Mageia Forum

[unklar]

Hallo,

ich wurde heute von meiner Bank informiert, meinen Online-Bankzugang aus Sicherheitsgründen gesperrt zu haben, weil "auf einem internationalen Server die Zugangsdaten liegen" und ich den Banken-Trojaner"Patcher" auf dem Computer habe.

Nun finde ich zu dem Trojaner nur windowslastige Hinweise.

Ich erhoffe mir von euch sachdienliche Ratschläge, weil ich der Meinung bin, das kann einfach nicht sein!

Gemacht habe ich bisher: rkhunter und chkrootkit finden nichts

Wie mache ich die Online-Bankgeschäfte:

-nur unter Linux > mageia2 > mit Hibiscus (natürlich als user!)
-Browserbanking findet in dieser Partition nicht statt
-ein E-Mail Programm ist in dieser Partition nicht eingerichtet.
-es gibt keinerlei "Fremdsoftware", die nicht aus den Quellen ist
-gestern war letztmaliger Zugriff mit hibiscus

-Browserbanking in einer anderen Partition mit mandriva2010.2 und FF bestand nur in Form von Kontoauszug-Bezug bzw. der sogenannten Post-Box - KEINE GESCHÄFTE
-seit reichlich 1 Woche ist der damit verwendete Rechner platt gemacht und eine Neu-Einrichtung für diesen Zweck ist noch nicht erfolgt.

Offenkundiger Schwachpunkt(?) meiner drei Linuxrechner - jeder hat eine vfat-Datenpartition, die durch Eintrag in der fstab gemountet wird und der Zugriff bei Bedarf per unison und ssh erolgt.

Mehr fällt mir im Moment nicht ein - ich bin unschuldig.

[alf]

Öhm, und wie hat diese Bank festgestellt, dass auf deinem PC ein Trojaner residiert? Wie steht's denn mit der Authentizät der Benachrichtigung, kam die per Post? Oder beim Einloggen i den Accaount, oder gar per Email?

[doktor5000]

Bestimmt per Mail

[alf]

Bestimmt per Mail

Lach nicht, sind schon genug Leute auf solche dubiose Mails hereingefallen.

[unklar]

Nein nein.

Das hatte schon seine "Richtigkeit" mit Anruf und meinerseitigem Rückruf.

Was soll ich sagen, was genaueres erfährt der Kunde auch auf nachfragen nicht wirklich. Solche "Hinweise" bekommt man eben als Bank und da muß gehandelt werden. Jetzt ist der Kunde in der Pflicht seinen Rechner zu säubern...

Kunden mit Linux "waren auch in der Vergangenheit betroffen" usw.usf. jedoch nicht konkretes.

[Oli]

Ich kenne mich mit WINE nicht aus.
Jetzt mal eine naive Frage: könnte es sein das der Windowsschädling unter WINE läuft?

[unklar]

Nein Oli,
das Zeug benutze ich nicht (seit 2009 nicht mehr). Auch hat kein Rechner "Verbindung" zu einem "Windows" usw.

[alf]

Gibt ja auch genug Malware die einfach so im Browser läuft. Dagegen könnte "NoScript" und/oder "FlashBlock" helfen.

[unklar]

Naja alf,
die sind bzw. waren da an "Bord" z.B. NoScript, Ghostery, RequestPolicy, FlagFox sind meine "Grundausrüstung" bei Verwendung des FF.

[alf]

Ich sprach ja auch im Konjunktiv
Im Ernst: ich konnte auch keine verwertbaren Ergebnisse bzgl. dieses Trojaners und Linux finden.

[unklar]

Im Ernst: ich konnte auch keine verwertbaren Ergebnisse bzgl. dieses Trojaners und Linux finden.

Ich danke Dir, das ist mir schon wichtig zu wissen.

[man-draker]

ich wurde heute von meiner Bank informiert, meinen Online-Bankzugang aus Sicherheitsgründen gesperrt zu haben, weil "auf einem internationalen Server die Zugangsdaten liegen" und ich den Banken-Trojaner"Patcher" auf dem Computer habe.
...
Was soll ich sagen, was genaueres erfährt der Kunde auch auf nachfragen nicht wirklich. Solche "Hinweise" bekommt man eben als Bank und da muß gehandelt werden. Jetzt ist der Kunde in der Pflicht seinen Rechner zu säubern...

Kunden mit Linux "waren auch in der Vergangenheit betroffen" usw.usf. jedoch nicht konkretes.

http://www.pctools.com/de/mrc/infections/id/Trojan-Spy.Bankpatch/
Zeit, die Bank zu wechseln, zu einer, die wirklich sicheres Banking erlaubt?
Mit HBCI Chipkarte und Klasse3-Leser?
Alles andere ist Gefrickel.

[unklar]

Hi,
danke man-draker auf dieser Seite war ich gestern auch schon mal. Kannst Du bitte versuchen mir das verständlich zu machen, denn

Trojan-Spy.Bankpatch ist ein Datei-Infektor die kernel32.dll und wininit.dll befällt in einem Versuch, vertrauliche Informationen von infizierten Rechnern zu stehlen und sendet sie an einen Angreifer.

die genannten dll-Dateien gibt es auf meinen Rechnern ja nicht.

Ende Juli / Anfang August war ich in London und hatte meinen "Kleinen" mit. Dort mußte ich mich über einen Windows-Rechner ins Netz einwählen (was manchmal eine Katastrophe war, da der ständig den Wlan-Kanal wechselte und wicd immer durcheinander kam).
Ja, und in der ersten Woche habe ich einmal wegen des Kontostandes auf mein Konto geschaut... (mit Opera)

PS: Kennst Du Dich mit unhide aus? Wie rufe ich das in der Konsole auf. Aus der Hilfe bzw. man-page werde ich nicht schlau, er sagt immer "unbekanntes Argument" bei unhide -v test_list

pps: mit der Auswahl der Bank ist das ja auch immer so eine Sache... sicherlich hast Du Recht. Leider machen die aber, besonders in den letzten Jahren, "im Interesse des Geschäfts" jede IHR EIGENES und der Anspruch an Sicherheit beim Kunden bleibt auf der Strecke.

