Finparáda Vám pomůže vybrat ten nejvhodnější finanční produkt
Bankovní účtySpořenípenzePůjčkyPojištěníInvesticeSpočtěte sibanky ...

Přichází nová generace bankovního malwaru

1.7.2013  |  Miroslav Čermák
  


Přichází nová generace bankovního malwaruKoncept potvrzování transakcí v internetovém bankovnictví, který je založen na přepisování jednorázových kódů, které banky zasílají svým klientům ve formě SMS na mobilní telefony, již není bezpečný a útoky z posledních týdnů to jasně potvrzují.

Pro přihlášení do internetového bankovnictví nebo potvrzení transakce požadují mnohé banky po svém klientovi zadání čísla mTAN (mobile Transaction Authentication Number), které mu zasílají přes síť mobilního operátora ve formě SMS na jeho mobilní telefon.

Informace o problematice bankovního malwaru nám poskytl server www.cleverandsmart.cz.

Neudržitelnost SMS konceptu potvrzena



O tom, že tento koncept postavený na SMS je dlouhodobě neudržitelný, jsme již psali v článku: Je smartbanking bezpečnější než internetbanking? A útoky, ke kterým následně došlo, tuto skutečnost jen potvrdily. Vždyť při posledním největším útoku z minulého roku označovaným jako Eurograbber bylo postiženo několik desítek tisíc klientů a z jejich účtů bylo odčerpáno několik desítek miliónů EUR. Útoky ale probíhaly i mimo EU, zasaženi byli i klienti větších bank v zemích bývalého SSSR, dále pak USA a Austrálie.

A bankovní škůdci to nevzdají



Rodina bankovního malwaru pro smartphony se nám totiž neutěšeně rozrůstá a aktivita malwaru jako je ZitMo, SpitMo, CitMo, Carberp nepolevuje. Situaci nahrává i únik zdrojových kódů tohoto malwaru, kdy případný zájemce o tvorbu bankovního malwaru již nemusí platit několik tisíc dolarů za jejich získání. Lze očekávat, že nové varianty na sebe nenechají dlouho čekat.

Současná ochrana internetového bankovnictví a prováděných transakcí



Klient se do internetového bankovnictví musí zpravidla dvoufaktorově autentizovat, to znamená, že nejprve zadá své uživatelské jméno a heslo (faktor z kategorie „něco ví“) a poté jednorázové heslo, které mu přijde na mobil (faktor z kategorie „něco má“). Tím je splněn požadavek na dvoufaktorovou autentizaci, tak jak ho definuje ve svém doporučení FFIEC.

Podobně je tomu i u autorizace transakce, kdy je klientovi zaslána SMS obsahující číslo cílového účtu, částku a mTAN, který klient musí přepsat do formuláře a transakci tak potvrdit. Vzhledem k tomu, že mTAN se ke klientovi dostává jiným kanálem, je splněna i další podmínka uvedena v dodatku FFIEC, a to aby autorizace transakce proběhla nezávislým kanálem, tzv. out-of-band.

Zloději museli vyřešit, jak se dostat k mTAN



Do nedávna se jevil tento způsob zabezpečení jako dostatečný, protože v okamžiku, kdy byl počítač klienta napaden nějakým škodlivým kódem a útočník získal jeho přihlašovací údaje a pokusil se transakci provést, nemohl ji dokončit, protože nebyl schopen zadat mTAN. Jednoduše proto, že neměl přístup k telefonu klienta, na který přišla SMS, a prakticky jedinou možností jak mTAN získat, byl Vishing, nepočítáme-li případ, kdy došlo k přenesení čísla k jinému operátorovi.

Novější malware dokázal změnit telefonní číslo pro zasílání mTAN



Brzy se však ukázalo, že tento způsob, jak se k mTAN dostat, je neefektivní. A tak se záhy objevila nová verze bankovního malwaru, která poté, co se klient do internetového bankovnictví přihlásil, změnila telefonní číslo, na které banka mTAN zasílá. Asi již tušíte, že se jednalo o SpitMo. Útočníci využívali skutečnosti, že banky ve svých SMS neuváděly, k jaké operaci se daný kód vztahuje, anebo po změně telefonního čísla ani žádnou SMS neposílaly.

