Jak probíhá útok na klienty internetového bankovnictví – 2. díl

Existují různé varianty bankovního malwaru, některé se šíří jen v určité zemi, a jiné po celém světě.

V zásadě jsou však používány jen dva vektory útoku. Prvním a nejčastějším vektorem útoku je phishing, kdy útočník rozešle e-mail s nakaženou přílohou nebo odkazem a pak už jen čeká, až příjemce na přílohu nebo odkaz klikne a tím si zavede malware do svého počítače.

Za tímto účelem útočník používá známých technik sociálního inženýrství, kdy se snaží v příjemci e-mailu vzbudit obavu či zvědavost, nebo ho prostě jakýmkoliv způsobem přimět k tomu, aby přílohu spustil. Např. tím, že mu pohrozí exekucí, vizte tzv. pohledávkový SPAM, jenž se Českem prohnal již několikrát.

Druhým vektorem útoku je pak technika watering hole, která je obzvlášť nebezpečná, protože nevyžaduje žádnou interakci ze strany uživatele. Ta však není k těmto útokům zatím moc využívána, tedy pokud nebereme v úvahu nedávné útoky na klienty internetového bankovnictví v Japonsku.

Pokud ano, tak ke stažení malwaru do počítače stačí již jen pouhá návštěva kompromitovaného webu s exploitem. Přičemž se může jednat i o naprosto důvěryhodné stránky, které byly hacknuty nebo jen zobrazují závadný reklamní banner z napadeného reklamního systému.

V obou případech se malware po spuštění spokojí i s právy běžného uživatele, a v mnoha případech dokáže:

  • odchytávat přihlašovací údaje do internetového bankovnictví, které jsou někdy dostatečné k tomu, aby útočník mohl transakci provést z jiného počítače, jedná se o tzv. keylogging a form grabbing.
  • pořizovat snímky obrazovky nebo dokonce nahrává video, což útočníkům umožňuje analyzovat, jakým způsobem se dané internetové bankovnictví používá, tzv. screen grabbing
  • měnit konfiguraci napadeného počítače a tím vyřadit z provozu antivir, firewall nebo měnit DNS záznamy a přidávat do počítače své vlastní certifikáty, vizte Operace Ementál.
  • začlenit se do systémových procesů a tím získat kontrolu nad systémem, a číst a měnit přenášená data, tzv. Interoceptor a traffic grabbing.
  • vzdáleně a skrytě ovládat daný počítač a přistupovat i k periferiím jako je čipová karta, prostřednictvím skrytého VNC serveru na napadeném počítači, což umožňoval např. Hesperbot.
  • prohledávat souborový systém s cílem najít další citlivá data, jako jsou e-maily, certifikáty, hesla, a cookies k nejrůznějším službám apod.
  • vkládat vlastní formuláře do stránek internetového bankovnictví a požaduje zadání dalších údajů jako je číslo telefonu nebo platební karty, tzv. form inject
  • provádět transakce přímo z napadeného počítače a měnit to, co uživatel vidí na obrazovce, např. provedené platby, zůstatek, kontaktní informace, apod.

Poslední dvě funkcionality jsou něco, co se musí vyrobit pro každé internetové bankovnictví, takže buď si to musí útočník naprogramovat sám, anebo si musí takový webinject koupit. (Cena na černém trhu se pohybuje od 10 do 100 dolarů.) To vysvětluje, proč nemusí v první vlně útoku dojít k vůbec žádným finančním ztrátám. Útočník musí nejprve zjistit, kolik procent uživatelů může nakazit, jak dané internetové bankovnictví funguje, a jakou může očekávat návratnost investice.

Pokud je autorizace transakce prováděna nezávislým kanálem, tzv. out-of-band, např. prostřednictvím mTAN, který je zasílán ve formě SMS na mobilní telefon uživatele, je použita funkce webinject ke vložení formuláře do internetového bankovnictví s požadavkem na zadání telefonního čísla a instalace aplikace do mobilního telefonu, která pak tyto mTAN odchytává a posílá útočníkovi. To vše pod záminkou zvýšení bezpečnosti.

Tato aplikace v současné době existuje prakticky jen pro platformu Android a příchozí SMS odchytává dříve, než se k ní dostane nativní klient. Toho lze dosáhnout pomocí Broadcast receiveru a nastavením hodnoty atributu android:priority na vyšší hodnotu, např. 2147483647.

Samotné transakce pak mohou být útočníkem realizovány manuálně, v poloautomatickém nebo plně automatickém režimu, a to na jiném počítači, který má útočník pod kontrolou anebo přímo z počítače napadeného klienta, kdy si trojan stáhne číslo účtu bílého koně a na ten část peněz převede. Běžné je i stanovení výše částky na základě analýzy již proběhnuvších transakcí ve snaze vyhnout se AML systémům a v některých případech se můžeme setkat i se simulací chování uživatele jako je klikání myší za účelem obejetí pokročilejších FDS umožňujících spolehlivě identifikovat daný počítač pomocí jeho otisku.

Samozřejmostí pak je, že komunikace mezi trojanem a C&C serverem bývá šifrována. Přičemž adresa C&C serveru může být generována dynamicky pomocí DGA a může se nacházet na serveru poskytovatele cloudu, nebo využívat služeb TORu nebo P2P sítě. Výjimkou ani není, že detekuje spuštění v sandboxu a přítomnost bezpečnostních řešení, takže se v napadeném počítači neprojeví a s C&C serveremvůbec nekomunikuje.

Je potřeba počítat s tím, že těchto útoků bude nadále přibývat, protože každý rok unikne minimálně jeden zdrojový kód bankovního malwaru, který se tak stane veřejně dostupným, což inspiruje další skupiny k napsání nové verze bankovního malwaru a jeho následnému prodeji, vizte např. Pandemiya.

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky:


K článku “Jak probíhá útok na klienty internetového bankovnictví – 2. díl” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: