Eskalacja zagrożeń na urządzenia mobilne

Przeczytaj także: Trojan Obad rozprzestrzenia się przy użyciu botnetów

Telefon - atrybut bezpiecznej bankowości

Telefony komórkowe służą także jako narzędzie mające chronić nasze środki zgromadzone na koncie bankowym. Spora część osób korzystających z bankowości elektronicznej jako dodatkową formę autoryzacji, konieczną do wykonania np. przelewów, wybiera kody jednorazowe dystrybuowane poprzez wiadomości SMS. Do niedawna metoda ta uchodziła za bardzo bezpieczną i z pewnością lepszą niż kody umieszczone na kartach zdrapkach. Niestety pojawienie się trojana Zbot, znanego także jako ZeuS okazało się zwiastunem nowej ery. Szkodnik ten jest w pewnym sensie "przełomowy", niestety nie w pozytywnym tego słowa znaczeniu. Zeus atakował klientów banków w różnych częściach świata, także w Polsce. Jego działanie było kilkuetapowe. W pierwszej kolejności infekowany był system operacyjny ofiary. Kiedy użytkownik łączył się ze stroną internetową banku, szkodliwe oprogramowanie wyświetlało fałszywą witrynę instytucji finansowej. Wszystkie wpisane tam dane były rejestrowane przez trojana. Na poniższym obrazku widać etap logowania na sfałszowanej stronie banku.

Warto zwrócić uwagę na dwa szczegóły. Po pierwsze wygląd strony banku nie uległ zmianie, dzięki czemu uśpiona została czujność klientów. Po drugie, konieczność podania całego hasła, a nie pięciu wybranych przez system znaków (co sugeruje podpowiedź zamieszczona przez bank małą, szarą czcionką) wskazuje na ingerencję trojana w stronę banku wyświetlaną w przeglądarce. W ten sposób autorzy szkodnika omijają zabezpieczenie nazywane hasłem maskowanym, gdzie do autoryzacji podaje się jedynie kilka znaków z całego hasła głównego. Znajomość loginu i hasła nie wystarczy jednak do przelania środków zgromadzonych na koncie. Większość polskich banków jako drugi stopień zabezpieczeń stosuje wspomniane wcześniej hasła jednorazowe wysyłane do klienta przy pomocy SMS-ów (tzw. kody mTAN, Transaction Authentication Number). Kolejne obrazki pokazują, jak przestępcy rozwiązali ten problem.

Autorzy trojana postanowili skorzystać z socjotechniki. Powołując się na względy bezpieczeństwa i gwarantując, że poprzez instalację odpowiedniego certyfikatu na smartfonie nikt poza właścicielem rachunku nie będzie mógł zalogować się do konta, zachęcali do pobrania aplikacji na swój telefon.

Aby dopasować program do konkretnego platformy z jaką współpracował smartfon, użytkownik musiał podać markę i model urządzenia, a także wpisać swój numer telefonu. W krótkim czasie na wskazany numer był wysłany SMS z linkiem prowadzącym do strony, z której można było pobrać aplikację. Na chwilę obecną istnieją wersje dla systemów Symbian, Windows Mobile, Android oraz BlackBerry. Od momentu zainstalowania rzekomego "certyfikatu", wszystkie przychodzące wiadomości tekstowe, wliczając w to kody jednorazowe autoryzujące przelewy, będą przekazywane na numer przestępcy.