Bankovní trojské koně nás ohrožují víc, než si myslíme

Pavel Houser , 28. březen 2011 11:36 16 komentářů

keyboard
Zeus, jeden z nejsofistikovanějších a nejnebezpečnějších botnetů současnosti, nás mohl zatím nechávat relativně v klidu. ČR jako malá země nebyla pro podvodníky dostatečně zajímavá; dosud jsme se zde setkávali pouze s velmi neumělým phishingem, který směřoval např. proti České spořitelně.

PC
Jenže to může být minulostí. Alespoň sousední (pravda, lidnatější) Polsko má již masivnější útok bankovního malwaru za sebou. Akce směřovala proti polským zákazníkům banky ING.

Jak Zeus pracuje


Botner Zeus funguje jako klasický trojský kůň, který sbírá přihlašovací údaje do internetového bankovnictví a k dalším on-line službám. Nejde jen o klasický keylogger, malware mj. obsahuje databázi sledovaných webů, takže útočníci nemusejí hledat hesla v záplavě balastu.

Banky, které dbají na bezpečnost, ovšem obvykle nepovolují provádět aktivní operace pouze pomocí uživatelského jména a hesla (takto lze např. pouze kontrolovat stav účtu). K zadání operace je třeba ještě dodatečná autentifikace, např. pomocí jednorázového hesla zaslaného jako SMS. K čemu potom vlastně útočníkům přístupové údaje k bankovnímu účtu jsou a jak je možné, že botnet Zeus působí obětem tak velké škody?

Vícefaktorová autentifikace? Neochrání vždy!


Řada bank v zahraničí totiž vícefaktorovou autentifikaci nepoužívá a omezuje se na jméno a heslo. To ovšem nebyl případ polské pobočky ING. Podvodníci se proto kromě kompromitace počítače pokusili vždy ještě infikovat mobilní telefon – a obě zařízení si malware musel samozřejmě také „propojit“.

Bezpečnost

Útok probíhal tak, že při návštěvě banky zobrazil malware navíc ještě kód, který vyžaduje zadat číslo mobilního telefonu (jakoby pro zaslání hesla). Namísto toho útočník poslal na mobilní telefon SMS zprávu vyzývající k instalaci nové aplikace. Jednalo se opět samozřejmě o variantu kódu botnetu Zeus, tentokrát určenou pro mobilní telefony – v Polsku byl zaznamenán kód napsaný pro platformy Symbian a Blackberry. Jakmile byl infikován i mobilní telefon, získali podvodníci kontrolu nad všemi částmi bankovní transakce. Malware na mobilu zajistil, že SMS zpráva s jednorázovým heslem byla přeposlány na telefon útočníka. Ten se již pak mohl přihlásit k on-line bankovnictví a provést veškeré potřebné kroky.

Svoji aktivitu může útočník navíc různě maskovat. SMS zpráva se po přeposlání z uživatelova mobilu smaže, takže ten nejspíš nic podezřelého nezaznamená. Vstup do systému provede malware přímo z uživatelova počítače, takže podezření nebude mít ani banka (jak by se mohlo stát, kdyby se útočník přihlásil ze své domovské, možná exotické země). Za tímto účelem lze i přihlášení provést v době, kdy se obvykle přihlašuje samotný uživatel, taktéž výši posílané částky lze přizpůsobit jeho běžným zvyklostem a nastaveným limitům.

Mimikry


Nebylo oznámeno, nakolik byli útočníci v Polsku úspěšní, ale podobnou akci můžeme očekávat i u nás. Ani lidé, kteří si do mobilu neinstalují žádné nové aplikace, přitom nejsou před botnetem Zeus v bezpečí. Malware totiž umožňuje provést úspěšný útok i bez kompromitování telefonu. Protože Zeus ovládne počítač a může manipulovat se vším, co se zobrazuje v prohlížeči a co browser odesílá serveru, jedna z variant podvodu funguje tak, že oběť provede svou vlastní transakci a sama přepíše kód ze SMS zprávy. Zeus ovšem zamění číslo účtu, na které chce uživatel provést platbu, za účet vlastní...

Související texty:


7 bodů, které byste Vy a vaše IT měli znát o červu Stuxnet

Check Point: firma, která vymyslela firewall


Komentáře

Náhodný kolemjdoucí #1
Náhodný kolemjdoucí 28. březen 2011 11:39

zapomneli jste uvest jednu dulezitou informaci (byl to zamer?) a to ktere OS zeus napada a ktere ne

anywh #7
anywh 28. březen 2011 12:09

že by všechny OS na mobilech, ajnštajne? ;-)

nebo si myslíš, že například iOS je bezpečný? Ten je právě nejméně bezpečný, když ho jde hacknout jen návštěvou stránky ;-)

Náhodný kolemjdoucí #2
Náhodný kolemjdoucí 28. březen 2011 12:50

Také by mělo být uvedeno, že je to pouze "Windows only" botnet. Linuxové a Applové systémy jsou zcela bezpečné proti tomuto systému.

