Přichází nová generace bankovního malwaru

Koncept potvrzování transakcí v internetovém bankovnictví, který je založen na přepisování jednorázových kódů, které banky zasílají svým klientům ve formě SMS na mobilní telefony, již není bezpečný a útoky z posledních týdnů to jasně potvrzují.

Pro přihlášení do internetového bankovnictví nebo potvrzení transakce požadují mnohé banky po svém klientovi zadání mTAN (mobile Transaction Authentication Number), které mu zasílají přes síť mobilního operátora ve formě SMS na jeho mobilní telefon. O tom, že tento koncept postavený na SMS je dlouhodobě neudržitelný, jsme psali již před více jak dvěma lety.

A útoky, ke kterým následně došlo, tuto skutečnost jen potvrdily. Vždyť při posledním největším útoku z minulého roku označovaným jako Eurograbber bylo postiženo několik desítek tisíc klientů a z jejich účtů bylo odčerpáno několik desítek miliónů EUR. Útoky ale probíhaly i mimo EU, zasaženi byli i klienti větších bank v zemích bývalého SSSR, dále pak USA a Austrálie.

Rodina bankovního malwaru pro smartphony se nám totiž neutěšeně rozrůstá a aktivita malwaru jako je ZitMo, SpitMo, CitMo, Carberp nepolevuje. Situaci nahrává i únik zdrojových kódů tohoto malwaru, kdy případný zájemce o tvorbu bankovního malwaru již nemusí platit několik tisíc dolarů za jejich získání. Lze očekávat, že nové varianty na sebe nenechají dlouho čekat.

Klient se do internetového bankovnictví musí zpravidla dvoufaktorově autentizovat, to znamená, že nejprve zadá své uživatelské jméno a heslo (faktor z kategorie „něco ví“) a poté jednorázové heslo, které mu přijde na mobil (faktor z kategorie „něco má“). Tím je splněn požadavek na dvoufaktorovou autentizaci, tak jak ho definuje ve svém doporučení FFIEC.

Podobně je tomu i u autorizace transakce, kdy je klientovi zaslána SMS obsahující číslo cílového účtu, částku a mTAN, který klient musí přepsat do formuláře a transakci tak potvrdit. Vzhledem k tomu, že mTAN se ke klientovi dostává jiným kanálem, je splněna i další podmínka uvedena v dodatku FFIEC, a to aby autorizace transakce proběhla nezávislým kanálem tzv. out-of-band.

Do nedávna se jevil tento způsob zabezpečení jako dostatečný, protože v okamžiku, kdy byl počítač klienta napaden nějakým škodlivým kódem a útočník získal jeho přihlašovací údaje a pokusil se transakci provést, nemohl ji dokončit, protože nebyl schopen zadat mTAN. Jednoduše proto, že neměl přístup k telefonu klienta, na který přišla SMS a prakticky jedinou možností jak mTAN získat, byl Vishing, nepočítáme-li případ, kdy došlo k přenesení čísla k jinému operátorovi.

Brzy se však ukázalo, že tento způsob, jak se k mTAN dostat, je neefektivní. A tak se záhy objevila nová verze bankovního malwaru, která poté, co se klient do internetového bankovnictví přihlásil, změnila telefonní číslo, na které banka mTAN zasílá. Asi již tušíte, že se jednalo o SpitMo. Útočníci využívali skutečnosti, že banky ve svých SMS neuváděly, k jaké operaci se daný kód vztahuje, anebo po změně telefonního čísla ani žádnou SMS neposílaly.

Banky, které dvoufaktorovou autentizaci nezavedly, nasadily FDS a byly tak schopny poměrně spolehlivě určit, zda požadavek na realizaci transakce přišel od klienta nebo od útočníka. Jenže bankovní malware se vyvíjel dál a poměrně brzy se objevila druhá generace tohoto škodlivého kódu, která již byla schopna transakci provádět přímo z počítače klienta, a to tak, že škodlivý kód pozměnil před odesláním cílový účet a částku. Vzhledem k tomu, že požadavek přišel z počítače klienta v obvyklou dobu, mnohé FDS spoléhající až příliš na identifikaci stroje, nedetekovaly transakci jako podezřelou.

Úspěšnost tohoto útoku hodně záležela také na tom, zda banka v SMS zprávě kromě mTAN zobrazovala i cílový účet a částku a pokud ano, tak zda si klient tyto údaje před přepsáním mTAN zkontroloval. Pokud klient mTAN jen bezmyšlenkovitě přepsal, tak transakci potvrdil. Tato generace bankovního malwaru již byla úspěšnější, nicméně pořád musela spoléhat na nepozornost klienta.