Druhá generace malwaru už dokázala pracovat přímo v počítači klienta



Banky, které dvoufaktorovou autentizaci nezavedly, nasadily FDS a byly tak schopny poměrně spolehlivě určit, zda požadavek na realizaci transakce přišel od klienta nebo od útočníka. Jenže bankovní malware se vyvíjel dál a poměrně brzy se objevila druhá generace tohoto škodlivého kódu, která již byla schopna transakci provádět přímo z počítače klienta, a to tak, že škodlivý kód pozměnil před odesláním cílový účet a částku. Vzhledem k tomu, že požadavek přišel z počítače klienta v obvyklou dobu, mnohé FDS spoléhající až příliš na identifikaci stroje, nedetekovaly transakci jako podezřelou.

Útočníci využívali nepozornosti a důvěry klienta. Medializace dočasně pomohla



Úspěšnost tohoto útoku hodně záležela také na tom, zda banka v SMS zprávě kromě mTAN zobrazovala i cílový účet a částku a pokud ano, tak zda si klient tyto údaje před přepsáním mTAN zkontroloval. Pokud klient mTAN jen bezmyšlenkovitě přepsal, tak transakci potvrdil. Tato generace bankovního malwaru již byla úspěšnější, nicméně pořád musela spoléhat na nepozornost klienta.

Poté, co proběhla první vlna tohoto útoku, se úspěšnost útoků výrazně snížila. Přispěla k tomu především medializace tohoto útoku a osvěta ze strany bankovních institucí, které o tomto útoku informovaly své klienty, a ti již byli obezřetnější. Také mnohé banky, které v SMS doposud uváděly jen mTAN, přidaly do SMS též číslo cílového účtu a částku.

Nejnovější generace už ani nepotřebuje součinnost klienta pro získání mTAN



Třetí a zatím poslední generace bankovního malwaru, která na sebe nenechala dlouho čekat, zcela eliminovala výše zmíněný nedostatek a k dokončení transakce již v podstatě nepotřebuje téměř žádnou součinnost ze strany klienta. Rozuměj, klient již nemusí žádný mTAN přepisovat, neboť škodlivý kód si ho obstará sám. Jediné, co musí klient udělat, je nainstalovat si do svého smartphonu aplikaci, která bude číst obsah zpráv a přeposílat je útočníkovi.

Stačí, když si klient na počítač nainstaluje škodlivou aplikaci



Způsobů, jak k tomu klienta donutit, je několik. Útočníci zatím zvolili poměrně přímočarý způsob. Poté, co se jim podaří nakazit počítač klienta internetového bankovnictví škodlivým kódem, vloží do stránek internetového bankovnictví vlastní kód s odkazem na stažení aplikace pro smartphone, včetně zdůvodnění, proč by si měl klient tuto aplikaci nainstalovat.

Opět je ve hře důvěra či nepozornost



Vzhledem k tomu, že klient se nachází na stránce banky, což si může snadno ověřit kontrolou certifikátu, tak celkem logicky důvěřuje všemu, co je na stránkách banky uvedeno. Pokud se zde např. píše, že si má za účelem zvýšení své bezpečnosti do svého smartphone, na který mu jsou zasílány SMS, nainstalovat aplikaci, která ho ochrání, tak to udělá. Je otázka, proč se klient nepozastaví nad tím, že výzva je psána lámanou češtinou, a aplikaci si opravdu nainstaluje.

A nepozastaví se ani nad tím, že v mnoha případech je pro instalaci aplikace nutné povolit instalaci aplikace z jiných trhů, než je Google Play. Proč by se také pozastavoval, když je na stránkách internetového bankovnictví jasně vysvětleno, že to musí povolit právě proto, že se jedná o aplikaci od banky, a je zde uveden i návod, jak to udělat. Ovšem pokaždé to není nutné, neboť v některých případech byla tato aplikace umístěna delší dobu i na Google Play a na stránkách banky se nacházel QR kód umožňující její stažení.