Náhodný kolemjdoucí #8
Náhodný kolemjdoucí 28. březen 2011 13:44

To je velice zavádějící tvrzení. Pravdou na tom je jenom to že linux a Mac OS jsou poměrně minoritním systémem v globálním měřítku a proto zatím pro ně neexistuje portace tohoto malwaru. Na těchto systémech však existuje stejné procento bezpečnostních chyb (ne-li více) než-li na majoritních Windows.

Náhodný kolemjdoucí #9
Náhodný kolemjdoucí 28. březen 2011 14:53

Předchozí příspěvek pouze konstatoval, že jde o Windows-only botnet a obávat se tedy mají uživatelé Windows. Zda má Linux nebo MacOS X stejné nebo jiné procento čehokoliv nikdo nezmiňoval. Ozvěte se, až budou tyto vaše informace relevantní.

Náhodný kolemjdoucí #13
Náhodný kolemjdoucí 28. březen 2011 17:46

Ne, předchozí příspěvek byl že se jedná o Windows-only botnet ale obávat se nemusí uživatele Linuxu a Mac OS X. Můžete mi sdělit proč jste výčet ukončil u Linuxu a Mac OS X? Máme hafo jiných operačních systémů. Vaš příspěvek nebyl o nic méně relevantní jako možná moje odpověď na něj. Z takového příspěvku je totiž silně cítit Vaše nepřiměřená zaujatost k těmto systémům a odpusťte mi že jsem se si dovolil na to upozornit.

Náhodný kolemjdoucí #15
Náhodný kolemjdoucí 28. březen 2011 21:20

Sděluji vám, že jsem výčet omezila na Linux a MacOS X, protože je zmiňoval původní příspěvek. Zbytek vám odpouštím.

Náhodný kolemjdoucí #10
Náhodný kolemjdoucí 29. březen 2011 09:28

Zdržte se prosím těchto subjektivních hodnocení, spekulací a "odborných" soudů.

Náhodný kolemjdoucí #3
Náhodný kolemjdoucí 28. březen 2011 13:27

Tak předně v článku chybí výčet jednoduchých kroků jak se proti takovýmto podvodům bránit. Totiž že se někdy Váš počítač nakazí nějakým malwarem je dnes vcelku běžná záležitost podobně jako již častěji u mobilních telefonů.

1. Bankovní aplikace z principu zabezpečení nemůže vyžadovat telefonní číslo Vašeho telefonu. Pokud tomu tak je, jedná se o podvrh! Veškerá změna telefonního čísla ať už z důvodu ztráty se musí provádět na příslušných pobočkách banky, nikdy ne přes internet nebo samotný telefon! Pokud Vám banka zdělí že něco takového u nich možné je tak doporučuji na jejich internetové bankovnictví raději zapomenout.

2. Až přijde na telefon jednorázové heslo k příslušné bankovní transakci tak je silně doporučováno si veškeré údaje v sms zprávě zkontrolovat. Seriozní banka by totiž měla kromě toho zasílat kód transakce společně s údaji z jakého účtu převod probíhá a kam. Nesmí samozřejmě chybět ani posílána částka. Tyto údaje musí korespondovat s údaji v prohlížeči příslušné bankovní aplikace. Rovněž není na škodu si zkontrolovat z jakého čísla byla sms zpráva zaslána ačkoliv i to se dnes dá lehce podvrhnout. Lepší ochranou je pak šifrovaná sms zpráva.

Z výše uvedeného vyplývá že nutnou podmínkou je tedy dobře zabezpečený telefon. Doporučuji do takového telefonu neinstalovat žádné jiné aplikace krom případné aktualizace firmwaru výrobce. A telefon používat maximálně na telefonování a plain text sms.
Při dodržení těchto obecných zásad riziko že se stanete obětí některého z důmyslných podvodů výrazně snížíte skoro k nule.

Náhodný kolemjdoucí #4
Náhodný kolemjdoucí 28. březen 2011 14:19

Takze SMS autentifikacia je bezpecna len na mobiloch bez OS.

Filip Jirsák #11
Filip Jirsák 28. březen 2011 14:25

Třeba eBanka používá šifrované SMS, které dešifruje po zadání PINu aplikace na SIMkartě. Takže ani malware v telefonu by útočníkovi nepomohl. Potvrzovací SMS pak obsahuje číslo účtu i částku, takže by nefungovala ani ta možnost přepsání údajů skutečné uživatelovi transakce. Tedy pokud uživatel ty údaje ze SMS kontroluje – ale to snad dělá každý, už jen kvůli odhalení případného překlepu.

pht #12
pht 28. březen 2011 20:40

... a takhle to mají už asi 10 let, protože v tom není žádná velká věda. Stačí dodržovat základní znalosti z oboru.

