Zeus, jeden z nejsofistikovanějších a nejnebezpečnějších botnetů současnosti, nás mohl zatím nechávat relativně v klidu. ČR jako malá země nebyla pro podvodníky dostatečně zajímavá; dosud jsme se zde setkávali pouze s velmi neumělým phishingem, který směřoval např. proti České spořitelně.
Jenže to může být minulostí. Alespoň sousední (pravda, lidnatější) Polsko má již masivnější útok bankovního malwaru za sebou. Akce směřovala proti polským zákazníkům banky ING.
Jak Zeus pracuje
Botner Zeus funguje jako klasický trojský kůň, který sbírá přihlašovací údaje do internetového bankovnictví a k dalším on-line službám. Nejde jen o klasický keylogger, malware mj. obsahuje databázi sledovaných webů, takže útočníci nemusejí hledat hesla v záplavě balastu.
Banky, které dbají na bezpečnost, ovšem obvykle nepovolují provádět aktivní operace pouze pomocí uživatelského jména a hesla (takto lze např. pouze kontrolovat stav účtu). K zadání operace je třeba ještě dodatečná autentifikace, např. pomocí jednorázového hesla zaslaného jako SMS. K čemu potom vlastně útočníkům přístupové údaje k bankovnímu účtu jsou a jak je možné, že botnet Zeus působí obětem tak velké škody?
Vícefaktorová autentifikace? Neochrání vždy!
Řada bank v zahraničí totiž vícefaktorovou autentifikaci nepoužívá a omezuje se na jméno a heslo. To ovšem nebyl případ polské pobočky ING. Podvodníci se proto kromě kompromitace počítače pokusili vždy ještě infikovat mobilní telefon – a obě zařízení si malware musel samozřejmě také „propojit“.
Útok probíhal tak, že při návštěvě banky zobrazil malware navíc ještě kód, který vyžaduje zadat číslo mobilního telefonu (jakoby pro zaslání hesla). Namísto toho útočník poslal na mobilní telefon SMS zprávu vyzývající k instalaci nové aplikace. Jednalo se opět samozřejmě o variantu kódu botnetu Zeus, tentokrát určenou pro mobilní telefony – v Polsku byl zaznamenán kód napsaný pro platformy Symbian a Blackberry. Jakmile byl infikován i mobilní telefon, získali podvodníci kontrolu nad všemi částmi bankovní transakce. Malware na mobilu zajistil, že SMS zpráva s jednorázovým heslem byla přeposlány na telefon útočníka. Ten se již pak mohl přihlásit k on-line bankovnictví a provést veškeré potřebné kroky.
Svoji aktivitu může útočník navíc různě maskovat. SMS zpráva se po přeposlání z uživatelova mobilu smaže, takže ten nejspíš nic podezřelého nezaznamená. Vstup do systému provede malware přímo z uživatelova počítače, takže podezření nebude mít ani banka (jak by se mohlo stát, kdyby se útočník přihlásil ze své domovské, možná exotické země). Za tímto účelem lze i přihlášení provést v době, kdy se obvykle přihlašuje samotný uživatel, taktéž výši posílané částky lze přizpůsobit jeho běžným zvyklostem a nastaveným limitům.
Mimikry
Nebylo oznámeno, nakolik byli útočníci v Polsku úspěšní, ale podobnou akci můžeme očekávat i u nás. Ani lidé, kteří si do mobilu neinstalují žádné nové aplikace, přitom nejsou před botnetem Zeus v bezpečí. Malware totiž umožňuje provést úspěšný útok i bez kompromitování telefonu. Protože Zeus ovládne počítač a může manipulovat se vším, co se zobrazuje v prohlížeči a co browser odesílá serveru, jedna z variant podvodu funguje tak, že oběť provede svou vlastní transakci a sama přepíše kód ze SMS zprávy. Zeus ovšem zamění číslo účtu, na které chce uživatel provést platbu, za účet vlastní…