Finparáda Vám pomůže vybrat ten nejvhodnější finanční produkt
Bankovní účtySpořenípenzePůjčkyPojištěníInvesticeSpočtěte sibanky ...

Jaké finty používají současní vykradači kont?

18.3.2013  |  Miroslav Čermák
  


Jaké finty používají moderní bankovní lupiči. Na snímku: mobilní telefonBankovní malware je škodlivý kód, který se na počítač klienta dostává mnoha různými způsoby, a jeho výsledkem je převod částky o určité výši na zcela jiný účet, zpravidla v jiné bance, z kterého je daná částka následně vybrána.

V zásadě existují dva základní způsoby, jak dochází k realizaci těchto neautorizovaných transakcí. Buď jsou prováděny ze zcela jiného počítače, anebo přímo z počítače napadeného klienta, a takových případů přibývá.



Zcizení identity



První způsob, který je však pomalu na ústupu, spočívá v získání přihlašovacích údajů (identity theft) prostřednictvím keyloggeru (zaznamenává stisknuté klávesy na vybraných stránkách) a phishingu (mail tvářící se, že je od banky, a požadující přihlášení se na uvedeném odkazu). Přihlašovací údaje získané tímto způsobem jsou uloženy do drop zóny, odkud si je útočník vyzvedne. Tyto přihlašovací údaje jsou pak prodány dalšímu útočníkovi, který je použije k přihlášení do internetového bankovnictví.

Ovšem vzhledem k tomu, že stále více bank používá dvoufaktorovou autentizaci a autorizaci transakce jiným kanálem (Out-Of-Band, zkr. OOB), může se útočník v nejhorším případě pouze přihlásit do aplikace a tam provádět pasivní operace, tj. zjistit zůstatek, pohyby na účtu a další informace o klientovi. Může se samozřejmě pokusit transakci zadat, ale bude neúspěšný, protože se mu ji nepovede dokončit, neboť k tomu by musel znát ještě jednorázový autorizační kód (mTAN zasílaný jako SMS na mobil klienta nebo TAN generovaný kalkulátorem), případně by musel mít čipovou kartu, na které se nachází privátní klíč, kterým klient transakce podepisuje. Někteří útočníci jsou ale tak drzí, že klientovi zavolají, představí se jako zaměstnanci banky a požádají ho, aby jim mTAN nadiktoval. Jedná se o tzv. vishing.


MitB a MitMo



Mnohem častěji ale útok probíhá tak, že se škodlivý kód usídlí přímo v prohlížeči klienta a začlení se do stránky internetového bankovnictví (Man-in-the-Browser, zkr. MitB). Tím, že je její součástí, může zobrazovat ve formulářových polích hodnoty, které zadal klient, a po kliknutí na tlačítko odeslat změnit cílové číslo účtu a částku na hodnotu definovanou útočníkem. Kromě toho může do stránky včlenit další formulářové pole, ve kterém bude z důvodu vyššího zabezpečení požadováno zadání čísla mobilního telefonu nebo zde bude uveden odkaz na stažení certifikátu nebo aplikace pro smartphone za účelem zvýšení bezpečnosti. Pokud klient tyto údaje zadá nebo se pokusí stáhnout do svého smartphonu daný certifikát, stáhne si do svého smartphonu akorát malware.

Klient obvykle nepojme žádné podezření, protože se nachází na stránce banky. V adresním řádku se nachází ikonka zámečku a certifikát byl vydán důvěryhodnou certifikační autoritou pro daný web a společnost a jeho otisk souhlasí s otiskem, který je uveden na smlouvě. Pokud je k potvrzení transakce používána čipová karta, která je propojena s počítačem, zadá klient PIN a provede se jakákoliv transakce. Tedy i ta, kterou chce útočník. Pokud je k autorizaci transakce nutno přepsat mTAN, musí útočník spoléhat na to, že SMS buď detaily transakce neobsahuje nebo si klient danou SMS pořádně nepřečte a mTAN opíše, aniž by si zkontroloval, jaký cílový účet byl v SMS uveden. V novějších verzích pak malware v telefonu (Man-in-the-Mobile, zkr. MitMo) danou SMS zmodifikuje nebo ji přepošle útočníkovi, jehož stroj daný autorizační kód přepíše rychleji než klient.

