V souvislosti s probíhajícími útoky na klienty bank, o kterých jsme na našich stránkách již psali, vyvstala otázka, jakým způsobem probíhá vyvedení peněz z těchto bank.

Jestliže vás zajímá, jak je možné vyvést peníze z banky, aniž by byl tento převod detekován nejrůznějšími systémy na detekci podvodů (Fraud Detection Systém, zkr. FDS) nebo na odhalování praní špinavých peněz (Anti Money Loundering, zkr. AML), čtěte dále.

Musím konstatovat, že předpověď IT hrozeb pro rok 2013, se téměř bezezbytku vyplnila.

Obzvlášť alarmující je úspěšnost bankovního malwaru, před kterým jsme poprvé varovali již před více jak dvěma roky a opakovaně na něj upozorňovali i v Cyber Threat Reportu.

Může banka udělat něco víc pro zajištění bezpečnosti svých klientů používajících internetové bankovnictví?

Je zde nějaké řešení, které by umožnilo s bankovním malwarem, jenž je stále sofistikovanější, a má značný potenciál odčerpat z účtů klientů další milióny, účinně bojovat?

Přečtěte si, co můžete udělat pro to, abyste se nestali obětí bankovního malwaru.

V minulém příspěvku jsme dospěli k závěru, že nejčastěji uváděná doporučení již dávno přežila svou dobu, a před nejnovějším bankovním malwarem nás neochrání. Situace však rozhodně není tak beznadějná, jak by se mohlo na první pohled zdát. Existují řešení, která jsou mnohem účinnější, ovšem jak už to obvykle bývá, vyšší úroveň bezpečnosti je vykoupena určitým nepohodlím, záleží však jen na vás, co upřednostníte.

Na internetu se můžeme setkat s nejrůznějšími doporučeními, jak by se měl klient internetového bankovnictví chovat, aby se nestal obětí kybernetického útoku.

Jsou však tato doporučení, skutečně účinná nebo mají navodit jen falešný pocit bezpečí? Pojďme se společně zamyslet nad smyslem jednotlivých doporučení, která by nás měla před bankovním malwarem ochránit.

Hned na úvod je třeba říci, že nedošlo k žádnému napadení bankovních systémů, ale naopak ke kompromitování systémů klientů těchto bank.

Nejnovější bankovní malware je schopen úspěšně obejít i dvoufaktorovou autentizaci a autorizaci platby. A to jak autorizaci spočívající v zadání mTAN (mobile Transaction Account Number), který klientovi posílá banka na jeho mobilní telefon ve formě SMS, tak i autorizaci transakce čipovou kartou, kdy je transakce posílána do karty k podepsání a je nutné zadat PIN.

Koncept potvrzování transakcí v internetovém bankovnictví, který je založen na přepisování jednorázových kódů, které banky zasílají svým klientům ve formě SMS na mobilní telefony, již není bezpečný a útoky z posledních týdnů to jasně potvrzují.

Pro přihlášení do internetového bankovnictví nebo potvrzení transakce požadují mnohé banky po svém klientovi zadání mTAN (mobile Transaction Authentication Number), které mu zasílají přes síť mobilního operátora ve formě SMS na jeho mobilní telefon. O tom, že tento koncept postavený na SMS je dlouhodobě neudržitelný, jsme psali již před více jak dvěma lety.

Bankovní malware je škodlivý kód, který se na počítač klienta dostává mnoha různými způsoby, a jeho výsledkem je převod částky o určité výši na zcela jiný účet, zpravidla v jiné bance, z kterého je daná částka následně vybrána.

V zásadě existují dva základní způsoby, jak dochází k realizaci těchto neautorizovaných transakcí. Buď jsou prováděny ze zcela jiného počítače, anebo přímo z počítače napadeného klienta, a takových případů přibývá.

Nová verze bankovního trojana ZeuS je schopna se aktualizovat bez nutnosti připojení ke C&C serveru.

Nová verze bankovního trojana Zeus s podporou P2P (peer-to-peer) sítí, která byla detekována na počítačích v Indii, Itálii, US a dalších zemích, již nevyužívá k aktualizaci jediný centrální server (Command & Control server, zkr. C&C), nýbrž se snaží kontaktovat ostatní nakažené počítače, které jsou součástí botnetu čítajícího nyní již více než 100.000 strojů, a pokud se na některém z nich nachází novější verze, stáhne si aktualizaci z něho, čímž se stává boj s tímto trojanem opět o něco náročnější, neboť takovýto botnet již nelze tak jednoduše zastavit. Zdroj: Abuse.ch

SpyEye je bankovní malware, který je schopen odchytit přihlašovací údaje uživatele internetového bankovnictví a nejen to.

Oběti je po přihlášení do internetového bankovnictví prostřednictvím MITB  (Man In The Browser) zobrazen formulář, který na pozadí provede změnu telefonního čísla, na které banka zasílá jednorázový kód, a který je nutné do aplikace přepsat, aby bylo možné danou transakci dokončit. I v tomto případě je vygenerován jednorázový kód, který je zaslán jako SMS na mobilní telefon oběti.