Jaké finty používají současní vykradači kont?
| 18.3.2013 | Miroslav Čermák | |
 Bankovní malware je
škodlivý kód, který se na
počítač klienta dostává mnoha
různými způsoby, a jeho výsledkem je převod
částky o určité výši na
zcela jiný účet, zpravidla v jiné
bance, z kterého je daná částka
následně vybrána.
V zásadě existují dva
základní způsoby, jak
dochází k realizaci těchto
neautorizovaných transakcí. Buď jsou
prováděny ze zcela jiného počítače,
anebo přímo z počítače napadeného
klienta, a takových případů
přibývá.
Zcizení identity
První způsob, který je však pomalu na
ústupu, spočívá v
získání
přihlašovacích údajů (identity theft)
prostřednictvím keyloggeru
(zaznamenává stisknuté
klávesy na vybraných
stránkách) a phishingu (mail
tvářící se, že je od banky, a
požadující
přihlášení se na uvedeném
odkazu). Přihlašovací údaje
získané tímto způsobem jsou uloženy do
drop zóny, odkud si je útočník
vyzvedne. Tyto přihlašovací údaje jsou
pak prodány dalšímu
útočníkovi, který je použije k
přihlášení do internetového
bankovnictví.
Ovšem vzhledem k tomu, že stále více
bank používá dvoufaktorovou autentizaci a
autorizaci transakce jiným kanálem (Out-Of-Band,
zkr. OOB), může se útočník v
nejhorším případě pouze
přihlásit do aplikace a tam provádět
pasivní operace, tj. zjistit zůstatek, pohyby na
účtu a další informace o klientovi.
Může se samozřejmě pokusit transakci zadat, ale bude
neúspěšný, protože se mu ji nepovede
dokončit, neboť k tomu by musel znát ještě
jednorázový autorizační kód
(mTAN zasílaný jako SMS na mobil klienta nebo TAN
generovaný kalkulátorem), případně by
musel mít čipovou kartu, na které se
nachází privátní
klíč, kterým klient transakce podepisuje.
Někteří útočníci jsou ale tak
drzí, že klientovi zavolají, představí
se jako zaměstnanci banky a požádají ho, aby jim
mTAN nadiktoval. Jedná se o tzv. vishing.
MitB a MitMo
Mnohem častěji ale útok probíhá tak,
že se škodlivý kód
usídlí přímo v prohlížeči
klienta a začlení se do stránky
internetového bankovnictví (Man-in-the-Browser,
zkr. MitB). Tím, že je její
součástí, může zobrazovat ve
formulářových polích hodnoty,
které zadal klient, a po kliknutí na
tlačítko odeslat změnit cílové
číslo účtu a částku na hodnotu
definovanou útočníkem. Kromě toho může do
stránky včlenit další
formulářové pole, ve kterém bude z
důvodu vyššího zabezpečení
požadováno zadání čísla
mobilního telefonu nebo zde bude uveden odkaz na
stažení certifikátu nebo aplikace pro smartphone
za účelem zvýšení
bezpečnosti. Pokud klient tyto údaje zadá nebo se
pokusí stáhnout do svého smartphonu
daný certifikát, stáhne si do
svého smartphonu akorát malware.
Klient obvykle nepojme žádné
podezření, protože se nachází na
stránce banky. V adresním řádku se
nachází ikonka zámečku a
certifikát byl vydán důvěryhodnou
certifikační autoritou pro daný web a společnost
a jeho otisk souhlasí s otiskem, který je uveden
na smlouvě. Pokud je k potvrzení transakce
používána čipová karta,
která je propojena s počítačem, zadá
klient PIN a provede se jakákoliv transakce. Tedy i ta,
kterou chce útočník. Pokud je k autorizaci
transakce nutno přepsat mTAN, musí
útočník spoléhat na to, že SMS buď
detaily transakce neobsahuje nebo si klient danou SMS
pořádně nepřečte a mTAN opíše, aniž
by si zkontroloval, jaký cílový
účet byl v SMS uveden. V novějších
verzích pak malware v telefonu (Man-in-the-Mobile, zkr.
MitMo) danou SMS zmodifikuje nebo ji přepošle
útočníkovi, jehož stroj daný
autorizační kód přepíše
rychleji než klient.
Závěr: Obrana před tímto i novým
bankovním malwarem je poměrně snadná, pro
autorizaci transakce stačí používat
kalkulátor pracující na principu
challenge-response, to znamená, že do výpočtu OTP
(one-time-password, čili jednorázové heslo)
vstupuje číslo účtu, částka a měna a
na straně banky pak stačí nasadit nějaký FDS.
Článek v originální podobě naleznete ZDE.
všechny články | |
Dále v rubrice
všechny články v rubrice
|