Finparáda Vám pomůže vybrat ten nejvhodnější finanční produkt
Bankovní účtySpořenípenzePůjčkyPojištěníInvesticeSpočtěte sibanky ...

Přichází nová generace bankovního malwaru

1.7.2013  |  Miroslav Čermák
  


Přichází nová generace bankovního malwaruKoncept potvrzování transakcí v internetovém bankovnictví, který je založen na přepisování jednorázových kódů, které banky zasílají svým klientům ve formě SMS na mobilní telefony, již není bezpečný a útoky z posledních týdnů to jasně potvrzují.

Pro přihlášení do internetového bankovnictví nebo potvrzení transakce požadují mnohé banky po svém klientovi zadání čísla mTAN (mobile Transaction Authentication Number), které mu zasílají přes síť mobilního operátora ve formě SMS na jeho mobilní telefon.

Informace o problematice bankovního malwaru nám poskytl server www.cleverandsmart.cz.

Neudržitelnost SMS konceptu potvrzena



O tom, že tento koncept postavený na SMS je dlouhodobě neudržitelný, jsme již psali v článku: Je smartbanking bezpečnější než internetbanking? A útoky, ke kterým následně došlo, tuto skutečnost jen potvrdily. Vždyť při posledním největším útoku z minulého roku označovaným jako Eurograbber bylo postiženo několik desítek tisíc klientů a z jejich účtů bylo odčerpáno několik desítek miliónů EUR. Útoky ale probíhaly i mimo EU, zasaženi byli i klienti větších bank v zemích bývalého SSSR, dále pak USA a Austrálie.

A bankovní škůdci to nevzdají



Rodina bankovního malwaru pro smartphony se nám totiž neutěšeně rozrůstá a aktivita malwaru jako je ZitMo, SpitMo, CitMo, Carberp nepolevuje. Situaci nahrává i únik zdrojových kódů tohoto malwaru, kdy případný zájemce o tvorbu bankovního malwaru již nemusí platit několik tisíc dolarů za jejich získání. Lze očekávat, že nové varianty na sebe nenechají dlouho čekat.

Současná ochrana internetového bankovnictví a prováděných transakcí



Klient se do internetového bankovnictví musí zpravidla dvoufaktorově autentizovat, to znamená, že nejprve zadá své uživatelské jméno a heslo (faktor z kategorie „něco ví“) a poté jednorázové heslo, které mu přijde na mobil (faktor z kategorie „něco má“). Tím je splněn požadavek na dvoufaktorovou autentizaci, tak jak ho definuje ve svém doporučení FFIEC.

Podobně je tomu i u autorizace transakce, kdy je klientovi zaslána SMS obsahující číslo cílového účtu, částku a mTAN, který klient musí přepsat do formuláře a transakci tak potvrdit. Vzhledem k tomu, že mTAN se ke klientovi dostává jiným kanálem, je splněna i další podmínka uvedena v dodatku FFIEC, a to aby autorizace transakce proběhla nezávislým kanálem, tzv. out-of-band.

Zloději museli vyřešit, jak se dostat k mTAN



Do nedávna se jevil tento způsob zabezpečení jako dostatečný, protože v okamžiku, kdy byl počítač klienta napaden nějakým škodlivým kódem a útočník získal jeho přihlašovací údaje a pokusil se transakci provést, nemohl ji dokončit, protože nebyl schopen zadat mTAN. Jednoduše proto, že neměl přístup k telefonu klienta, na který přišla SMS, a prakticky jedinou možností jak mTAN získat, byl Vishing, nepočítáme-li případ, kdy došlo k přenesení čísla k jinému operátorovi.

Novější malware dokázal změnit telefonní číslo pro zasílání mTAN



Brzy se však ukázalo, že tento způsob, jak se k mTAN dostat, je neefektivní. A tak se záhy objevila nová verze bankovního malwaru, která poté, co se klient do internetového bankovnictví přihlásil, změnila telefonní číslo, na které banka mTAN zasílá. Asi již tušíte, že se jednalo o SpitMo. Útočníci využívali skutečnosti, že banky ve svých SMS neuváděly, k jaké operaci se daný kód vztahuje, anebo po změně telefonního čísla ani žádnou SMS neposílaly.