Závěr: Obrana před tímto i novým bankovním malwarem je poměrně snadná, pro autorizaci transakce stačí používat kalkulátor pracující na principu challenge-response, to znamená, že do výpočtu OTP (one-time-password, čili jednorázové heslo) vstupuje číslo účtu, částka a měna a na straně banky pak stačí nasadit nějaký FDS.

Článek v originální podobě naleznete ZDE.




    


Související články:
Daňové novinky 2018: otcovskou i dávku dlouhodobého ošetřovného mohou čerpat zaměstnanci i OSVČ

Česká spořitelna umožní v aplikaci George v příštím roce prohlížení účtů jiných bank

Je smartbanking bezpečnější než internetbanking?

Jak se nestat obětí finančního poradenství?

Je bezpečné přistupovat k účtu v bance ze smartphonu?

Žebříček s nejlepšími osobními účty podle odborníků - zde
Kalkulačka Vám odpoví, která banka nabízí účet s nejnižšími poplatky - zde

reklama

Malý Tarif - bez absurdních poplatkůvíce
Velký Tarif - 3 měsíce na zkoušku zdarmavíce
eKonto SMART - běžné bankovní služby zdarma pro aktivní uživatelevíce

mKonto - běžný účet bez poplatkůvíce

mKonto Business - účet pro podnikatele, který máte rádivíce




všechny články
Dále v rubrice

Daňové novinky 2018: otcovskou i dávku dlouhodobého ošetřovného mohou čerpat zaměstnanci i OSVČ

Obrázek: Peníze na daně Průměrná mzda poroste i v roce 2018, a tak si pojištěnci jak na zdravotním, tak na sociálním pojištění připlatí. Změny pojištěnce čekají i v rámci nemocenského pojištění. Novely zavádějí dvě zcela nové...

Česká spořitelna umožní v aplikaci George v příštím roce prohlížení účtů jiných bank

Obrázek: Pobočka České spořitelny Česká spořitelna informovala novináře o aktuálním stavu v nasazování nového internetového bankovnictví George a jeho mobilní verze George Go. V současnosti tuto novinku, která v budoucnu...

Hesla si nemění polovina Čechů. Mnozí si stále neuvědomují nebezpečí číhající na sociálních sítích

Obrázek: Mobilní telefon Index bezpečnosti ČBA, který sleduje vybraná kritéria bezpečného chování na internetu, je aktuálně na úrovni 59 %, což je nejméně od roku 2013. Důvodů mírného poklesu je několik: mnozí z nás pravidelně...

Srovnání nabídky dětských kont od českých bank. Liší se zejména tím, co s nimi lze provádět

Obrázek: Dítě Přinášíme vám srovnání nabídky v oblasti dětských kont. Parametry všech nabízených dětských kont najdete v tabulce. Můžete si porovnat minimální vklad, možnost vedení internetového nebo mobilního...

všechny články v rubrice










   
 
Běžný účet Air Bank
Jediný běžný účet s úrokem 1,0 %
Air Bank


NEY konto
Běžný účet zcela ZDARMA
NEY spořitelní družstvo


Equa bank
Užijte si pohodlí běžného účtu se zlatou kartou
Equa bank


Studentské Konto G2.2
nyní s bonusem 350 Kč za platný ISIC
Komerční banka


MůjÚčet od KB
za 0 Kč měsíčně s garancí kvality
Komerční banka




Bankovní účtySpořeníPenzePůjčkyPojištěníInvesticeSpočtěte siBanky, pojišťovny, ...DomůO FinparáděTiskRedakceNapište nám  


Finparáda - finance na dlani   Všechna práva vyhrazena
Scott & Rose, s.r.o., U Chaloupek 410/5, 182 00 Praha 8, IČ: 26148374, DIČ: CZ26148374, Email: redakce@finparada.cz