[Bequimao]

Übrigens habe ich in der Vergangenheit öfters in Brasilien Online-Banking mit Windows im Internet-Cafe gemacht, die bekanntermaßen unsicher sind, unter anderem, um mir selbst Geld zu schicken. Nach der Rückkehr habe ich dann die PINs geändert und gut war's. Wenn ich die Wahl habe zwischen persönlicher Sicherheit und der Sicherheit meines Bankkontos habe, geht die persönliche Sicherheit vor. Und auf keinen Fall soll da die Bank in meinem Namen Entscheidungen treffen.

Viele Grüße
Bequimão

[wobo]

Aus all diesen Gründen war die Art des Online-Bankings für mich immer ein Kriterium für die Auswahl meiner Bank. Deshalb fielen auch beim letzten Wechsel (vor ca. einem Jahr) zwei Banken durch.

Meine jetzige Bank braucht kein Windows zum Kontakt mit dem Bankrechner, das geht auch im Ausland wunderbar von jedem beliebigen Anschluss. Der Support von Seiten der Bank im Bereich Onlinebanking ist super und schreckt auch vor Linux nicht zurück. Das Banking selbst erfordert für aktive Aktionen die Verwendung des ChipTan-Verfahrens (also ad hoc Generierung und Prüfung der TAN), das reicht mir bei dem Linuxrechner zur Sicherheit.

Ich gehe auch öfter in Internet-Cafés ins Banking, allerdings habe ich dann meinen abgesicherten Laptop dabei und schließe den direkt per eth0 ans Netzwerk an. Da ist keine Gefahr (jedenfalls nicht mehr als zuhause).

[man-draker]

PS: Kennst Du Dich mit unhide aus?

Noch nicht, kann aber werden. Aber jedenfalls in einen getrennten Thread.
PS: Es ist doch ganz einfach: TEST_LIST ist ein Platzhalter für die konkret anzugebenden Testmethoden, die verwendet werden sollen. Welche es gibt, steht weiter unten in der Manpage.
Eine Nutzung von unhide sieht dann so aus:

Code: Alles auswählen

man-draker@ThinkPad-X121e:~$ unhide proc
Unhide 20110113
http://www.unhide-forensics.info
[*]Searching for Hidden processes through /proc stat scanning

[man-draker]

Ende Juli / Anfang August war ich in London und hatte meinen "Kleinen" mit. Dort mußte ich mich über einen Windows-Rechner ins Netz einwählen

Dort saß dann wohl der Trojaner, griff deine Daten ab und versandte sie auf den Sammelserver, wo sie (wie auch immer) von der Bank gefunden und als deine identifiziert wurden. Die Bank denkt, weil die Daten dort sind, stammen sie von deinem PC, also muss er den Trojaner haben. (Haben sie verstanden, dass es so etwas wie Linux gibt und vor allem, was das bedeutet? Das kann man nicht als selbstverständlich unterstellen.)

Also: Neue Zugangsdaten besorgen und nie wieder einen Windows-Rechner für den Bankzugang verwenden.

[unklar]

Haben sie verstanden, dass es so etwas wie Linux gibt und vor allem, was das bedeutet? Das kann man nicht als selbstverständlich unterstellen.

Nein, das haben sie nicht! Sie denken grundsätzlich in Windows-Kategorien und tun alles in diese Schublade - traurig.
Da half auch nicht mein Hinweis, ein weiteres Online-Banking mit einer anderen Bank zu realisieren (was ich zum Glück von London aus nicht tat) und von dieser Bank bisher, auch auf telefonischer Nachfrage nicht, kein "Trojaner-Befall" meines Rechner
gemeldet wird.

Danke Euch für die Hilfe!
Dennoch ist das für mich Anlaß, über "mein Sicherheitskonzept" nachzudenken und einiges anders zu machen.

[erledigt]

[crutan]

möchte mich kurz noch dazu melden obwohl der Beitrag schon abgeschlossen wurde. Ich arbeite selbst in einer Bank und betreue hier unser Onlinebanking. Deshalb nochmal mit Nachdruck: Wenn die Bank einem Kunden mitteilt, dass sein Onlinebanking gehackt wurde, dann ist das auch so! Dann wurden die Zugangsdaten auf einem fremden Rechner entdeckt und diese wurden dann logischerweise auch abgefischt. Viele Banken - auch wir - nutzen inzwischen externe Dienstleister um im Netz nach gestohlenen Zugangsdaten für Onlinebanking, Kreditkarten usw. ihrern Kunden fahnden zu lassen. Das Ganze funktioniert, weil der Dieb, der die Daten stiehlt normalerweise nicht den Angriff auf das Konto durchführt, sondern die Daten zum Kauf anbietet. Somit ist sein Risiko als kleines Rädchen im Getriebe entdeckt zu werden geringer. Langer Rede kurzer Sinn: du solltest die Warnung sehr ernst nehmen. Alles sperren lassen und System überprüfen oder neu aufsetzen. Leider ist auch Linux kein 100% sicheres System vor Hackerangriffen. Ich nutze ebenfalls Mageie mit Hibiscus - allerdings über HBCI und nicht mit TAN.

[man-draker]

Ich nutze ebenfalls Mageie mit Hibiscus - allerdings über HBCI und nicht mit TAN.

Und dann konsequenter Weise mit einem Klasse-3 Leser, nehme ich mal so an.