Das Opfer startete wie gewohnt das T-Online-Startcenter, um über die T-Online Banking-Software Online-Banking zu betreiben. Nachdem die Banking-Software das Opfer zur Eingabe von PIN und TAN aufgefordert hatte, brach der Ladevorgang für den nächsten Schritt in der Banking-Software ab. Dieser besteht im Normalfall darin, dass der Nutzer seine Maus mehrfach über den Bildschirm hin und her bewegt, um eine Zufallszahl zu generieren. Anschließend werden normalerweise die Kontodaten des Nutzers angezeigt. Im Falle des Opfers öffnete sich jedoch ein Pop-Up Fenster in dem der Nutzer darauf hingewiesen wurde, dass die Software aktualisiert werde und daher der Kontozugang zur Zeit nicht möglich wäre. Aus Sicherheitsgründen solle der Nutzer auf der Homepage der Raiffeisenbank seine PIN und insgesamt 10 TAN erneut eingeben. Danach werde der Zugang wieder freigeschaltet. Dieser – in korrektem Deutsch verfassten – Aufforderung, die optisch der Raiffeisenbank-Homepage entsprach, kam das Opfer, dem die Phishing-Problematik nicht bekannt war, nach. Allerdings rief er die Homepage der Raiffeisenbank nicht durch die Eingabe der Adresse in seinen Webbrowser auf, sondern suchte die Seite mit Hilfe von google.de, weil ihm die Adresse seiner Bank nicht bekannt war. Er folgte dem Link, welcher von google.de als Ergebnis der Suche angezeigt wurde und landete auf der gefälschten Seite.
Die Konsequenzen zeigten sich erst sieben Wochen später. Der Computer der Familie stürzte ab und konnte erst nach ein paar Tagen wieder funktionsfähig gemacht werden. Als das Opfer anschließend wieder Online-Banking betreiben wollte, stellte es fest, dass in der Zwischenzeit drei Überweisungen in Höhe von insgesamt 5.800 € von seinem Konto nach England getätigt wurden. Bei einem anschließend durchgeführten Virenscan wurde auf dem Rechner des Opfers ein Trojaner entdeckt.
Das von der Kriminalpolizei eingeleitete Ermittlungsverfahren läuft.
Technische Analyse:
Es könnte sich vorliegend um einen ersten Fall eines Pharming-Angriffs handelt. Denn wenn das Opfer keinem Link in einer Mail gefolgt ist, handelt es sich jedenfalls nicht um einen klassischen Phishing-Angriff.
Der Trojaner könnte die hosts-Datei des Rechners des Opfers in der Weise manipuliert haben, dass jeglicher Aufruf der Raiffeisenbank-Website auf die gefälschte Website des Betrügers umgelenkt wird. Da sich ein solcher, doch recht komplizierter Angriff, auf eine kleine Raiffeisenbank nicht lohnt, könnte der Trojaner so programmiert gewesen sein, dass er dynamisch die hosts-Datei der Opferrechner manipuliert, sobald eine Seite aufgerufen wird, die in der Adresse die Zeichenkombination *raiff* enthält.
Anhand der AI³ vorliegenden Fakten ist eine abschließende technische Analyse leider nicht mehr möglich. Die Festplatte des Computersystems des Opfers wurde direkt nach der Entdeckung des Trojaners formatiert und so alle Spuren verwischt. Insbesondere lag AI³ keine hosts-Datei mehr vor und auch der Name des Trojaners konnte nicht mehr ermittelt werden. Weiter zu klären wäre die Frage, woher der Trojaner stammte.