Druhá generace malwaru už dokázala pracovat přímo v počítači klienta



Banky, které dvoufaktorovou autentizaci nezavedly, nasadily FDS a byly tak schopny poměrně spolehlivě určit, zda požadavek na realizaci transakce přišel od klienta nebo od útočníka. Jenže bankovní malware se vyvíjel dál a poměrně brzy se objevila druhá generace tohoto škodlivého kódu, která již byla schopna transakci provádět přímo z počítače klienta, a to tak, že škodlivý kód pozměnil před odesláním cílový účet a částku. Vzhledem k tomu, že požadavek přišel z počítače klienta v obvyklou dobu, mnohé FDS spoléhající až příliš na identifikaci stroje, nedetekovaly transakci jako podezřelou.

Útočníci využívali nepozornosti a důvěry klienta. Medializace dočasně pomohla



Úspěšnost tohoto útoku hodně záležela také na tom, zda banka v SMS zprávě kromě mTAN zobrazovala i cílový účet a částku a pokud ano, tak zda si klient tyto údaje před přepsáním mTAN zkontroloval. Pokud klient mTAN jen bezmyšlenkovitě přepsal, tak transakci potvrdil. Tato generace bankovního malwaru již byla úspěšnější, nicméně pořád musela spoléhat na nepozornost klienta.

Poté, co proběhla první vlna tohoto útoku, se úspěšnost útoků výrazně snížila. Přispěla k tomu především medializace tohoto útoku a osvěta ze strany bankovních institucí, které o tomto útoku informovaly své klienty, a ti již byli obezřetnější. Také mnohé banky, které v SMS doposud uváděly jen mTAN, přidaly do SMS též číslo cílového účtu a částku.

Nejnovější generace už ani nepotřebuje součinnost klienta pro získání mTAN



Třetí a zatím poslední generace bankovního malwaru, která na sebe nenechala dlouho čekat, zcela eliminovala výše zmíněný nedostatek a k dokončení transakce již v podstatě nepotřebuje téměř žádnou součinnost ze strany klienta. Rozuměj, klient již nemusí žádný mTAN přepisovat, neboť škodlivý kód si ho obstará sám. Jediné, co musí klient udělat, je nainstalovat si do svého smartphonu aplikaci, která bude číst obsah zpráv a přeposílat je útočníkovi.

Stačí, když si klient na počítač nainstaluje škodlivou aplikaci



Způsobů, jak k tomu klienta donutit, je několik. Útočníci zatím zvolili poměrně přímočarý způsob. Poté, co se jim podaří nakazit počítač klienta internetového bankovnictví škodlivým kódem, vloží do stránek internetového bankovnictví vlastní kód s odkazem na stažení aplikace pro smartphone, včetně zdůvodnění, proč by si měl klient tuto aplikaci nainstalovat.

Opět je ve hře důvěra či nepozornost



Vzhledem k tomu, že klient se nachází na stránce banky, což si může snadno ověřit kontrolou certifikátu, tak celkem logicky důvěřuje všemu, co je na stránkách banky uvedeno. Pokud se zde např. píše, že si má za účelem zvýšení své bezpečnosti do svého smartphone, na který mu jsou zasílány SMS, nainstalovat aplikaci, která ho ochrání, tak to udělá. Je otázka, proč se klient nepozastaví nad tím, že výzva je psána lámanou češtinou, a aplikaci si opravdu nainstaluje.

A nepozastaví se ani nad tím, že v mnoha případech je pro instalaci aplikace nutné povolit instalaci aplikace z jiných trhů, než je Google Play. Proč by se také pozastavoval, když je na stránkách internetového bankovnictví jasně vysvětleno, že to musí povolit právě proto, že se jedná o aplikaci od banky, a je zde uveden i návod, jak to udělat. Ovšem pokaždé to není nutné, neboť v některých případech byla tato aplikace umístěna delší dobu i na Google Play a na stránkách banky se nacházel QR kód umožňující její stažení.

Nakažený počítač, nakažený smartphone, pak už se stačí jen přihlásit



V okamžiku, kdy má klient nakažen počítač i smartphone, tak mu již není pomoci, protože škodlivý kód počká, až se klient přihlásí, a poté na pozadí vygeneruje transakci a odešle ji do banky. Banka vygeneruje SMS s mTAN, která přijde na smartphone klienta. Zde ji odchytí nainstalovaná aplikace, která jednorázový kód přepošle na server útočníka, kde se mTAN uloží do databáze. Škodlivý kód na počítači klienta provede dotaz do DB, stáhne si mTAN a transakci dokončí. Netřeba snad dodávat, že malware ve smartphone potlačí i akustické oznámení o přijetí zprávy.

