SpyEye je bankovní malware, který je schopen odchytit přihlašovací údaje uživatele internetového bankovnictví a nejen to.

Oběti je po přihlášení do internetového bankovnictví prostřednictvím MITB  (Man In The Browser) zobrazen formulář, který na pozadí provede změnu telefonního čísla, na které banka zasílá jednorázový kód, a který je nutné do aplikace přepsat, aby bylo možné danou transakci dokončit. I v tomto případě je vygenerován jednorázový kód, který je zaslán jako SMS na mobilní telefon oběti.

ZeuS Mitmo je trojský kůň, který je cílen na uživatele internetového bankovnictví, kteří pro autentizaci a autorizaci transakcí používají mobilní telefon, resp. mTAN (mobile Transaction Authentication Number), což je jednorázové heslo (One Time Password, zkr. OTP), které jim banka zasílá na jejich mobilní telefon ve formě SMS.

Tento trojský kůň se poprvé objevil v minulém roce ve Španělsku, ale o tom jsme již psali.

Hned na úvod je třeba říci, že nedošlo k žádnému napadení bankovních systémů, ale naopak ke kompromitování systémů klientů těchto bank.

Nejnovější bankovní malware je schopen úspěšně obejít i dvoufaktorovou autentizaci a autorizaci platby. A to jak autorizaci spočívající v zadání mTAN (mobile Transaction Account Number), který klientovi posílá banka na jeho mobilní telefon ve formě SMS, tak i autorizaci transakce čipovou kartou, kdy je transakce posílána do karty k podepsání a je nutné zadat PIN.

Koncept potvrzování transakcí v internetovém bankovnictví, který je založen na přepisování jednorázových kódů, které banky zasílají svým klientům ve formě SMS na mobilní telefony, již není bezpečný a útoky z posledních týdnů to jasně potvrzují.

Pro přihlášení do internetového bankovnictví nebo potvrzení transakce požadují mnohé banky po svém klientovi zadání mTAN (mobile Transaction Authentication Number), které mu zasílají přes síť mobilního operátora ve formě SMS na jeho mobilní telefon. O tom, že tento koncept postavený na SMS je dlouhodobě neudržitelný, jsme psali již před více jak dvěma lety.

V nedávném příspěvku jsme srovnávali smartbanking a internetbanking, ve kterém z pohledu bezpečnosti vyšel hůře internetbanking.

Hlavní důvod byl ten, že malware stažený při surfování zcela ovládne prohlížeč internetu, a dále pak, že je počítač často používán více osobami, které surfují pod privilegovanými účty, používají děravý SW a antivirus škodlivý kód nedetekuje.

Bankovní malware je škodlivý kód, který se na počítač klienta dostává mnoha různými způsoby, a jeho výsledkem je převod částky o určité výši na zcela jiný účet, zpravidla v jiné bance, z kterého je daná částka následně vybrána.

V zásadě existují dva základní způsoby, jak dochází k realizaci těchto neautorizovaných transakcí. Buď jsou prováděny ze zcela jiného počítače, anebo přímo z počítače napadeného klienta, a takových případů přibývá.

Stejně jako loni, i letos přinášíme přehled o tom, jaké hrozby můžeme očekávat v roce 2013.

Počet útoků vedených na uživatele PC zůstane víceméně stejný. Samotný malware se bude stále častěji objevovat v 64bitových verzích a bude stále sofistikovanější. Takovýto malware bude mít podobu rootkitů a odhalit ho bude možné jen pomocí NBA řešení.

Když se před časem na severu SecurityPortal objevil příspěvek o možném útoku na uživatele internetového bankovnictví, kteří využívají mTAN zasílaný ve formě SMS na mobilní telefon jako druhý autentizační faktor nebo jím potvrzují transakci, tak to na tvářích mnohých bezpečnostních expertů vyloudilo jen pobavený úsměv.

O několik měsíců později jim však úsměv na rtech poněkud ztuhl, protože se začaly objevovat první zprávy, že popsaný útok je nejen možné poměrně snadno realizovat, ale že již dokonce začal, viz informace na blogu s21sec nebo fortinet, kde je popsáno, jak tato nová verze trojského koně ZeuS, která útok na uživatele internetového bankovnictví umožňuje, vlastně funguje.