Bankovní malware má značný potenciál odčerpat z účtů klientů další milióny

Hned na úvod je třeba říci, že nedošlo k žádnému napadení bankovních systémů, ale naopak ke kompromitování systémů klientů těchto bank.

Nejnovější bankovní malware je schopen úspěšně obejít i dvoufaktorovou autentizaci a autorizaci platby. A to jak autorizaci spočívající v zadání mTAN (mobile Transaction Account Number), který klientovi posílá banka na jeho mobilní telefon ve formě SMS, tak i autorizaci transakce čipovou kartou, kdy je transakce posílána do karty k podepsání a je nutné zadat PIN.

V obou případech se musí klient nejprve někde nakazit. Nejčastěji nákaza přichází e-mailem, nebo se nachází na nějaké webové stránce, kde čeká, až ji někdo navštíví a následně se pokusí zneužít nějaké (zero-day) zranitelnosti v jeho operačním systému, prohlížeči nebo aplikaci jako je JAVA, Flash atd. Poté malware čeká, až se uživatel přihlásí na stránku, která je předmětem jeho zájmu a odchytí přihlašovací údaje.

Autorizace transakce jednorázovým kódem

Jestliže se uživatel autentizuje a autorizuje transakce pomocí mTAN, tak malware začlení do stránky internetového bankovnictví formulář, kde je po uživateli požadováno vyplnění telefonního čísla a verzi mobilního operačního systému. Na to je mu buď poslána SMS s odkazem na instalaci bankovního certifikátu nebo je mu na obrazovce počítače zobrazen QR kód ke stažení aplikace pro jeho smartphone. Jedná se o tzv. MitB útok (Man in the Browser), kdy útočník modifikuje obsah a chování stránky přímo v prohlížeči klienta. Pokud se klient těmito instrukcemi řídí, nainstaluje si do svého smartphonu trojského koně.

Tento trojský kůň, označovaný jako MitMo (Man in the Mobile) je schopen v tichosti přeposílat mTAN útočníkovi do drop zóny. MitMo zpravidla kontroluje, zda je z mobilu možno navázat komunikaci do internetu. Poslat mTAN přes HTTP je lepší než ho přeposílat jako SMS, protože v takovém případě se činnost tohoto trojského koně neprojeví ani zvýšenými náklady za telefon.

Podvodné transakce jsou zpravidla realizovány z počítače klienta ihned poté, co se přihlásí. Je tomu tak proto, že je tím zaručeno, že se mTAN podaří včas doručit a přeposlat. Pokud by se transakce dělaly z jiného počítače, což by jistě také šlo, a jsou známy i takové případy, tak by se mohlo stát, že klient telefon na noc vypnul, odpojil všechny sítě, aby ho nikdo nerušil, nebo se nacházel v místě, kde prostě nebyl signál.

Nicméně hlavní důvod, proč je preferováno dokončení transakce z napadeného počítače, je ten, že mnohé zahraniční banky již dávno nasadily FDS, takže by jim mohlo být podezřelé, současné přihlašování z různých nebo zcela jiných lokalit, ke kterému by v takovém případě zcela logicky muselo docházet, tedy pokud by nebyl zneužit nějaký zombie počítač v ČR, který je součástí botnetu (i když i takové případy byly zaznamenány). Takhle, když transakce přichází ve stejnou dobu, a ze stejného počítače, tak FDS nemá moc šanci ji odhalit.

Autorizace transakce čipovou kartou

Jestliže se uživatel autentizuje a transakce podepisuje čipovou kartou, tak to má malware ještě jednodušší, protože mu stačí nakazit jen počítač, ke kterému je připojena čtečka čipových karet. V ohrožení jsou především ti klienti, kteří používají čtečku čipových karet bez vlastní klávesnice, protože PIN, který zadávají na klasické klávesnici připojené k počítači, je malwarem odposlechnut a následně zneužit.

Malware nainstalovaný na počítači klienta jednoduše generuje transakce a sám si je i podepisuje, protože zná PIN a karta je zasunuta ve čtečce. Ti, kteří používají čtečku čipových karet s vlastní klávesnicí, jsou na tom podstatně lépe, protože PIN zadávaný tímto způsobem nemůže malware odposlechnout.

Ovšem je zde ještě jeden nezanedbatelný problém a tím je autorizace většího počtu transakcí, které ve firmě zpravidla zadává jiná osoba, než která je schvaluje, a i když připustíme, že tuto činnost v menší firmě vykonává třeba přímo její majitel nebo prověřená osoba, tak je těch transakcí prostě moc. A když prakticky denně převádíte z účtu na účet stotisícové a vyšší částky, tak prostě po čase vaše pozornost ochabne, obzvlášť když se nejedná o vaše peníze, ale peníze firmy.

Předpokládejme, že klient vytvořil transakci a chce ji autorizovat, kliká tedy na tlačítko podepsat, aplikace do čtečky zasílá transakční data, která jsou zobrazena na jejím displeji, a ten kdo transakce potvrzuje, by měl zkontrolovat, že číslo účtu a částka, která se mu zobrazuje na displeji čtečky, je skutečně ono číslo účtu, na které chce peníze poslat.

A právě na skutečnosti, že se číslo účtu a částka na displeji nezobrazuje, tato kontrola neprobíhá, nebo probíhá nedostatečně, spoléhá malware, který před odesláním transakcí do čtečky ještě jednu transakci přidá nebo u jedné změní číslo účtu a případně i částku. V okamžiku, kdy je zadán PIN, a transakce nebo celý soubor transakcí je potvrzen, dojde k jejímu podepsání a k odeslání do banky.

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky: , ,


K článku “Bankovní malware má značný potenciál odčerpat z účtů klientů další milióny” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: