Jak probíhá útok na klienty internetového bankovnictví
V tomto příspěvku se pokusím o stručné popsání toho, jak celý útok probíhá.
Útočník nejprve provede kopii webové prezentace nějaké organizace, za kterou se rozhodl, že se bude vydávat. Za tímto účelem si registruje doménu s podobným nebo úplně stejným názvem na jiné doméně prvního řádu, a na ní pak zkopírovaný obsah umísťuje. Následně na nejrůznějších sociálních sítích a inzertních serverech zakládá inzeráty s nabídkou práce a na tuto doménu odkazuje.
V posledním případě se jednalo např. o doménu turionbc.com a turionbc.org, na kterých se nacházel stejný obsah. Můžete nejprve hádat, která doména je nyní funkční, a pak se přesvědčit a obě adresy do prohlížeče a následně i do vyhledávače zadat, a uvidíte.
Do příspěvku jak se najímají muly a vyvádějí peníze z bank, jsem doplnil i odkazy a screenshoty, abyste viděli, jak takové inzeráty vypadají, a kde všude se s nimi můžete setkat. Jak se můžete sami přesvědčit, tyto inzeráty se nacházejí na známých a hojně navštěvovaných webech, jako je LinkedIn nebo jobDNES, a je velice obtížné zjistit, aniž by na ně člověk reagoval, zda se jedná o naprosto legitimní nabídku práce či nikoliv. Útočník v podstatě jen čeká, až na jeho inzerát narazí osoba, která hledá práci a kontaktuje ho.
Zájemce o práci je ve většině případů přijat a stává se tzv. bílým koněm, v angličtině se používá pojem mule (česky mula, což je kříženec kobyly a osla). Nelze tvrdit, že mulou se stávají pouze sociálně slabší osoby, které mají finanční problémy. Najdeme mezi nimi i takové osoby, které finanční nouzí vyloženě netrpí, ale chtějí jen rychle a snadno přijít k penězům, a tak reagují na inzeráty nabízející zajímavou finanční odměnu. (Pravděpodobně se bude jednat o stejnou skupinu, která reaguje i na nabídku nejrůznějších pasivních příjmů, a možností podnikání v MLM.)
Následně je mule řečeno, že obsahem její práce bude vybrat peníze, které jí přijdou na účet, a poslat je přes Western Union nebo Money Gram a o proběhnuvší transakci informovat vedení společnosti, za což jí náleží provize ve výši 5% převáděné částky. Samozřejmě s dovětkem, že převod peněz musí realizovat co nejrychleji a po zkušební době bude dělat totéž, jen s tím rozdílem, že to již bude na firemním účtu.
Ale nepředbíhejme. Útočník musí nejprve vytvořit takový malware, který zpočátku nebude detekován žádným antivirem a dostat ho na hojně navštěvované servery např. ve formě reklamníhobanneru (jedná se o tzv. malvertisement). Nebo musí nějaký takový server kompromitovat, a začlenit malware přímo do stránky. A pak zase jen čeká, až oběť na tuto stránku zavítá a škodlivý kód se bez jejího vědomí a jakékoliv interakce stáhne do jejího počítače. Jedná se o tzv. drive-by download malware, což je náročnější na provedení.
Mnohem jednodušší je rozeslat malware jako přílohu e-mailu na nejrůznější adresy, které útočník někde předtím získal. E-maily útočník rozesílá prostřednictvím nějaké cloudové služby nebo zombií, které jsou součástí jím ovládaného botnetu. A stejně jako v předchozím případě čeká, až oběť danou přílohu spustí a malware se usídlí v jejím počítači.
V okamžiku, kdy se napadený počítač stává součástí celosvětového botnetu, je připraven k příjmu dalšího specializovaného malwaru, který už bude něco zajímavého dělat. Malware na počítači oběti se proto připojuje k pronajatému C&C serveru, kterým se botnet ovládá, a stahuje si z něj bankovní malware napsaný přímo na míru dané finanční instituci, který je schopen odchytit přihlašovací údaje, umožnit vzdálený přístup do počítače oběti nebo z jejího počítače provést finanční transakci.
Pokud daná banka používá k autorizaci transakce jiný kanál, např. mTAN zaslaný ve formě SMS na mobilní telefon klienta, musí malware zobrazit v internetovém bankovnictví ještě výzvu k instalaci bezpečnostní aplikace do telefonu, která ve skutečnosti slouží k odchytávání SMS kodů a přeposílání útočníkovi, který pak může transakci dokončit.
Následně dochází k převodům finančních prostředků z účtů napadených klientů, dále jen obětí na účty mul. Muly následně obdrží informace o částkách, které jim mají přijít na účet, a co s nimi mají dělat. Do příspěvku jak se najímají muly a vyvádějí peníze z bank, jsem též doplnil, jak takový e-mail vypadá.
V okamžiku, kdy dojde k masivnímu šíření e-mailu, který obsahuje škodlivý kód nebo k umístění škodlivého kódu na nějaký web, je tento kód dříve či později detekován antivirovými společnostmi, které začínají pracovat na uvolnění nové verze definičního souboru svého AV řešení.
Je zřejmé, že samotné nakažení počítače oběti, převod peněz na účet muly a výběr hotovosti z bankomatu musí proběhnout velice rychle, v řádu hodin, protože s časem úspěšnost takového útoku podstatně klesá.
Štítky: bankovní malware
K článku “Jak probíhá útok na klienty internetového bankovnictví” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.