Bankovní malware, aneb s jakými útoky jsme se mohli setkat v roce 2013

Musím konstatovat, že předpověď IT hrozeb pro rok 2013, se téměř bezezbytku vyplnila.

Obzvlášť alarmující je úspěšnost bankovního malwaru, před kterým jsme poprvé varovali již před více jak dvěma roky a opakovaně na něj upozorňovali i v Cyber Threat Reportu.

Nejúspěšnější byly útoky typu MitB, kdy malware do stránek v prohlížeči klienta vkládal vlastní formuláře

Počet klientů, kteří se stali obětí bankovního malwaru jednoznačně roste, přičemž obzvlášť úspěšné byly útoky typu MitB (Man-in-the-Browser), kdy byly podvodné transakce realizovány přímo z počítačů nakažených klientů. Samotným transakcím zpravidla předcházelo vyplnění formuláře, který se klientům zobrazoval přímo na stránkách internetového bankovnictví a jenž je vybízel k zadání verze operačního systému smartphonu, který slouží k přijímání autorizačních SMS od banky.

Útočníci stále neumí dobře česky, což by mohlo v klientech vzbudit určité podezření

Klienti bank bohužel neměli jak poznat, že formulář, který se jim na stránkách internetového bankovnictví zobrazoval, nepocházel od banky, ale od útočníka. Především proto, že tento formulář využíval stejných grafických prvků a byl doplněn i odpovídajícím textovým popisem. Určité pochybnosti v klientovi mohla vzbudit snad jen použitá čeština, která nebyla zrovna dokonalá.

Malware ve smartphonu odchytával autorizační SMS kódy a přeposílal je útočníkovi

V okamžiku, kdy klienti uposlechli výzvy a zadali verzi operačního systému svého smartphonu, tak jim byl zobrazen QR kód pro stažení aplikace přeposílající SMS útočníkovi, prezentující se však jako aplikace pro zvýšení bezpečnosti zasílaných autorizačních kódů. Netřeba snad dodávat, že oběťmi v drtivé většině případů byli uživatelé operačního systému Android, kde je možné snadno, tj. bez nutnosti získání práv superuživatele, instalovat i aplikace, které se nenacházejí na Google Play.

Malware se snažil z klientů vylákat citlivé údaje nutné k nákupu přes internet

Někteří klienti se mohli setkat i s jiným formulářem, též začleněným přímo do stránek internetového bankovnictví, který po nich požadoval, opět pod záminkou zvýšení bezpečnosti autentizace, zadání čísla platební karty, data expirace a CVV kódu. Ti klienti, kteří tyto údaje zadali, pak byli vystaveni zvýšenému riziku, že útočník, tyto údaje zneužije k nákupu u obchodníka, který nepoužívá systém 3D secure.

Malware měl potenciál komunikovat přímo s čipovou kartou a podepisovat transakce

V neposlední řadě jsme mohli sledovat nárůst počtu případů, kdy byl veden útok na firemní klienty, kteří autorizace transakcí provádí pomocí čipové karty, kterou je nutné v okamžiku, kdy je čtečka čipových karet nějakým způsobem propojena s počítačem, považovat za nejméně bezpečnou formu dvoufaktorové autentizace. Především proto, že zde na rozdíl od autorizace pomocí mTAN zasílaných jako SMS na smartphone klienta, nemůžeme hovořit o potvrzení transakce jiným kanálem (Out Of Band, zkr. OOB).

Útočník se připojoval vzdáleně k počítači klienta a bez jeho vědomí prováděl transakce

Poslední verze bankovního malwaru označovaná jako Hesperbot pak jasně ukázala, jak snadno lze tuto autorizaci obejít. V zásadě stačilo jen zachytit PIN zadávaný na klávesnici pomocí keyloggeru, který byl součástí tohoto malwaru. Následně se útočník připojil na skrytou plochu přes VNC, který byl též součástí tohoto malwaru a ručně provedl transakci, kterou vzápětí potvrdil, pro něj již známým PINem.

Firemní klienti realizující velký počet transakcí v tzv. dávkách jsou v ohrožení

Už tak neradostnou situaci zhoršuje ta skutečnost, že do karty je možno k podpisu poslat více transakcí, což klade na klienta ještě větší nároky na pozornost a kontrolu toho, co vlastně podepisuje. Je zřejmé, že klient v žádném případě nemůže věřit tomu, co vidí na obrazovce svého počítače, protože malware může změnit transakci, která je zasílána do karty k podpisu a změnit může i zůstatek na účtu, což v mnoha případech i dělá.

Jak se skutečně účinně bránit bankovnímu malwaru

Před současným bankovním malwarem vás neochrání ani EV certifikát, ani šifrovaná komunikace mezi vámi a bankou, a dokonce ani skutečná dvoufaktorová autentizace jiným kanálem, protože transakce je realizována přímo z počítače klienta, a to poté, co se bezpečně přihlásí. Jediným řešením, kromě dodržování určitých zásad, které vás moc neochrání, je přijmutí určitých opatření, a to jak na straně klienta, tak i na straně banky.

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky: ,

  1. michal zobec

    dobrý den, zajímalo by mne, jestli víte o bankovním mallware:

    1. který by úspěšně napadl platformu Windows Phone
    2. který by úspěšně napadl autorizační SMS kódy přes bankovní SMS chráněné bankovním PINem v SIM Toolkit?

    v tomto případě se jedná o RB …


K článku “Bankovní malware, aneb s jakými útoky jsme se mohli setkat v roce 2013” se zde nachází 1 komentář.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: