Nový trend ve vývoji bankovního malware v roce 2022

Není to ani tak o malware, jako spíše o sociálním inženýrství, kdy oběť vědomě zpřístupní útočníkovi své přihlašovací údaje, pustí jej na svůj počítač a ve výsledku „dobrovolně“ převede peníze na účet podvodníka.

Nadále byly hackovány weby, které pohání WordPress a na ně pak byly umísťovány stránky napodobující weby el. bankovnictví, platebních bran, které mohou vypadat všelijak.

Nebyly však napodobovány jen stránky bank, ale dále i přepravních společností jako je posta, zasilkovna, dhl, ppl, dpd, nebo ministerstev jako je mpsv apod.

Podstatně vzrostl počet účelově založených domén, na kterých byly rovněž umístěny podvodné stránky. Zde útočník vytvářel domény, které v názvu obsahovaly název nebo zkratku organizace, která pravé stránky provozuje. V extrémních případech se jednalo až o stovky domén zaregistrovaných během jednoho jediného dne.

V názvech domén se objevovaly podobné názvy. Místo tečky, které slouží k oddělování domén útočník začal používat pomlčku, často se v názvu falešné domény nacházelo -cz. Setkat jsme se mohli i s black hat SEO positioningem, placenou reklamou ve výsledcích vyhledávání a s názvy domén, které byly ve své podstatě anagramy (mpsv vs. mpvs).

Později se začaly ve větší míře objevovat oficiální názvy webů až za lomítkem, aby se nedaly tak snadno proaktivně vyhledávat. V mnoha případech na zaregistrované doméně nebyl umístěn žádný obsah a docházelo jen k přesměrování na oficiální stránky banky.

Nejspíš, aby byla zvýšena důvěryhodnost těchto podvodných stránek, protože krátce po jejich založení za důvěryhodné obvykle považovány nejsou. Později pak začalo být i kontrolováno, odkud a z čeho oběť na stránky přistupuje a podle toho byl zobrazován obsah anebo proběhlo jen přesměrování.

Oběti se učí, že jakýkoliv i podobný odkaz je zavede na oficiální stránku (mohou se mylně domnívat, že banka si sama zaregistrovala tyto domény jako určitou obranu před typo a cybersquatingem). A rovněž i bezpečnostní technologie se učí, že daná doména není maligní, protože jen přesměrovává na pravé stránky (z výše uvedeného důvodu).

Odkazy na tyto podvodné stránky byly šířeny nejen e-mailem, ale především přes WhatsApp (kde se dá snadno vydávat za někoho jiného), případně Messenger, který není tak proaktivně skenován nejrůznějšími antimalware řešeními a tak v něm lze snadněji poslat podvodný odkaz, který není detekován bezpečnostními řešeními.

Své oběti útočník nacházel na bazarových serverech jako je např. bazos, vinted, facebook market place a následně je oslovoval s nabídkou koupě zboží, které prodávající v inzerátech na těchto sítích nabízeli. Cílem bylo získat karetní data, jako číslo karty, expiraci a CVV kód a následně odčerpat z účtu finanční prostředky. Ve výsledku pak prodávající de facto zaplatil kupujícímu, proto se těmto podvodům také začalo říkat reverzní inzertní podvody.

V některých případech se pak útočníci obraceli na klienty bank s nabídkou výhodné investice do kryptoměn nebo jiných aktiv, jako např. akcie ČEZu, Agrofertu apod. Následně pak buď oběti ovládli počítač pomocí aplikace pro vzdálenou správu, kterou oběť sama nainstalovala a transakce provedli, anebo ji zmanipulovali k tomu, aby transakce do těchto aktiv provedla sama oběť. Zde byl hodně využíván vishing.

V některých případech byly dokonce podvodné stránky nabízející akcie i zaindexovány a pomocí pokročilého vyhledávání (Google Advanced Search) se daly i proaktivně vyhledávat a následně je nahlašovat a žádat o jejich shození.

Dalším častým případem pak bylo vydávání se za bankovního úředníka a policii, kdy útočníci volali oběti jménem bankovního úředníka s tím, že peníze na jejím účtu jsou v ohrožení, měla by je vybrat a dočasně je uložit na „bezpečný“ účet (na účet pod kontrolou útočníka anebo provést konverzi hotovosti na Bitcoiny prostřednictvím bankomatů nové generace). Tento scénář průběžně potvrzoval i komplic vydávající se za policejního úředníka, který stejně jako bankéř volal z podvrhnutého telefonního čísla.

Pokud si oběť chtěla daného úředníka ověřit, tak jej na internetu skutečně nalezla a do příslušné instituce se i dovolala. Dokonce se objevily i weby, kde bylo možné si po zadání čísla bankéře zobrazit podrobnosti ohledně jeho kompetencí.

V závěru roku se pak útočníci zaměřili i na bankovní identitu (BankID) a začali vytvářet portály, které možnosti tohoto přihlášení poskytovaného ze strany několika českých bank zneužívaly.

Útoky jsou stále sofistikovanější, ale rozhodně ne, co do použitých technologií a zneužívání technických zranitelností, jako spíše dobré znalosti bankovních produktů, procesů práce bankéřů a policie a rovněž technik manipulace.

Komunikace s obětí je vedena přes telefon obvykle perfektní češtinou, je do ní zapojeno více osob, které se vydávají za zaměstnance banky a policie a komunikace se tak tváří velice profesionálně, takže to na oběť působí celé velice věrohodně. Použité výrazy, slovní obraty a styl komunikace napovídá, že se bude jednat o občany české národnosti anebo zde již dlouho žijící, kteří ovládli veškeré nuance jazyka.

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky: , ,


K článku “Nový trend ve vývoji bankovního malware v roce 2022” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: