Wenn wir heute die “Florentiner” vorstellen, meinen wir damit nicht das leckere Mandelgebäck. Die Rede ist von einer neuen Hacker-Formierung namens “Florentiner Bankengruppe” – und Nein, mit einer Bank haben sie ebenfalls nichts zu tun. Vielmehr ist das Ziel der Hacker, über Betriebsspionage in das Banking-System des Opfers einzudringen. Die Kriminellen beweisen bei ihrer Vorgehensweise einen aussergewöhnlich langen Atem.
Schritt 1: Betriebsspionage
Die Florentiner Bankengruppe infiltriert das Mail-Netzwerk des auserkorenen Opfers. Wie genau sie dabei einsteigen, ist aktuell noch nicht ganz klar. Typisch für Hacking-Methoden wäre in diesem Fall aber das “Whaling”. Auch als Unterform von Phishing bekannt, wird hierbei die Identität von Führungskräften imitiert.
Von den Mitarbeitern also unbemerkt, steigen die Hacker in das Firmennetzwerk ein. Und dort warten sie erst einmal sehr geduldig. Die Betriebsspionage hat das Ziel, sowohl Schwachstellen aufzudecken als auch den möglichen Erfolgsfaktor des Hacker-Angriffs zu berechnen. Die Florentiner Bankengruppe sucht sich bis dato nämlich besonders lukrative Angriffsziele aus.
Schritt 2: Aufbau des Netzwerks
Hier beginnt die eigentliche Imitation, quasi die totale Übernahme der falschen Identität. Um das zu bewerkstelligen, muss das Diebstahlopfer isoliert werden. Andernfalls würden zwei Identitäten parallel agieren – der Hack könnte auffallen.
Was recht kompliziert klingt, ist es für Hacker leider nicht. Sie richten eine Fake-Domain ein, die vom Original nicht zu unterscheiden ist. Über die neue Domain können sie problemlos jegliche Kommunikation steuern.
Die Florentiner Bankengruppe baut sich quasi ein ganz eigenes Netzwerk neu auf – inmitten des ausspionierten Betriebes. Unter falschem Namen übermitteln sie Nachrichten, weisen beispielsweise Zahlungen an oder geben Anweisungen an die ahnungslosen Mitarbeiter.
Schritt 3: Schröpfen
Mit nur drei Schritten ist das böse Werk getan. Nun beginnt der eigentliche Schaden. Weiterhin mit gefälschter Identität, greifen die Hacker insbesondere auf die Zahlungsvorgänge zu.
Manchmal ist nicht nur eine Führungskraft betroffen. Die Florentiner Bankengruppe baut ihr Netzwerk so weit wie möglich aus. Ausserdem verändern sie nach erfolgreichem Zugriff Mail-Einstellungen so, dass für sie lohnenswerte Nachrichten in eigenen Ordnern landen.
Wie der letztliche Schaden aussieht, liegt nun recht klar auf der Hand: Die Hacker steuern die Zahlungsanweisungen und fälschen entsprechend auch die Empfänger-Konten. So fliessen die Gelder an sie statt an die eigentlichen Zahlungsempfänger.
Betriebsspionage über “Man-in-the-Middle”
Unternehmen wir einen kurzen Ausflug in die Begriffserklärung. Man in the Middle steht für den “Mann in der Mitte”, also die besagten Personen in Führungspositionen. Der Begriff aus der Kategorie IT-Security ist auch als “Janus-Angriff” bekannt. Janus ist eine Gottheit aus der römischen Mythologie und steht für den Anfang und das Ende. Auffällig dabei ist, dass sein Abbild zwei Gesichter besitzt.
Betriebsspionage und Schäden in ungeahnten Grössen
Inwieweit die Florentiner Bankengruppe auch hierzulande kursiert, ist ebenso wenig bekannt. Bisherige Angriffsziele waren vornehmlich Unternehmen in den USA und England. Allerdings war die Gruppierung bei ihren Attacken recht erfolgreich, geschätzt kam es bei den Opfern bereits zu finanziellen Schäden in Höhe von 1,2 Millionen Euro.
Obwohl die “neue” Hacker-Gruppe sich an altbekannten Vorgehensweisen bedient, sollte man die Gefahr nicht unterschätzen. Vor allem durch ihre Geduld sind sie aufgefallen – zwischen dem ersten Zugriff und dem letztendlichen Schröpfen lagen teilweise mehrere Monate.
Es ist also nie zu spät, in IT-Security zu investieren. Bleiben Sie mit uns auf dem Laufenden – über die neuen Gefahren und Bedrohungen im “Internet of Things” – und vor allem, bleiben Sie “safe”!
