Internetové bankovnictví a operace Ementál
Společnost Trend Micro detekovala phishingovou kampaň, která cílí na uživatele internetového bankovnictví po celém světě, a nazvala ji Operation Emmental.
Tento název zvolila údajně proto, že internetové bankovnictví mnoha bank obsahuje díry, podobně jako ementál, kterými útočníci úspěšně procházejí. Trochu mi to však přijde jako snaha o senzaci, protože tyhle díry resp. slabiny se nenachází v samotném internetovém bankovnictví, nýbrž v operačním systému. Přesto bych se o této kampani rád zmínil, protože zde můžeme spatřit jisté inovativní prvky.
E-mail, který se v rámci této kampaně šíří, se tváří jako že je zaslán od známé společnosti a obsahuje přílohu .rtf a v té je vložen soubor .cpl.
Po kliknutí na tento embedovaný soubor dojde ke stažení a spuštění dalšího souboru s názvem netupdater.exe, který se tváří jako Windows® update.
Ve skutečnosti však zmodifikuje záznamy v DNS tak, aby po zadání adresy internetového bankovnictví byl klient přesměrován na webové stránky útočníka, které jsou dokonalou kopií skutečných stránek internetového bankovnictví. Údajně je cíleno na klienty několik desítek bank.
Aby klient nepojal žádné podezření, tak malware též do systému mezi důvěryhodné kořenové certifikační autority nainstaluje svůj vlastní SSL certifikát, který se tváří jako další certifikát od společnosti VeriSign.
Aby ho žádné AV řešení již nemohlo detekovat, tak po provedení těchto změn malware sám sebe odstraní.
Poté, co se klient pokusí přistoupit na stránky internetového bankovnictví, je přesměrován na stránky útočníka, kde je mu zobrazena výzva k instalaci aplikace názevbanky.apk do mobilního telefonu, která se nachází na doméně security-apps.biz, security-apps.net a tc-zo.ch. Samozřejmě pod záminkou zvýšení bezpečnosti.
Ve skutečnosti však tato aplikace nedělá nic jiného, než že odchytává jednorázové kódy (mobile Transaction Account Number, zkr. mTAN), které slouží k autorizaci transakce a posílá je na C&C server, kterým v tomto případě byl kompromitovaný legitimní web oguhtell.ch a bastelfunboard.ch.
Útočník tak má k dispozici jak přihlašovací údaje, které klient zadal na podvrhnuté stránce, tak i údaje nutné k potvrzení transakce, protože ty byly z telefonu přeposlány na jeho server.
Je zřejmé, že v tomto případě je vyžadována značná součinnost ze strany uživatele, neboť musí otevřít e-mail, přílohu, spustit vložený soubor, na podvržené stránce zadat přihlašovací údaje a pak si ještě nainstalovat aplikaci do mobilního telefonu. V okamžiku, kdy by byl tento malware šířen ne přes e-mail, ale přes web, podobně jako to dělá Aibatook, tak si troufám tvrdit, že situace by byla mnohem horší.
Je zřejmé, že je třeba hledat nějakou bezpečnější autorizaci transakcí v internetovém bankovnictví, než je SMS.
ČERMÁK, Miroslav. Internetové bankovnictví a operace Ementál. Online. Clever and Smart. 2014. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/internetove-bankovnictvi-a-operace-emental/. [cit. 2025-02-10].
Štítky: bankovní malware
K článku “Internetové bankovnictví a operace Ementál” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.