Bankovní malware, aneb s jakými útoky jsme se mohli setkat v roce 2014
Rodina bankovního malwaru se nám opět rozrostla o další velice zajímavé kousky.
Útoky na klienty několika největších českých bank probíhaly prakticky po celý minulý rok, přičemž útočníci jednoznačně vsadili na šíření bankovního malwaru prostřednictvím e-mailu a dále pak na směrování klientů na falešné platební brány.
Zaznamenat jsme tak mohli enormní množství kampaní cílených na české uživatele, kdy se útočníci se vydávali za zaměstnance bank nebo jiných institucí, jako např. České pošty, exekutorského úřadu, 02, PPL nebo přátel z Facebooku a způsobili škodu v řádu desítek miliónů korun.
Oběti těchto útoků měli jedno společné, používali operační systém Microsoft Windows a chytrý telefon s Google Android a hlavně nedodržovali ani základní bezpečnostní doporučení.
Pokud by se těmito doporučeními řídili, tak by si nejspíš všimli, že např. adresa odesílatele neodpovídala tomu, za koho se útočník vydával. Ale evidentně ne každý adresu odesílatele kontroluje, a i kdyby, tak do adresy odesílatele je možné napsat cokoliv. V těchto případech však stačilo k odhalení phishingu skutečně málo, takže není možné tvrdit, že by se jednalo o nějaké obzvlášť sofistikované útoky.
Pokud jde o vlastní obsah e-mailu, tak musíme konstatovat, že byl povětšinou napsán velice dobrou češtinou, takže zde bych obětem útoku rozhodně nevyčítal, že nepojali žádné podezření. Úroveň češtiny se v rámci těchto kampaní jednoznačně zvyšuje a není možné ji už nadále používat jako hlavní kritérium k rozlišení phishingu. Doby, kdy nás útočníci oslovovali jako Drahoušek zákazník a podepisovali se jak útvar pro boj s Frodem, jsou již dávno pryč.
Samotná příloha e-mailu, ve které se nacházel škodlivý kód, vždy obsahovala nějaký spustitelný exe soubor. Byť se to snažil útočník zamaskovat např. ikonou vypadající jako soubor ve formátu PDF, měl příjemce e-mailu zpozornět, a soubor vůbec neotvírat. Ale kdo dnes zkoumá nějaké přílohy, a zajímá se o to, v jakém programu se daný soubor otevře, že.
Nad obezřetností jednoznačně zvítězila přirozená lidská zvědavost a obava příjemce zprávy, že se nějakým nedopatřením dostal na seznam dlužníků, nebyla mu doručena zásilka nebo někdo zneužil jeho platební kartu a soubor proto otevřel. A když zjistil, že se ho to netýká, tak už tomu dále nevěnoval pozornost. Jaký má tato skutečnost dopad na úspěšné napadení klienta jsem psal zde.
Byť k napadení počítače klienta může dojít i prostřednictvím nějaké zero-day zranitelnosti v systému nebo aplikaci, tak v ČR tímto způsobem bankovní malware šířen nebyl, nepočítáme-li kompromitaci několika málo routerů, kde však stále nemůžeme stoprocentně prohlásit, zda se bankovní malware na počítač klienta dostal právě tímto způsobem.
Vezmeme-li však v úvahu, že ve světě již k takovým útokům došlo, např. v Japonsku, které čelilo bankovnímu malwaru Aibatook, kde se na vybraných serverech skutečně nacházel drive-by download malware, tak je to spíš jen otázka času, než se podobné útoky objeví i u nás.
Jestli si teď říkáte, že se vás tento problém netýká, protože nechodíte na japonské pornoservery, tak vězte, že malware se může nacházet i na stránce naprosto důvěryhodné, která jen zobrazuje reklamu z nějakého reklamního systému.
S jakými útoky jsme se tedy mohli setkat? Následující výčet samozřejmě není úplný, ale obsahuje snad ty nejzajímavější kampaně, které byly proti českým uživatelům vedeny, a kde se útočníci vydávali za zaměstnance:
- České pošty – celkem jsme doposud zaznamenali 4 vlny, které byly poměrně dobře připraveny, více zde.
- exekutorského úřadu – celkem jsme zaznamenali 7 vln, které byly až na výjimky velice zdařilé, více zde.
- mobilního operátora O2 – nejspíš jen jedna vlna, ovšem velice dobře připravená, vice zde.
- Československé obchodní banky – nejspíš jen jedna kampaň probíhající ve dnech od 29. 5. 2014 do 30. 6. 2014, kdy útočník vsadil na jednoduchost, více zde.
- České spořitelny – celkem jsme zaznamenali 10 vln, přičemž úroveň jednotlivých kampaní byla různá, více zde.
- Air Bank – nejspíš jen jedna vlna, více zde.
- FIO – v médiích byly popsány dva útoky a to kolem 07. 2014 a 16. 7. 2014.
- PPL – nejspíš jen jedna vlna a to kolem 18. 9. 2014, více zde.
Štítky: bankovní malware, cybercrime
K článku “Bankovní malware, aneb s jakými útoky jsme se mohli setkat v roce 2014” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.