Jaké finty používají současní vykradači kont?
| 18.3.2013 | Miroslav Čermák | |
 Bankovní malware je
škodlivý kód, který se na
počítač klienta dostává mnoha
různými způsoby, a jeho výsledkem je převod
částky o určité výši na
zcela jiný účet, zpravidla v jiné
bance, z kterého je daná částka
následně vybrána.
V zásadě existují dva
základní způsoby, jak
dochází k realizaci těchto
neautorizovaných transakcí. Buď jsou
prováděny ze zcela jiného počítače,
anebo přímo z počítače napadeného
klienta, a takových případů
přibývá.
Zcizení identity
První způsob, který je však pomalu na
ústupu, spočívá v
získání
přihlašovacích údajů (identity theft)
prostřednictvím keyloggeru
(zaznamenává stisknuté
klávesy na vybraných
stránkách) a phishingu (mail
tvářící se, že je od banky, a
požadující
přihlášení se na uvedeném
odkazu). Přihlašovací údaje
získané tímto způsobem jsou uloženy do
drop zóny, odkud si je útočník
vyzvedne. Tyto přihlašovací údaje jsou
pak prodány dalšímu
útočníkovi, který je použije k
přihlášení do internetového
bankovnictví.
Ovšem vzhledem k tomu, že stále více
bank používá dvoufaktorovou autentizaci a
autorizaci transakce jiným kanálem (Out-Of-Band,
zkr. OOB), může se útočník v
nejhorším případě pouze
přihlásit do aplikace a tam provádět
pasivní operace, tj. zjistit zůstatek, pohyby na
účtu a další informace o klientovi.
Může se samozřejmě pokusit transakci zadat, ale bude
neúspěšný, protože se mu ji nepovede
dokončit, neboť k tomu by musel znát ještě
jednorázový autorizační kód
(mTAN zasílaný jako SMS na mobil klienta nebo TAN
generovaný kalkulátorem), případně by
musel mít čipovou kartu, na které se
nachází privátní
klíč, kterým klient transakce podepisuje.
Někteří útočníci jsou ale tak
drzí, že klientovi zavolají, představí
se jako zaměstnanci banky a požádají ho, aby jim
mTAN nadiktoval. Jedná se o tzv. vishing.
MitB a MitMo
Mnohem častěji ale útok probíhá tak,
že se škodlivý kód
usídlí přímo v prohlížeči
klienta a začlení se do stránky
internetového bankovnictví (Man-in-the-Browser,
zkr. MitB). Tím, že je její
součástí, může zobrazovat ve
formulářových polích hodnoty,
které zadal klient, a po kliknutí na
tlačítko odeslat změnit cílové
číslo účtu a částku na hodnotu
definovanou útočníkem. Kromě toho může do
stránky včlenit další
formulářové pole, ve kterém bude z
důvodu vyššího zabezpečení
požadováno zadání čísla
mobilního telefonu nebo zde bude uveden odkaz na
stažení certifikátu nebo aplikace pro smartphone
za účelem zvýšení
bezpečnosti. Pokud klient tyto údaje zadá nebo se
pokusí stáhnout do svého smartphonu
daný certifikát, stáhne si do
svého smartphonu akorát malware.
Klient obvykle nepojme žádné
podezření, protože se nachází na
stránce banky. V adresním řádku se
nachází ikonka zámečku a
certifikát byl vydán důvěryhodnou
certifikační autoritou pro daný web a společnost
a jeho otisk souhlasí s otiskem, který je uveden
na smlouvě. Pokud je k potvrzení transakce
používána čipová karta,
která je propojena s počítačem, zadá
klient PIN a provede se jakákoliv transakce. Tedy i ta,
kterou chce útočník. Pokud je k autorizaci
transakce nutno přepsat mTAN, musí
útočník spoléhat na to, že SMS buď
detaily transakce neobsahuje nebo si klient danou SMS
pořádně nepřečte a mTAN opíše, aniž
by si zkontroloval, jaký cílový
účet byl v SMS uveden. V novějších
verzích pak malware v telefonu (Man-in-the-Mobile, zkr.
MitMo) danou SMS zmodifikuje nebo ji přepošle
útočníkovi, jehož stroj daný
autorizační kód přepíše
rychleji než klient.
Závěr: Obrana před tímto i novým
bankovním malwarem je poměrně snadná, pro
autorizaci transakce stačí používat
kalkulátor pracující na principu
challenge-response, to znamená, že do výpočtu OTP
(one-time-password, čili jednorázové heslo)
vstupuje číslo účtu, částka a měna a
na straně banky pak stačí nasadit nějaký FDS.
Článek v originální podobě naleznete ZDE.
všechny články | |
Dále v rubrice
Banky i v létě lákají klienty na odměny a soutěže
Banky se i v letních měsících snaží zaujmout nové i stávající klienty prostřednictvím finančních odměn, slev i různých soutěží. Některé nabídky koncem června sice skončily, ale jiné naopak začaly. Přinášíme vám přehled aktuálních akcí, které banky nabízejí...
|
Do kdy sjednat spořicí účet s výhodnou úrokovou sazbou?
Na konci června 2025 se konalo zasedání České národní banky, kde se rozhodlo o ponechání hlavní úrokové sazby beze změny. Přinášíme vám srovnání úrokových sazeb na spořicích účtech u bank, které garantují tuto výši sazby do určitého data...
|
Plaťte chytře i na cestách: Novinky od bank pro pohodlnější dovolenou
Léto je za rohem a s ním i hlavní sezóna cestování. Banky na to reagují novými produkty a službami, které usnadní placení v zahraničí a nabídnou více komfortu. Ať už vyrážíte na dovolenou k moři, nebo plánujete výlet do metropole, novinky od...
|
Chystáte se do zahraničí? Takhle ušetříte při placení kartou nebo výběrech
Letní dovolené se blíží a s nimi i otázka, jak v zahraničí co nejbezpečněji a nejvýhodněji platit. Česká bankovní asociace přináší praktické rady, jak při cestách nepřijít o peníze kvůli nevýhodné směně měny, zbytečným poplatkům nebo ztrátě karty. V článku se dozvíte...
|
všechny články v rubrice
|