Identitätsdiebstahl: Banking-Trojaner Acecard will Selfies von Opfern knipsen

Posted on Posted in Hacker News

Ein Android-Schädling bittet seine Opfer inklusive Personalausweis vor die Kamera.

Der Android-Banking-Trojaner Acecard gibt sich auf infizierten Geräten nicht mehr mit dem Abziehen von Kreditkarten-Daten und Codes einer Zwei-Faktor-Authentifizierung zufrieden: Neuerdings fordert er seine Opfer auf, ein Selfie mit Personalausweis zu machen, berichten Sicherheitsforscher von McAfee.

(Bild: McAfee )

Der Schädling soll den Sicherheitsforschern zufolge ausschließlich in App-Stores von Drittanbietern auftauchen und sich als Erotik-Video-App beziehungsweise als ein zum Abspielen nötiger Codec ausgeben. Damit er sein Schadenswerk anrichten kann, fordert er weitreichende Berechtigungen ein, die ein Opfer abnicken muss.

Dreister geht immer

Das auf die Spitze getriebene Social Engineering unterteilt sich in zwei Schritte: Zuerst soll man “saubere und lesbare” Fotos von der Vor- und Rückseite des Personalausweises hochladen. Anschließend fordert der Trojaner noch ein Selfie mit dem Dokument ein, erläutert McAfee.

Beim Interface haben sich die Betrüger viel Mühe gegeben: Die Phishing-Bildschirme mit den Eingabefeldern für Kreditkarten-Daten sehen legitim aus und tarnen sich als Google-Play-Aufforderung. Der Prozess zum Aufnehmen der Bilder kommt als Step-by-Step-Anleitung inklusive Bebilderung daher.

Kompletter Identitäts-Diebstahl?

Ob die Kriminellen mit den Selfies Online-Legitimationsverfahren überlisten können, ist fraglich. Etwa die Deutsche Post bietetKunden im Zuge von Postident an, sich online via Video-Chat gegenüber einem Post-Mitarbeiter auszuweisen. Auch der IDnow-Service offeriert ein Video-basiertes Online-Legitimationsverfahren für verschiedene Banken – so kann man etwa ein Konto eröffnen. Mit Fotos kommt man da nicht weit, zudem stellen die Mitarbeiter am anderen Ende der Kamera Fragen.

Auch biometrische Legitimationsverfahren bei Online-Zahlungen lassen sich wahrscheinlich nicht über ein einfaches Selfie austricksen. Zwar bietet etwaMastercard den Service, am Smartphone getätigte Online-Zahlungen mit einem Fingerabdruck oder Selfie zu bestätigen, doch entscheidet man sich für das Selfie, muss man zusätzlich noch in die Kamera blinzeln.

Quelle: heise.de

Facebooktwittergoogle_plus