Wenn wir heute die „Florentiner“ vorstellen, meinen wir damit nicht das leckere Mandelgebäck. Die Rede ist von einer Hacker-Gruppe namens „Florentiner Bankengruppe“ – und nein, mit einer Bank haben sie nichts zu tun. Ihr Ziel: über Betriebsspionage in das Banking-System des Opfers eindringen. Die Kriminellen bringen dabei bemerkenswert viel Geduld mit.
Schritt 1: Betriebsspionage
Die Florentiner Bankengruppe infiltriert das Mail-Netzwerk des auserkorenen Opfers. Wie genau sie einsteigen, ist noch nicht restlos geklärt. Naheliegend wäre „Whaling“ – eine Unterform von Phishing, bei der die Identität von Führungskräften imitiert wird.
Von den Mitarbeitenden unbemerkt, dringen die Hacker ins Firmennetz ein – und warten dort zunächst ab. Die Betriebsspionage dient dazu, Schwachstellen aufzudecken und den möglichen Ertrag des Angriffs abzuschätzen. Die Florentiner Bankengruppe wählt ihre Ziele gezielt nach Lukrativität aus.
Schritt 2: Aufbau des Netzwerks
Hier beginnt die eigentliche Imitation – die totale Übernahme einer fremden Identität. Dafür muss das Opfer isoliert werden. Sonst würden zwei Identitäten parallel laufen, und der Hack fiele auf.
Was kompliziert klingt, ist es für Hacker leider nicht. Sie richten eine Fake-Domain ein, die vom Original nicht zu unterscheiden ist – und steuern darüber jegliche Kommunikation.
Die Florentiner Bankengruppe baut sich so ein komplett eigenes Netzwerk auf, mitten im ausspionierten Betrieb. Unter falscher Identität übermitteln sie Nachrichten, weisen Zahlungen an und geben Anweisungen an ahnungslose Mitarbeitende.
Schritt 3: Schröpfen
Mit drei Schritten ist das Fundament gelegt. Jetzt beginnt der eigentliche Schaden. Weiterhin mit gefälschter Identität greifen die Hacker gezielt auf Zahlungsvorgänge zu.
Manchmal bleibt es nicht bei einer Führungskraft. Die Florentiner Bankengruppe weitet ihr Netzwerk so weit wie möglich aus. Nach erfolgreichem Zugriff verändern sie ausserdem Mail-Einstellungen, damit lukrative Nachrichten in eigenen Ordnern landen.
Das Ergebnis liegt auf der Hand: Die Hacker steuern Zahlungsanweisungen und fälschen die Empfänger-Konten. Das Geld fliesst zu ihnen – statt zu den eigentlichen Empfängern.
Betriebsspionage über „Man-in-the-Middle“
Kurz zur Begriffserklärung: Man-in-the-Middle steht für den „Mann in der Mitte“ – also Personen in Führungspositionen, deren Identität missbraucht wird. In der IT-Security ist der Angriff auch als „Janus-Angriff“ bekannt. Janus ist eine Gottheit der römischen Mythologie, steht für Anfang und Ende – und sein Abbild trägt zwei Gesichter.
Betriebsspionage und Schäden in ungeahnten Grössen
Wie weit die Florentiner Bankengruppe hierzulande aktiv ist, bleibt unklar. Bisherige Angriffsziele lagen vorwiegend in den USA und in England. Der finanzielle Schaden bei den Opfern wird auf rund 1,2 Millionen Euro geschätzt.
Die Gruppe bedient sich altbekannter Methoden – unterschätzen solltest du die Gefahr trotzdem nicht. Besonders ihre Geduld fällt auf: Zwischen erstem Zugriff und dem eigentlichen Schröpfen lagen teils mehrere Monate.
In IT-Security zu investieren, ist also nie verfrüht. Bleib mit uns auf dem Laufenden – über neue Gefahren und Bedrohungen im Internet of Things. Und vor allem: bleib safe.
