Man in the mobile aneb útok na uživatele internetového bankovnictví

Když se před časem na severu SecurityPortal objevil příspěvek o možném útoku na uživatele internetového bankovnictví, kteří využívají mTAN zasílaný ve formě SMS na mobilní telefon jako druhý autentizační faktor nebo jím potvrzují transakci, tak to na tvářích mnohých bezpečnostních expertů vyloudilo jen pobavený úsměv.

O několik měsíců později jim však úsměv na rtech poněkud ztuhl, protože se začaly objevovat první zprávy, že popsaný útok je nejen možné poměrně snadno realizovat, ale že již dokonce začal, viz informace na blogu s21sec nebo fortinet, kde je popsáno, jak tato nová verze trojského koně ZeuS, která útok na uživatele internetového bankovnictví umožňuje, vlastně funguje.

Analýzou C&C serveru bylo zjištěno, že riziku jsou vystaveni především uživatelé, kteří používají mobilní telefony se systémem Symbian, Blackberry a Windows Mobile, přičemž byl zachycen analyzován jen malware pro Symbian, který je v té době nejpoužívanějším OS v mobilních telefonech. Je ale jen otázkou času, kdy bude vydána nová verze pro iPhone nebo Google Android, který získává stále větší tržní podíl.

Útočník musel vyřešit jen jednu otázku a to, jak dostat na smartphone oběti škodlivý kód, který by SMS obsahující mTAN přeposlal nebo modifikoval. Zatím to vyřešil tak, že uživateli při vstupu na stránky internetového bankovnictví zobrazí výzvu, aby zadal své telefonní číslo, na které mu pošle odkaz pro stažení certifikátu nebo upgradu, kterým ale není nic jiného než mobilní verze trojského koně ZeuS.

Dovedeme si představit, že v další verzi může být SMS od banky přeposlána a smazána anebo modifikována a uživatel sám přepíše mTAN do aplikace internetového bankovnictví, neboť v SMS bude uveden původní účet a částka, byť mTAN bude vygenerován k úplně jinému účtu a částce.

Nízký počet hlášených obětí (údajně desítky) a relativně malá finanční ztráta (stovky Euro) nás vedou k závěru, že se jednalo spíše o test, zda by se dal tímto způsobem útok realizovat a skutečný útok přijde v okamžiku, kdy se povede celý útok automatizovat. Je však také možné, že reálný počet obětí je mnohem vyšší a neví se o nich jen proto, že FDS transakce jako podvodné nedetekovaly.

Je evidentní, že mTAN, který byl doposud považován za bezpečnou formu out-of-band autentizace, nebude možný do budoucna díky konvergenci počítačů a mobilů do jednoho zařízení (smartphonů) za bezpečný považovat a banky se budou muset porozhlédnout po nové formě vícefaktorové autentizace, anebo se v případě potvrzování transakce vrátit zpět k HW tokenům založených na principu challenge response.

Klientům internetového bankovnictví, kteří pro příjem mTAN používají smartphony, doporučujeme pečlivě zvážit jakou aplikaci a odkud si do svého smartphonu  stáhnou a nainstalují a to platí samozřejmě i pro antivir. Je asi zbytečné dodávat, že v okamžiku, kdy máte svůj telefon propojen s PC a je jedno zda přes USB, Wi-Fi nebo bluetooth, tak se škodlivý kód může šířit i tímto způsobem. 


Pokud vás tento příspěvek zaujal, sdílejte ho!
Share on FacebookShare on LinkedInTweet about this on TwitterShare on Google+Email this to someonePrint this page

Štítky: , ,


K článku “Man in the mobile aneb útok na uživatele internetového bankovnictví” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: