Přichází nová generace bankovního malwaru
| 1.7.2013 | Miroslav Čermák | |
 Koncept
potvrzování transakcí v
internetovém
bankovnictví, který je založen na
přepisování jednorázových
kódů,
které banky zasílají svým
klientům ve formě
SMS na mobilní telefony, již není
bezpečný a
útoky z posledních týdnů to jasně
potvrzují.
Pro
přihlášení do internetového
bankovnictví nebo potvrzení transakce
požadují
mnohé banky po svém klientovi
zadání čísla mTAN
(mobile Transaction Authentication Number), které mu
zasílají přes síť mobilního
operátora ve formě SMS na jeho mobilní telefon.
Neudržitelnost SMS konceptu potvrzena
O tom, že tento koncept postavený na SMS je dlouhodobě
neudržitelný, jsme již psali v článku: Je
smartbanking bezpečnější než internetbanking?
A
útoky, ke kterým následně
došlo, tuto
skutečnost jen potvrdily. Vždyť při posledním
největším útoku z minulého
roku
označovaným jako Eurograbber bylo postiženo několik
desítek tisíc klientů a z jejich účtů
bylo
odčerpáno několik desítek miliónů EUR.
Útoky ale probíhaly i mimo EU, zasaženi byli i
klienti
větších bank v zemích
bývalého SSSR,
dále pak USA a Austrálie.
A bankovní škůdci to nevzdají
Rodina bankovního
malwaru pro smartphony se nám totiž neutěšeně
rozrůstá a aktivita malwaru jako je ZitMo, SpitMo, CitMo,
Carberp nepolevuje. Situaci nahrává i
únik
zdrojových kódů tohoto malwaru, kdy
případný zájemce o tvorbu
bankovního
malwaru již nemusí platit několik tisíc dolarů za
jejich
získání. Lze očekávat, že
nové
varianty na sebe nenechají dlouho čekat.
Současná ochrana internetového
bankovnictví a prováděných
transakcí
Klient se do
internetového bankovnictví musí
zpravidla
dvoufaktorově autentizovat, to znamená, že nejprve
zadá
své uživatelské jméno a heslo (faktor
z kategorie
„něco ví“) a poté
jednorázové
heslo, které mu přijde na mobil (faktor z kategorie
„něco
má“). Tím je splněn požadavek na
dvoufaktorovou
autentizaci, tak jak ho definuje ve svém
doporučení FFIEC.
Podobně
je tomu i u autorizace transakce, kdy je klientovi zaslána
SMS
obsahující číslo
cílového
účtu, částku a mTAN, který klient
musí
přepsat do formuláře a transakci tak potvrdit. Vzhledem k
tomu,
že mTAN se ke klientovi dostává jiným
kanálem, je splněna i další
podmínka
uvedena v dodatku FFIEC, a to aby autorizace transakce proběhla
nezávislým kanálem, tzv. out-of-band.
Zloději museli vyřešit, jak se dostat k mTAN
Do
nedávna se jevil tento způsob zabezpečení jako
dostatečný, protože v okamžiku, kdy byl počítač
klienta
napaden nějakým škodlivým
kódem a
útočník získal jeho
přihlašovací
údaje a pokusil se transakci provést, nemohl ji
dokončit,
protože nebyl schopen zadat mTAN. Jednoduše proto, že neměl
přístup k telefonu klienta, na který
přišla SMS, a
prakticky jedinou možností jak mTAN získat, byl
Vishing,
nepočítáme-li případ, kdy
došlo k
přenesení čísla k jinému
operátorovi.
Novější malware dokázal
změnit telefonní číslo pro
zasílání mTAN
Brzy
se však ukázalo, že tento způsob, jak se k mTAN
dostat,
je neefektivní. A tak se záhy objevila
nová verze
bankovního malwaru, která poté, co se
klient do
internetového bankovnictví přihlásil,
změnila
telefonní číslo, na které banka mTAN
zasílá. Asi již tušíte, že
se jednalo o
SpitMo. Útočníci využívali
skutečnosti, že banky
ve svých SMS neuváděly, k jaké operaci
se
daný kód vztahuje, anebo po změně
telefonního
čísla ani žádnou SMS neposílaly.
Druhá generace malwaru už dokázala
pracovat přímo v počítači klienta
Banky,
které dvoufaktorovou autentizaci nezavedly, nasadily FDS a
byly
tak schopny poměrně spolehlivě určit, zda požadavek na realizaci
transakce přišel od klienta nebo od
útočníka.
Jenže bankovní malware se vyvíjel dál
a poměrně
brzy se objevila druhá generace tohoto
škodlivého
kódu, která již byla schopna transakci
provádět
přímo z počítače klienta, a to tak, že
škodlivý kód pozměnil před
odesláním
cílový účet a částku.
Vzhledem k tomu, že
požadavek přišel z počítače klienta v obvyklou
dobu,
mnohé FDS spoléhající až
příliš na identifikaci stroje, nedetekovaly
transakci
jako podezřelou.
Útočníci využívali
nepozornosti a důvěry klienta. Medializace dočasně pomohla
Úspěšnost tohoto útoku
hodně záležela také na tom, zda banka v SMS
zprávě
kromě mTAN zobrazovala i cílový účet a
částku a pokud ano, tak zda si klient tyto údaje
před
přepsáním mTAN zkontroloval. Pokud klient mTAN
jen
bezmyšlenkovitě přepsal, tak transakci potvrdil. Tato
generace
bankovního malwaru již byla
úspěšnější,
nicméně pořád
musela spoléhat na nepozornost klienta.
Poté, co
proběhla první vlna tohoto útoku, se
úspěšnost útoků výrazně
snížila.
Přispěla k tomu především medializace tohoto
útoku
a osvěta ze strany bankovních institucí,
které o
tomto útoku informovaly své klienty, a ti již
byli
obezřetnější. Také mnohé
banky,
které v SMS doposud uváděly jen mTAN, přidaly do
SMS
též číslo cílového
účtu a
částku.
Nejnovější generace už ani nepotřebuje
součinnost klienta pro získání mTAN
Třetí a zatím poslední
generace bankovního malwaru, která na sebe
nenechala
dlouho čekat, zcela eliminovala výše
zmíněný nedostatek a k dokončení
transakce již v
podstatě nepotřebuje téměř žádnou součinnost ze
strany
klienta. Rozuměj, klient již nemusí
žádný mTAN
přepisovat, neboť škodlivý kód si ho
obstará sám. Jediné, co
musí klient udělat,
je nainstalovat si do svého smartphonu aplikaci,
která
bude číst obsah zpráv a přeposílat je
útočníkovi.
Stačí, když si klient na počítač
nainstaluje škodlivou aplikaci
Způsobů, jak k tomu klienta donutit,
je několik. Útočníci zatím zvolili
poměrně
přímočarý způsob. Poté, co se jim
podaří
nakazit počítač klienta internetového
bankovnictví
škodlivým kódem, vloží do
stránek
internetového bankovnictví vlastní
kód s
odkazem na stažení aplikace pro smartphone, včetně
zdůvodnění, proč by si měl klient tuto aplikaci nainstalovat.
Opět je ve hře důvěra či nepozornost
Vzhledem
k tomu, že klient se nachází na
stránce banky, což
si může snadno ověřit kontrolou certifikátu, tak celkem
logicky
důvěřuje všemu, co je na stránkách
banky uvedeno.
Pokud se zde např. píše, že si má za
účelem
zvýšení své bezpečnosti do
svého
smartphone, na který mu jsou zasílány
SMS,
nainstalovat aplikaci, která ho
ochrání, tak to
udělá. Je otázka, proč se klient
nepozastaví nad
tím, že výzva je psána
lámanou
češtinou, a aplikaci si opravdu nainstaluje.