Pavel #5
Pavel 28. březen 2011 15:17

Ke komentářům:
- Co se týče toho, že banka po vás asi nebude chtít číslo mobilu zadávat na Internetu - no ano, vědí to ale všichni? Ostatně myslím, že když už malware ovládá váš počítač, číslo mobilu zjistí útočník i jinak. (Asi bude muset použít ruční práci, nebo to třeba Zeus dokáže vyhrabat i automaticky? Nejsem si jist, bankovní botnet neprovozuji. Bohužel :-))

- Kontrola čísla účtu poslaného v SMS. Ano, s kódem se posílá i toto číslo a částka(alespoň u mé banky). Ano, přitom máte otevřený prohlížeč. Ale pokud budete číslo účtu proti něčemu kontrolovat, pak možná ne s malým displejem mobilu. Z něho jen opíšete kód. Ještě jednou se spíš podíváte, že to souhlasí v prohlížeči - a tam ano.

- Jinak je pravdou, že infekce počítače (i mobilu) se asi budou muset předpokládat a bude na provozovateli aplikace, aby zajistil bezpečnost transakce i za těchto podmínek. Jinak bude výsledkem mediální publicita nebo i soudní spory, bez ohledu na to, že na vině je spíše uživatel sám.
(autor článku)

Náhodný kolemjdoucí #14
Náhodný kolemjdoucí 28. březen 2011 16:56

"no ano, vědí to ale všichni?"
A to je důvod k nižší informovanosti?

"..., pak možná ne s malým displejem mobilu."
Já donedávna používal celkem primitivní a dnes již zastaralý telefon SE T630 a nemohl jsem si ani u tak (na dnešní poměry) malého displeje stěžovat na špatnou čitelnost. I na prehistorické nokii 3310 by to šlo jistě přečíst ačkoliv možná s tužkou v ruce a prázdným blokem papíru. Není to ideální způsob ale stále lepší než podstoupit návštěvu příslušné pobočky osobně :-). A za ten časový limit který se běžně pohybuje okolo 10-15 minut se to zkontrolovat a potvrdit dá.

Náhodný kolemjdoucí #6
Náhodný kolemjdoucí 05. duben 2011 16:54

Jinak řečeno, zaplať pámbu za nejednotnost operačních systémů na mobilech. Mít tady stejnou monokulturu jako na desktopu...

Karel Wolf 05. duben 2011 23:17

Bohuzel i tady se zacina trh pomalu konsolidovat, nastesti to ale nevypada, ze by jeden hrac ziskal silnou vetsinu trhu a ostatni se delili o zbytek. Ironii osudu je, ze treba soucasna zapadajici hvezda Symbian tenhle potencial mela.


RSS 

Komentujeme

Chatbot mluví za mrtvého – od nápadu k realizaci

Pavel Houser , 30. listopad 2016 13:00
Pavel Houser

Na webu The Verge popsala Casey Newton příběh dvou přátel (Eugenia Kuyda a Roman Mazurenko). Peripet...

Více





Kalendář

RSS 

Zprávičky

Za vzněcováním smartphonu iPhone 6 jsou vnější vlivy, tvrdí Apple

ČTK , 08. prosinec 2016 11:30

Firma Apple odmítla podezření čínských uživatelů svého chytrého telefonu iPhone 6, že za problémy s ...

Více 0 komentářů

Verizon prodá firmě Equinix datová centra za 3,6 miliardy USD

ČTK , 08. prosinec 2016 10:00

Největší americký mobilní operátor Verizon Communications prodá specializované společnosti Equinix 2...

Více 0 komentářů

Tchajwanský Foxconn jedná o rozšíření svých aktivit v USA

ČTK , 07. prosinec 2016 15:00

Tchajwanská společnost Foxconn jedná o rozšíření svých aktivit ve Spojených státech. Oznámila to dne...

Více 0 komentářů

Starší zprávičky

Nejvyšší soud USA se postavil na stranu Samsungu proti Applu

ČTK , 07. prosinec 2016 12:30

Americký nejvyšší soud se v mnohaletém patentovém sporu mezi výrobci chytrých telefonů Apple a Samsu...

Více 0 komentářů

Evropská komise Microsoftu schválila převzetí sítě LinkedIn

ČTK , 07. prosinec 2016 10:30

Evropská komise schválila americké softwarové společnosti Microsoft záměr koupit za 26 miliard dolar...

Více 0 komentářů

Porozumění větám, konkurence pro Turingův test

Pavel Houser , 06. prosinec 2016 18:00

Konverzační roboti mají stále problémy pochopit věty, kde smysl nelze vyvodit ze samotné gramatické ...

Více 0 komentářů

Americká GoDaddy koupí evropský webhosting Host Europe

ČTK , 06. prosinec 2016 16:00

Americký registrátor internetových domén GoDaddy, který je ve svém oboru největší na světě, se dohod...

Více 0 komentářů