Ataki man-in-the-middle na fińskie banki

Przeczytaj także: Grupa Anonymous zaatakuje Facebook?

Konta w zaatakowanych bankach są stosunkowo dobrze zabezpieczone.

"Oba wykorzystują jednorazowe hasła do logowania i kody potwierdzające transakcje, więc zwykłe techniki wyłudzania danych (phishingu) są w tym przypadku raczej mało skuteczne" – pisze na firmowym blogu Sean Sullivan, główny doradca ds. bezpieczeństwa firmy F-Secure, fińskiego producenta oprogramowania antywirusowego. Przestępcy postanowili obejść tę barierę, przekierowując klientów na własny serwer, czyli wykorzystując technikę man-in-the-middle.

Scenariusz ataku wygląda następująco: Klienci banku otrzymują maila napisanego kiepską fińszczyzną, zawierającego prośbę o przejście na stronę bankowości elektronicznej w celu corocznej, ponownej konfiguracji konta. W treści podano link przenoszący użytkownika na sfałszowaną stronę logowania banku. Po wprowadzeniu przez klienta loginu i jednorazowego hasła następuje przekierowanie na stronę, która wyświetla komunikat: „Zaczekaj dwie minuty...”

W tym czasie serwer użyty do ataku ustawia przelew z konta użytkownika na nieznany rachunek. Po dwóch minutach użytkownik zostaje poproszony o podanie jednego z kodów potwierdzających transakcję. Czynność ta ostatecznie uruchamia przelew, a użytkownikowi wyświetla się podziękowanie za współpracę. Dla mniej wprawnego Internauty wszystko wygląda niegroźnie.

"E-mail zachęcający użytkowników do zalogowania się na sfałszowanej stronie jest dość krótki, a klienci nie czytają go dokładnie. Wprawdzie Nordea już opublikowała ogłoszenie wzywające klientów do ignorowania maili zawierających błędy językowe, jednak po kliknięciu w link użytkownik zostaje przeniesiony do sfabrykowanego serwisu, gdzie wszystkie treści są poprawnie skopiowane z oryginalnej strony banku, co może wzbudzać jego zaufanie" – pisze Sean Sullivan.

F-Secure ostrzega, iż właściciel francuskiego serwera, z którego dokonywane są ataki, dysponuje ponad 90 domenami, które może wykorzystać do dalszego uprawiania przestępczego procederu.

"Niewykluczone, że hakerzy będą atakować także banki w innych krajach. Zaledwie kilka miesięcy temu byliśmy świadkami ataku trojana ZeuS, który również wyłudzał dane bankowości elektronicznej. Choć ZeuS początkowo rozprzestrzeniał się tylko w Europie Wschodniej, dotychczas zaraził już komputery w 196 krajach, nie wyłączając Polski. Należy zawsze mieć aktualny program zabezpieczający, wystrzegać się nietypowych wiadomości od banków, a przede wszystkim zawsze i kategorycznie logować się do bankowości elektronicznej wyłącznie za pośrednictwem zaufanego łącza oraz w żadnym wypadku nie korzystać z linków przesłanych mailem" – zauważa Michał Iwan, dyrektor zarządzający F-Secure Polska.