Vykradači kont nepřestanou, budou se ještě lépe maskovat



Nyní již můžeme pomalu očekávat čtvrtou generaci bankovního malwaru, která bude víceméně jen zdokonalovat výše uvedený koncept. Lze očekávat silně polymorfní zašifrovaný kód využívající asymetrické kryptografie, který se bude v napadeném systému maskovat a bránit se odhalení. Je jisté, že C&C servery budou běžně navštěvované servery, a stejně tak i server sloužící jako drop zóna. K uložení příslušných údajů bude nepochybně využita steganografie. Samozřejmostí pak bude i perfektní čeština.

Jak se v současnosti bránit?



Obrana před stávajícím i novým bankovním malwarem je naštěstí poměrně snadná, stačí např. nasadit kalkulátor pracující na principu challenge-response, kde do výpočtu OTP vstupuje číslo účtu, částka a měna a na straně banky pak používat nějaký lepší FDS.

Originální znění článku naleznete zde.




    


Související články:
Jaký bude rok 2017 v oblasti financí? Zdraží hypotéky, životní pojištění a některým řidičům i povinné ručení

Jaké finty používají současní vykradači kont?

Jak smartbanking přicházel a který je nejlepší? 2. část velkého srovnání

Je bezpečné přistupovat k účtu v bance ze smartphonu?

Bezkontaktní platby: Jsou bezpečné?

Žebříček s nejlepšími osobními účty podle odborníků - zde
Přehled celé nabídky bankovních účtů - zde

reklama

Equa běžný účet - 0 Kč za výběr ze všech bankomatů v ČRvíce
Malý Tarif - bez absurdních poplatkůvíce
Velký Tarif - 3 měsíce na zkoušku zdarmavíce
Creditas běžný účet - bez poplatků za vedenívíce

mKonto Business - účet pro podnikatele, který máte rádivíce




všechny články
Dále v rubrice

Jaký bude rok 2017 v oblasti financí? Zdraží hypotéky, životní pojištění a některým řidičům i povinné ručení

Finance v roce 2017 Letošní rok přinesl do oblasti financí mnoho legislativních změn. Od začátku prosince začaly platit dva velké zákony. Jeden se týkal spotřebitelských úvěrů a hypoték, druhý reguluje životní pojištění...

Komerční banka do mobilního bankovnictví doplnila aktivní ochranu proti nebezpečným útokům

Ochrana mobilního bankovnictví KB Komerční banka jako první banka v České republice začala nabízet v rámci své aplikace pro mobilní bankovnictví aktivní bezpečnostní ochranu s názvem IBM Trusteer Mobile. Ta se nově stala...

mBank začala k mKontu pro děti vydávat i dětskou kartu

Dětská karta k mKontu pro děti mBank nově zavádí karty ke svým účtům pro děti do 15 let. mKarty je možné objednat dětem starším 8 let. Vedení karty je bezplatné a není k tomu zapotřebí plnit žádné další podmínky. Od srpna letošního...

Historie zavádění technologie 3D Secure pro vyšší zabezpečení plateb kartou na internetu v Česku

3D Secure při platbě kartou na internetu V listopadu 2016 zavedly tzv. 3D Secure zabezpečení pro platby svými kartami na internetu mBank a Fio banka. Počátky tohoto bezpečnostního prvku je možné zasadit do roku 2004, další rozvoj - přímo...

všechny články v rubrice










   
 
Půjčka Air Bank
Výhodná půjčka vás odmění za včasné splácení
Air Bank


Minutová půjčka
s RPSN od 5,9 %
Equa bank


ANO konto
Běžný účet zcela ZDARMA
ANO spořitelní družstvo


Equa bank
Užijte si pohodlí běžného účtu se zlatou kartou
Equa bank


Studentské Konto G2.2
nyní s bonusem až 700 Kč
Komerční banka




Bankovní účtySpořeníPenzePůjčkyPojištěníInvesticeSpočtěte siBanky, pojišťovny, ...DomůO FinparáděTiskRedakceNapište nám  


Finparáda - finance na dlani   Všechna práva vyhrazena
Scott & Rose, s.r.o., U Chaloupek 410/5, 182 00 Praha 8, IČ: 26148374, DIČ: CZ26148374, Email: redakce@finparada.cz