Vishing
Doufali jsme, že se našemu Karlovi od posledního maléru už nic nestane, ale bohužel se opět dostal do problému. Tentokrát se útočník rozhodl, že Karlovi vybere jeho bankovní účet, který ovládá přes internetové bankovnictví.
Je známo, že Karel využívá svůj počítač často, téměř každý den usedá ke své obstarožní stanici, aby prováděl transakce pomocí internetového bankovnictví, na internetu vyhledával novinky ze světa showbyznysu, vitamínové i jiné preparáty.
A právě návštěvy webů pochybné kvality vystavily Karla riziku nákazy jeho počítače škodlivým kódem (malwarem). Pro úplnost dodejme, že Karel používá nejběžnější operační systém a bezpečnostní updaty moc neřeší, takže to byla opravdu jen otázka času, než se jeho počítač nakazí.
Karel neměl o přítomnosti malwaru ve svém počítači ani ponětí. Tento malware byl výplodem moderním doby – dokázal zcizit a zaslat útočníkovi autentizační údaje jakéhokoliv SSL spojení (např. do emailu) či provádět cílené útoky na konkrétní webové služby (zejména internetová bankovnictví), kde dokázal pozměnit cílové číslo účtu a částku u právě prováděné transakce (tzv. útok Man-in-the-Browser). Karel však používal internetové bankovnictví, které k dokončení transakce vyžadovalo zadání autorizačního kódu, který Karlovi vždy přišel na mobil ve formě SMS. Uživatelské jméno a heslo tak útočníkovi k dokončení transakce nestačilo, ale mohl se podívat na zůstatek, historii a další informace.
Útočník se rozhodl získat autorizační kód pomocí techniky označované jako vishing, což je kombinace slov voice-over a phishing – čili lovení hesel přes telefon za pomocí sociálního inženýrství. Vzhledem ke skutečnosti, že je v internetovém bankovnictví uveden majitel účtu včetně adresy, nebyl pro útočníka problém zjistit i Karlovo telefonní číslo. Jakmile ho získal, přihlásil se do Karlova internetového bankovnictví, zadal tučnou transakci (max. možnou převoditelnou částku) a byl připraven požádat o autorizační kód pro provedení transakce, který přijde Karlovi mobil.
Poznamenejme, že Karel seděl na obědě a pochutnával si na jemném drůbežím rizotu se žampióny (2 598 kJ) v závodní jídelně, když jeho mobil oznámil přijetí SMS. Nejednalo se ale o autorizační kód k podvodné transakci, která byla na spadnutí, nýbrž o SMS zprávu s následujícím textem:
VAZENY KLIENTE, ZAZNAMENELI JSME POKUS O PODVODNOU TRANSKACI Z VASEHO UCTU XY POMOCI INTERNETOVEHO BANKOVNICTVI. ZA CHVILI VAS BUDE KONTAKTOVAT NAS SPECIALISTA Z TEL. CISLA XY A POMUZE PROBLEM VYRESIT. VASE BANKA XY.
Karel zpozorněl, a vědom si svých sedmiletých úspor, pocítil jisté obavy. Zároveň ho však začal naplňovat pocit vděčnosti vůči jeho bance, která má takový zájem chránit jeho těžce vydobyté finanční prostředky.
Po chvíli skutečně zavolal z uvedeného čísla jakýsi muž, který se představil jako pracovník banky. Aby si získal Karlovu důvěru, sdělil mu jeho uživatelské jméno a dva znaky z jeho hesla. Takovou znalostí může disponovat pouze pracovník banky, pomyslel si Karel a dál naslouchal pokynům onoho pracovníka. Pracovník mu klidným hlasem oznámil, že jejich systém zaznamenal pokus o podezřelou transakci a chtěl se ujistit, že iniciátorem této transakce není sám Karel. Pracovník banky Karla vyzval, aby zachoval klid, že takové transakce se stávají dnes a denně a že je velmi jednoduchý způsob jak danou transakci stornovat. Bude mu však muset nadiktovat transakční kód, který mu přijde za okamžik na mobil.
Karla vůbec nenapadlo, že by se mohlo jednat o podvod. Vám je určitě jasné, k čemu došlo. Zkuste hádat, jak Karel dopadl.
Štítky: informační bezpečnost
K článku “Vishing” se zde nachází 2 komentáře.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.
Řekl bych, že Karel se stal obětí tohoto útoku: http://www.sbaonline.sk/sk/presscentrum/tlacove-spravy-sba/novy-typ-podvodu-v-internetbankingu-vishing.html
Pěkně vymyšlený útok na internetové bankovnictví s autorizací SMS, díky za článek i za link.