Nakažený počítač, nakažený smartphone, pak už se stačí jen přihlásit



V okamžiku, kdy má klient nakažen počítač i smartphone, tak mu již není pomoci, protože škodlivý kód počká, až se klient přihlásí, a poté na pozadí vygeneruje transakci a odešle ji do banky. Banka vygeneruje SMS s mTAN, která přijde na smartphone klienta. Zde ji odchytí nainstalovaná aplikace, která jednorázový kód přepošle na server útočníka, kde se mTAN uloží do databáze. Škodlivý kód na počítači klienta provede dotaz do DB, stáhne si mTAN a transakci dokončí. Netřeba snad dodávat, že malware ve smartphone potlačí i akustické oznámení o přijetí zprávy.

Vykradači kont nepřestanou, budou se ještě lépe maskovat



Nyní již můžeme pomalu očekávat čtvrtou generaci bankovního malwaru, která bude víceméně jen zdokonalovat výše uvedený koncept. Lze očekávat silně polymorfní zašifrovaný kód využívající asymetrické kryptografie, který se bude v napadeném systému maskovat a bránit se odhalení. Je jisté, že C&C servery budou běžně navštěvované servery, a stejně tak i server sloužící jako drop zóna. K uložení příslušných údajů bude nepochybně využita steganografie. Samozřejmostí pak bude i perfektní čeština.

Jak se v současnosti bránit?



Obrana před stávajícím i novým bankovním malwarem je naštěstí poměrně snadná, stačí např. nasadit kalkulátor pracující na principu challenge-response, kde do výpočtu OTP vstupuje číslo účtu, částka a měna a na straně banky pak používat nějaký lepší FDS.

Originální znění článku naleznete zde.




    


Související články:
Změny poplatků v květnu a plán úprav na další měsíce

Jaké finty používají současní vykradači kont?

Jak smartbanking přicházel a který je nejlepší? 2. část velkého srovnání

Je bezpečné přistupovat k účtu v bance ze smartphonu?

Bezkontaktní platby: Jsou bezpečné?

Kalkulačka Vám odpoví, která banka nabízí účet s nejnižšími poplatky - zde
Přehled celé nabídky bankovních účtů - zde





všechny články
Dále v rubrice

Změny poplatků v květnu a plán úprav na další měsíce

Poplatky Změny ve svých sazebnících provedly v průběhu uplynulého měsíce, tj. na konci dubna a na začátku května, tyto banky: Česká spořitelna, která ze sazebníku vypustila některé položky a jiné naopak doplnila...

Pokladny z obchodů mohou v budoucnu zmizet. Jaké platební systémy se prosazují?

Obchod bez pokladny Tradiční způsob placení za nákup v obchodu u pokladny, zdá se, má na kahánku. Stále více se objevují nové způsoby, jak placení za nakoupené zboží zjednodušit a zautomatizovat...

Equa bank nabízí podnikatelům platební terminály a platební bránu

Zlatá karta Equa bank Další banka, a to Equa bank, rozšířila portfolio svých služeb o nabídku platebních terminálů obchodníkům a navazující podporu v podobě dodávky terminálů, jejich instalace a implementace...

Co Češi dělají špatně a ohrožují tak své peníze na účtu v bance?

ČSOB aplikace NaAndroid ČSOB zveřejnila výsledky výzkumu, který zjišťoval, jakými nešvary trpí česká veřejnost při zabezpečení svých peněz na bankovních účtech. Třetina Čechů například někdy půjčila svou...

všechny články v rubrice










   
 
Hledáte půjčku?
Požádejte online a získejte od ZUNO nízkou splátku
ZUNO Bank


Výhodné spoření
Úrok až 1,1 % ročně bez složitých podmínek
ZUNO Bank


Nej refinancování
V ZUNO dostává každý druhý klient úrok 6,9 % p.a.
ZUNO Bank


Běžný účet
S bezkontaktní kartou za 0 Kč měsíčně
ZUNO Bank




Bankovní účtySpořeníPenzePůjčkyPojištěníInvesticeSpočtěte siBanky, pojišťovny, ...DomůO FinparáděTiskRedakceNapište nám  


Finparáda - finance na dlani   Všechna práva vyhrazena
Scott & Rose, s.r.o., U Chaloupek 410/5, 182 00 Praha 8, IČ: 26148374, DIČ: CZ26148374, Email: redakce@finparada.cz