt sich die Frage, wie der Retefe-Trojaner genau funktioniert. In einer Medienmitteilung erklärt dies das Kompetenzzentrum Informationssicherheit der Hochschule Luzern (HSLU):

"Der Kunde öffnet eine Spam-Mail, der darin enthaltene Trojaner "Retefe" manipuliert den Rechner. Er ändert den Eintrag auf einen gefälschten Namensserver, so dass der Rechner selbst bei richtig eingegebener Adresse eine gefälschte Seite zurückerhält. Ebenso installiert er ein gefälschtes sogenanntes Root-Zertifikat, so dass der infizierte Rechner die gefälschte Seite sogar als angeblich "echt" bescheinigt. Anschliessend löscht sich der Trojaner selbst und wird somit nicht mehr als Schadsoftware erkannt. Sobald der Kunde dann die E-Banking-Seite seiner Bank aufruft, wird er auf einen falschen Server umgeleitet. Dort sieht er eine gefälschte Seite seiner Bank, die wegen des gefälschten Root-Zertifikats als "echt" eingestuft wird. Damit ist es passiert. Der Kunde gibt seine Sicherheitsinformationen ein, diese gelangen an die Hacker. Danach wird der Kunde angehalten, auf seinem Smartphone eine manipulierte App zu installieren. Diese schickt dann die Sicherheits-SMS (mTAN) der Bank an die Hacker weiter. Die Angreifer haben damit volle Kontrolle."

Auch die Hochschule betont daher nochmals einige Punkte von Melanis Sicherheitshinweisen:

1. Finanzinstitute fordern niemals per E-Mail zur Passwortänderung und so weiter auf. Solche Mails sollten daher immer gleich gelöscht werden.

2. Der Virenschutz muss auf dem neusten Stand sein.

3. Das E-Banking fordert Kunden niemals zur Installation einer App auf. In einem solchen Fall sofort die Bank informieren.