Der brasilianische Finanzsektor kämpft immer noch gegen sogenannte „Bolware“-Angriffe. Als Bolware wird Malware bezeichnet, die sich gegen eine in dem Land beliebte Zahlungsmethode namens „Boleto“ richtet. Nun gelangte die RSA zu weiteren Kenntnissen über einen Ring von Betrügern in diesem Zusammenhang.

Die RSA veröffentlichte einen Bericht, in dem sie den Umfang der Beutezüge dieses Rings darlegt. Über einen Zeitraum von zwei Jahren hat der Bolware-Ring vermutlich 495.753 Transaktionen mit Boletos kompromittiert. Diese sind insgesamt rund 3,75 Milliarden US-Dollar wert.

RSA fügt hinzu, dass sie nicht wissen, wie viele der Boletos tatsächlich durch die Opfer ausgezahlt wurden. Auch können sie nicht sagen, inwiefern die gefälschten Transaktionen in allen Fällen erfolgreich durchgeführt werden konnten. Aber

„die Betrüger hinter dieser Malware könnten potenziell die Möglichkeit gehabt haben, all diese Boletos in Bargeld umzuwandeln“.

Dies könnte sich schnell auf Verluste in Milliardenhöhe summieren.

Boletos werden online ausgestellt und erlauben es den Konsumenten, elektronische Zahlungen zu versenden. So können die Brasilianer Rechnungen, Steuern oder auch eine Vielzahl anderer Zwecke damit begleichen. Bolware ist seit 2012 bekannt, der neueste Bericht der RSA legt aber erstmals den Umfang offen. Auch die Zahl betroffener Rechner sowie gestohlener E-Mail-Berechtigungen sind in dem Bericht enthalten.

Boleto-Hacker zielen auf Windows-PCs ab, die die Browser Chrome, Firefox und Internet Explorer verwenden. Über eine Man-in-the-Browser-Attacke modifiziert die Malware die Boleto-Informationen, sodass die Zahlungen an andere Konten geleitet werden. Hiervon können die Kriminellen dann das Geld abheben.

Die RSA fand 192.227 mit der Bolware infizierte Rechner sowie mehr als 83.000 E-Mail-Berechtigungen, die von der Malware gestohlen wurden. Insgesamt sind 34 Banken von dem Betrügerring betroffen, die über den gesamten Zeitraum hinweg 19 verschiedene Varianten der Bolware nutzten.

Avivah Litan von der Forschungsfirma Gartner berichtet, dass die Bolware einen IFRAME nutzt, um die betrügerische Transaktion vor dem Kunden zu verbergen.

„Es überschreibt den Vorgang und arbeitet im Hintergrund“,

so Litan.

„Durch den IFRAME verbirgt es die Aktivitäten vor dem Bankkunden und ändert das Zielkonto.“

Artikel von zdnet.com, 03.07.2014: RSA: Brazil’s ‚Boleto Malware‘ stole nearly $4 billion in two years
Artikel von scmagazine.com, 02.07.2014: Brazilian ‚bolware‘ gang targeted $3.75B in transactions, RSA finds