Bankovní malware má značný potenciál odčerpat z účtů klientů další milióny

Publikováno: 06. 10. 2013, v rubrice: Bezpečnost, autor: , aktualizováno: 26. 03. 2014, zobrazeno: 4 893x

Hned na úvod je třeba říci, že nedošlo k žádnému napadení bankovních systémů, ale naopak ke kompromitování systémů klientů těchto bank.

Nejnovější bankovní malware je schopen úspěšně obejít i dvoufaktorovou autentizaci a autorizaci platby. A to jak autorizaci spočívající v zadání mTAN (mobile Transaction Account Number), který klientovi posílá banka na jeho mobilní telefon ve formě SMS, tak i autorizaci transakce čipovou kartou, kdy je transakce posílána do karty k podepsání a je nutné zadat PIN.

V obou případech se musí klient nejprve někde nakazit. Nejčastěji nákaza přichází e-mailem, nebo se nachází na nějaké webové stránce, kde čeká, až ji někdo navštíví a následně se pokusí zneužít nějaké (zero-day) zranitelnosti v jeho operačním systému, prohlížeči nebo aplikaci jako je JAVA, Flash atd. Poté malware čeká, až se uživatel přihlásí na stránku, která je předmětem jeho zájmu a odchytí přihlašovací údaje.

Autorizace transakce jednorázovým kódem

Jestliže se uživatel autentizuje a autorizuje transakce pomocí mTAN, tak malware začlení do stránky internetového bankovnictví formulář, kde je po uživateli požadováno vyplnění telefonního čísla a verzi mobilního operačního systému. Na to je mu buď poslána SMS s odkazem na instalaci bankovního certifikátu nebo je mu na obrazovce počítače zobrazen QR kód ke stažení aplikace pro jeho smartphone. Jedná se o tzv. MitB útok (Man in the Browser), kdy útočník modifikuje obsah a chování stránky přímo v prohlížeči klienta. Pokud se klient těmito instrukcemi řídí, nainstaluje si do svého smartphonu trojského koně.

Tento trojský kůň, označovaný jako MitMo (Man in the Mobile) je schopen v tichosti přeposílat mTAN útočníkovi do drop zóny. MitMo zpravidla kontroluje, zda je z mobilu možno navázat komunikaci do internetu. Poslat mTAN přes HTTP je lepší než ho přeposílat jako SMS, protože v takovém případě se činnost tohoto trojského koně neprojeví ani zvýšenými náklady za telefon.

Podvodné transakce jsou zpravidla realizovány z počítače klienta ihned poté, co se přihlásí. Je tomu tak proto, že je tím zaručeno, že se mTAN podaří včas doručit a přeposlat. Pokud by se transakce dělaly z jiného počítače, což by jistě také šlo, a jsou známy i takové případy, tak by se mohlo stát, že klient telefon na noc vypnul, odpojil všechny sítě, aby ho nikdo nerušil, nebo se nacházel v místě, kde prostě nebyl signál.

Nicméně hlavní důvod, proč je preferováno dokončení transakce z napadeného počítače, je ten, že mnohé zahraniční banky již dávno nasadily FDS, takže by jim mohlo být podezřelé, současné přihlašování z různých nebo zcela jiných lokalit, ke kterému by v takovém případě zcela logicky muselo docházet, tedy pokud by nebyl zneužit nějaký zombie počítač v ČR, který je součástí botnetu (i když i takové případy byly zaznamenány). Takhle, když transakce přichází ve stejnou dobu, a ze stejného počítače, tak FDS nemá moc šanci ji odhalit.

Autorizace transakce čipovou kartou

Jestliže se uživatel autentizuje a transakce podepisuje čipovou kartou, tak to má malware ještě jednodušší, protože mu stačí nakazit jen počítač, ke kterému je připojena čtečka čipových karet. V ohrožení jsou především ti klienti, kteří používají čtečku čipových karet bez vlastní klávesnice, protože PIN, který zadávají na klasické klávesnici připojené k počítači, je malwarem odposlechnut a následně zneužit.

Malware nainstalovaný na počítači klienta jednoduše generuje transakce a sám si je i podepisuje, protože zná PIN a karta je zasunuta ve čtečce. Ti, kteří používají čtečku čipových karet s vlastní klávesnicí, jsou na tom podstatně lépe, protože PIN zadávaný tímto způsobem nemůže malware odposlechnout.

Ovšem je zde ještě jeden nezanedbatelný problém a tím je autorizace většího počtu transakcí, které ve firmě zpravidla zadává jiná osoba, než která je schvaluje, a i když připustíme, že tuto činnost v menší firmě vykonává třeba přímo její majitel nebo prověřená osoba, tak je těch transakcí prostě moc. A když prakticky denně převádíte z účtu na účet stotisícové a vyšší částky, tak prostě po čase vaše pozornost ochabne, obzvlášť když se nejedná o vaše peníze, ale peníze firmy.

Předpokládejme, že klient vytvořil transakci a chce ji autorizovat, kliká tedy na tlačítko podepsat, aplikace do čtečky zasílá transakční data, která jsou zobrazena na jejím displeji, a ten kdo transakce potvrzuje, by měl zkontrolovat, že číslo účtu a částka, která se mu zobrazuje na displeji čtečky, je skutečně ono číslo účtu, na které chce peníze poslat.

A právě na skutečnosti, že se číslo účtu a částka na displeji nezobrazuje, tato kontrola neprobíhá, nebo probíhá nedostatečně, spoléhá malware, který před odesláním transakcí do čtečky ještě jednu transakci přidá nebo u jedné změní číslo účtu a případně i částku. V okamžiku, kdy je zadán PIN, a transakce nebo celý soubor transakcí je potvrzen, dojde k jejímu podepsání a k odeslání do banky.

Pokud vás tento příspěvek zaujal, sdílejte ho!
Email this to someone
email
Share on LinkedIn
Linkedin
Tweet about this on Twitter
Twitter
Share on Facebook
Facebook
Print this page
Print
Související články:
  1. Malware: bankovní malware
  2. Bankovní malware, aneb s jakými útoky jsme se mohli setkat v roce 2013
  3. Bankovní malware a jak se mu bránit – 3. díl
  4. Bankovní malware a jak se mu bránit
  5. Bankovní malware a jak se mu bránit – 2. díl

Štítky: , ,


K článku “Bankovní malware má značný potenciál odčerpat z účtů klientů další milióny” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce:

 

Témata
analýza rizik Android APT autentizace bankovní malware bezpečnostní incident buzzword BYOD cloud computing cybercrime DLP Flash GDPR hodnocení zranitelností HR hrozby informační bezpečnost internetové bankovnictví internetový marketing iOS IT governance IT náklady kryptografie kybernetická bezpečnost LinkedIn lámání hesel malware n-tier nové hrozby OTP phishing ransomware rizika rozhovor SEO smartphone socialní sítě strategický management tablety Testování SW Windows zranitelnosti zákon o kybernetické bezpečnosti řízení informační bezpečnosti řízení informačních rizik