Jak probíhá útok na klienty internetového bankovnictví
4. díl
V tomto článku se dozvíte, jakým způsobem dochází ke krádežím jednorázových kódů a přihlašovacích údajů zasílaných v SMS. Kam jsou tyto SMS přeposílány. A proč je tak obtížné útočníka vystopovat.
Pokud jste četli předchozí díly, tak již asi víte, že nejprve musí dojít k napadení chytrého telefonu a k instalaci aplikace s přístupem k SMS. Obvykle k tomu dochází tak, že je oběť vyzvána k instalaci „bezpečnostní aplikace“ nacházející se zpravidla na nějakém alternativním marketu.
Zatímco dříve se výzva k instalaci této „bezpečnostní aplikace“ objevovala výhradně na stránkách internetového bankovnictví, kde však mohla být bankovním systémem s trochou štěstí detekována, tak postupem času začali útočníci tuto výzvu zobrazovat spíše na jiných stránkách než na stránkách banky, kde již tato detekce nebyla možná.
Další podstatné změny pak doznal i způsob uložení čísla útočníka, na které se autorizační SMS z telefonu oběti přeposílají. V prvních verzích bylo telefonní číslo uvedeno v plain textu přímo v kódu aplikace jako konstanta a dalo se tak snadno zjistit. V posledních verzích je však silně obfuskované, a co je ještě zajímavější, jsou používána i tzv. virtuální čísla.
Na internetu je totiž k dispozici spousta poskytovatelů tzv. virtuálních čísel, na které si můžete nechat poslat SMS, např. když nechcete použít své skutečné telefonní číslo z důvodu ochrany svého soukromí. Alespoň tak propagují tuto službu její provozovatelé. Tyto služby jsou nabízeny jak zdarma, tak i za úplatu.
Na stránkách provozovatele těchto služeb jednoduše zvolíte číslo, na které chcete SMS poslat, a pak už jen sledujete stránku, na které se všechny na toto číslo zaslané SMS objeví. Schválně klikněte na jakékoliv telefonní číslo uvedené na hlavní stránce a přesvědčte se sami, jak tato služba funguje.
V případě placené varianty získáte telefonní číslo, které je přiděleno pouze vám a pro přístup na stránku, kde se zobrazují všechny na toto číslo zaslané SMS, musíte zadat heslo. V případě bezplatné varianty si obsah jednotlivých zpráv může přečíst kdokoliv, protože přístup k této stránce není chráněn heslem.
Když se však podíváte na obsah jednotlivých SMS zpráv, které jsou na tato virtuální čísla doručovány, tak vám asi rychle dojde, kým jsou tato virtuální čísla ve skutečnosti využívána. Ano, tušíte správně, drtivou většinu obsahu těchto zpráv tvoří nejrůznější hesla, potvrzovací kódy a čísla účtů.
Pro útočníka je tato služba atraktivní především proto, že je prakticky nemožné ho vystopovat, neboť přihlašovat se na danou stránku může odkudkoliv. Že jsou tyto autorizační kódy dostupné pro kohokoliv, kdo na danou stránku zavítá, útočníka trápit nemusí, protože jen on je přihlášen do internetového bankovnictví a jen on danou transakci může pomocí jednorázového kódu potvrdit.
Vzhledem k tomu, že jsou tyto stránky dostupné i bez registrace, a Google jejich obsah indexuje, dá se na nich pomocí Google i snadno vyhledávat. Stačí jen do vyhledávače zadat text, který je uveden v SMS zprávě, kterou daná služba, spoléhající na dvoufaktorovou out-of-band autentizaci, zasílá svým klientům.
Určitým řešením by mohlo být tyto stránky monitorovat, autorizační kódy v systému banky zneplatňovat, a klienta neprodleně kontaktovat s tím, že se stal obětí útoku. To ale předpokládá analýzu každé nové verze „bezpečnostní aplikace“, protože útočník může začít využívat služeb i jiného poskytovatele.
Vzhledem k tomu, že zde dochází k určitému prodlení mezi uvolněním nové verze „bezpečnostní aplikace“, její detekcí a následnou analýzou, není tento přístup zrovna moc efektivní. Jako mnohem lepší řešení se jeví nasadit FDS se speciální sadou pravidel a zavést na SMS nezávislou a přitom bezpečnou, levnou a uživatelsky přívětivou dvoufaktorovou autentizaci.
ČERMÁK, Miroslav, 2015. Jak probíhá útok na klienty internetového bankovnictví – 4. díl. Online. Clever and Smart. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/jak-probiha-utok-na-klienty-internetoveho-bankovnictvi-4-dil/. [citováno 07.12.2024].
Štítky: bankovní malware, internetové bankovnictví
K článku “Jak probíhá útok na klienty internetového bankovnictví
4. díl” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.