Banking-Trojaner Qakbot sorgt für leere Konten

Ingo-Deutschmann

Statement von Ingo Deutschmann, SVP Engineering bei BehavioSec

Der Banking-Trojaner Qakbot sorgt seit Wochen für Schlagzeilen frei nach dem Motto „König Emotet ist tot, lang lebe Qakbot“. Vormals als Teil der weiteren Malware-Palette von Emotet nachgeladen, ist der ehemalige Banking-Trojaner nun der Ausgangspunkt für viele andere Schadsoftware. Seit 2007 geistert die Malware durch das Internet und wird immer weiterentwickelt, um neue Opfer zu finden. Übertragen wird sie, wie so viele andere Banking-Trojaner, ganz simpel per Phishing-E-Mail. Die Betreffzeilen orientieren sich an aktuellen Themen, die Aufmerksamkeit erregen und Opfer zum „Klick“ verleiten sollen. Die Malware wurde im Laufe der Jahre immer cleverer, so dass sie inzwischen erkennt, ob sie in einer Sandbox-ähnlichen Umgebung ausgeführt wird oder auf einem echten System. Bei letzterem aktiviert sie sich und nimmt Kontakt mit den C&C-Servern auf, um Daten zu stehlen und zu übertragen. Der Banking-Trojaner soll vor allem aber auch Credentials wie den Nutzernamen und das Passwort abfangen. Und genau hier scheitern dann viele traditionelle Sicherheitsmechanismen. Sie benötigen in der Regel diese Credentials und selbst bei einer Zwei-Faktor-Authentifizierung könnten Betrüger versuchen, den Session-Key abzufangen und schneller zu sein als der hinters Licht geführte Nutzer.

Stattdessen sollten die verantwortlichen Sicherheitsexperten moderne Lösungen zur Authentifizierung nutzen, die eben nicht auf einfache Credentials, sondern auf verhaltensbasierte Authentifizierung setzen. Lösungen, die das Tippverhalten des Nutzers erkennen, bewerten und ihm dann den Zugriff auf sein gewünschtes Online-Banking-Konto erlauben, lassen sich nicht von automatisierter Malware austricksen. Die Software würde umgehend erkennen, wie das Passwort eingegeben wird und anhand dessen den Zugriff verweigern, falls dieses einfach nur hereinkopiert wird, was Schadsoftware-Bots tun. Das Tippverhalten lässt sich nicht imitieren und genau hier liegt die Stärke von verhaltensbasierter Authentifizierung via Eingabe des Passworts: Das auf das Tippverhalten ausgerichtete Verfahren authentifiziert den Nutzer kontinuierlich, ohne dass der Nutzer davon etwas merkt. Durch die aktuell häufig eingesetzten zweiten Faktoren wie PIN-Codes, SMS und Co. wird die Nutzerfreundlichkeit in vielen Fällen deutlich verringert, da der Nutzer dazu gezwungen ist, in Sekundenabständen sein Passwort, seine TAN oder seinen Fingerabdruck einzugeben. Dies führt oft dazu, dass der Nutzer eine begonnene Transaktion abbricht.

Bei der Authentifizierung per Tippverhalten müssen auch keine TAN-Listen oder Authentifizierungsgeräte mitgeführt werden. Die Art und Weise, wie ein Passwort von einem Menschen jeweils individuell eingegeben wird, ist unnachahmlich und kann deshalb nicht imitiert werden. Das führt zu einer hohen Sicherheit und sorgt gleichzeitig für eine verbesserte User Experience. Dank verhaltensbasierter Authentifizierung via Eingabe des Passworts haben Banking-Trojaner wie Qakbot künftig kaum noch eine Chance außerhalb des Bank-Netzwerks Schäden anzurichten.