A
nepozastaví se ani nad tím, že v mnoha
případech
je pro instalaci aplikace nutné povolit instalaci aplikace z
jiných trhů, než je Google Play. Proč by se také
pozastavoval, když je na stránkách
internetového
bankovnictví jasně vysvětleno, že to musí povolit
právě proto, že se jedná o aplikaci od banky, a
je zde
uveden i návod, jak to udělat. Ovšem
pokaždé to
není nutné, neboť v některých
případech
byla tato aplikace umístěna delší dobu
i na Google
Play a na stránkách banky se nacházel
QR
kód umožňující její
stažení.
Nakažený počítač, nakažený
smartphone, pak už se stačí jen přihlásit
V
okamžiku, kdy má klient nakažen počítač i
smartphone, tak
mu již není pomoci, protože škodlivý
kód
počká, až se klient přihlásí, a
poté na
pozadí vygeneruje transakci a odešle ji do banky.
Banka
vygeneruje SMS s mTAN, která přijde na smartphone klienta.
Zde
ji odchytí nainstalovaná aplikace,
která
jednorázový kód přepošle na
server
útočníka, kde se mTAN uloží do
databáze.
Škodlivý kód na počítači
klienta provede
dotaz do DB, stáhne si mTAN a transakci dokončí.
Netřeba
snad dodávat, že malware ve smartphone potlačí i
akustické oznámení o
přijetí zprávy.
Vykradači kont nepřestanou, budou se ještě
lépe maskovat
Nyní
již můžeme pomalu očekávat čtvrtou generaci
bankovního
malwaru, která bude víceméně jen
zdokonalovat
výše uvedený koncept. Lze
očekávat silně
polymorfní zašifrovaný kód
využívající asymetrické
kryptografie,
který se bude v napadeném systému
maskovat a
bránit se odhalení. Je jisté, že
C&C servery
budou běžně navštěvované servery, a stejně tak i
server
sloužící jako drop zóna. K
uložení
příslušných údajů bude
nepochybně
využita steganografie. Samozřejmostí pak bude i
perfektní
čeština.
Jak se v současnosti bránit?
Obrana před stávajícím i
novým bankovním malwarem je
naštěstí
poměrně snadná, stačí např. nasadit
kalkulátor
pracující na principu challenge-response, kde do
výpočtu OTP vstupuje číslo účtu,
částka a
měna a na straně banky pak používat nějaký
lepší FDS.
Originální
znění článku naleznete zde.
všechny články | |
Dále v rubrice
Online účet založíte jak pro firmu, tak i pro děti
Pro koho je možné založit účet online? Kromě klasické nabídky pro fyzické osoby umožňuje od poloviny března Raiffeisenbank zakládat účty online právnickým osobám. Dále mohou klienti mBank otevřít běžný účet pro své děti bez nutnosti navštívit pobočku...
|
Platby na kontakt: hodně klientů, málo plateb
Snazší posílání peněz mezi lidmi pomocí telefonního čísla namísto čísla bankovního účtu už půl roku umožňuje služba Platby na kontakt. Za tu dobu se do ní přihlásilo půl milionu klientů šestice bank, které tento typ transakcí umožňují...
|
Digitalizace bank - co si nově můžete sjednat online?
Banky svým klientům stále více nabízejí možnost sjednání produktů a služeb z pohodlí domova. Novinky v online sjednání představila Raiffeisenbank a ČSOB. Raiffeisenbank umožňuje od poloviny března právnickým osobám zakládat účty online a klienti ČSOB...
|
Odměna až 24 000 Kč nebo televize. Jaké jsou nové odměny bank?
UniCredit Bank nabízí až 24 000 Kč při sjednání nové půjčky. Air Bank spouští svět výhod Unity. Jaké výhody a odměny nabízejí banky v dubnu? Přehled slev a bonusů najdete v našem článku...
|
všechny články v rubrice
|