Poté, co proběhla první vlna tohoto útoku, se úspěšnost útoků výrazně snížila. Přispěla k tomu především medializace tohoto útoku a osvěta ze strany bankovních institucí, které o tomto útoku informovaly své klienty, a ti již byli obezřetnější. Také mnohé banky, které v SMS doposud uváděly jen mTAN, přidaly do SMS též číslo cílového účtu a částku.

Třetí a zatím poslední generace bankovního malwaru, která na sebe nenechala dlouho čekat, zcela eliminovala výše zmíněný nedostatek a k dokončení transakce již v podstatě nepotřebuje téměř žádnou součinnost ze strany klienta. Rozuměj, klient již nemusí žádný mTAN přepisovat, neboť škodlivý kód si ho obstará sám. Jediné, co musí klient udělat, je nainstalovat si do svého smartphonu aplikaci, která bude číst obsah zpráv a přeposílat je útočníkovi.

Způsobů, jak k tomu klienta donutit, je několik. Útočníci zatím zvolili poměrně přímočarý způsob. Poté, co se jim podaří nakazit počítač klienta internetového bankovnictví škodlivým kódem, vloží do stránek internetového bankovnictví vlastní kód s odkazem na stažení aplikace pro smartphone, včetně zdůvodnění, proč by si měl klient tuto aplikaci nainstalovat.

Vzhledem k tomu, že klient se nachází na stránce banky, což si může snadno ověřit, kontrolou certifikátu, tak celkem logicky důvěřuje všemu, co je na stránkách banky uvedeno. Pokud se zde např. píše, že si má za účelem zvýšení své bezpečnosti do svého smartphone, na který mu jsou zasílány SMS, nainstalovat aplikaci, která ho ochrání, tak to udělá. Je otázka, proč se klient nepozastaví nad tím, že výzva je psána lámanou češtinou, a aplikaci si opravdu nainstaluje.

A nepozastaví se ani nad tím, že v mnoha případech je pro instalaci aplikace nutné povolit instalaci aplikace z jiných trhů, než je Google Play. Proč by se také pozastavoval, když je na stránkách internetového bankovnictví jasně vysvětleno, že to musí povolit právě proto, že se jedná o aplikaci od banky, a je zde uveden i návod, jak to udělat. Ovšem pokaždé to není nutné, neboť v některých případech byla tato aplikace umístěna delší dobu i na Google Play a na stránkách banky se nacházel QR kód umožňující její stažení.

V okamžiku, kdy má klient nakažen počítač i smartphone, tak mu již není pomoci, protože škodlivý kód počká, až se klient přihlásí, a poté na pozadí vygeneruje transakci a odešle ji do banky. Banka vygeneruje SMS s mTAN, která přijde na smartphone klienta. Zde ji odchytí nainstalovaná aplikace, která jednorázový kód přepošle na server útočníka, kde se mTAN uloží do databáze. Škodlivý kód na počítači klienta provede dotaz do DB, stáhne si mTAN a transakci dokončí. Netřeba snad dodávat, že malware ve smartphone potlačí i akustické oznámení o přijetí zprávy.

Nyní již můžeme pomalu očekávat čtvrtou generaci bankovního malwaru, která bude víceméně jen zdokonalovat výše uvedený koncept. Lze očekávat silně polymorfní zašifrovaný kód využívající asymetrické kryptografie, který se bude v napadeném systému maskovat a bránit se odhalení. Je jisté, že C&C servery budou běžně navštěvované servery, a stejně tak i server sloužící jako drop zóna. K uložení příslušných údajů bude použita nepochybně využita steganografie. Samozřejmostí pak bude i perfektní čeština.

Detailní popis toho, jak se tato nové generace malwaru šíří, maskuje, komunikuje s C&C serverem, a jak probíhá přenos dat do dropzóny, jste se již mohli dočíst v sérii příspěvků s názvem „Na obzoru se objevují nové hrozby, třeste se!“.

Obrana před stávajícím i novým bankovním malwarem je naštěstí poměrně snadná, stačí např. nasadit kalkulátor pracující na principu challenge-response, kde do výpočtu OTP vstupuje číslo účtu, částka a měna a na straně banky pak používat nějaký lepší FDS.

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky: , ,


K článku “Přichází nová generace bankovního malwaru” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: