Bankowość internetowa może być bezpieczna?

Przeczytaj także: Bankowość elektroniczna: jak się ustrzec przed złodziejem?

Szkodnik ten jest rozprzestrzeniany za pomocą socjotechniki oraz poprzez wykorzystywanie luk w zabezpieczeniach popularnego oprogramowania firmy Microsoft, Oracle, Adobe itd., gdy użytkownicy odwiedzają zhakowane strony internetowe. Odsyłacze do tych stron są w większości rozprzestrzeniane w spamie.

ZeuS potrafi kraść poufne informacje w celu uzyskania nieautoryzowanego dostępu do kont w największych na świecie bankach. W 2012 r. zarejestrowaliśmy 3 524 572 prób zainstalowania tego szkodliwego oprogramowania na zlokalizowanych w różnych państwach 896 620 komputerów posiadających produkty firmy Kaspersky Lab.

Obchodzenie drugiego czynnika

Jak już wyżej wspomniano, banki wkładają dużo wysiłku w zapewnienie ochrony swoim klientom. Trojany bankowe okazały się tak skuteczne, że banki musiały wprowadzić dodatkowy poziom ochrony – narzędzia identyfikacji użytkownika; wraz ze standardowymi danymi uwierzytelniającymi logowanie tworzą one tzw. uwierzytelnienie dwuskładnikowe. W przypadku uwierzytelnienia dwuskładnikowego, nie wystarczy poznać login i hasło użytkownika, aby uzyskać kontrolę nad kontem bankowym.

Jednak cyberprzestępcy postrzegają wzmocnioną ochronę jako nowe wyzwanie i szukają nowych sposobów na jej obejście.

W przypadku uwierzytelnienia dwuskładnikowego banki stosują jednorazowe hasła (tzw. TAN-y, ang. Transaction Authentication Number). W praktyce może to być wydruk z bankomatu zawierający kody; wiadomości SMS z jednorazowymi hasłami, które bank wysyła na numer komórkowy użytkownika (mTAN) lub nawet specjalistyczne urządzenie (chipTAN).

Aby obejść powyższe systemy bezpieczeństwa, cyberprzestępcy stworzyli nowe metody kradzieży danych i zmodyfikowali metody socjotechniki.

Hasła jednorazowe (TAN)

Trojan bankowy ZeuS posiada w swoim arsenale zestaw narzędzi, przy pomocy których może obejść różne rodzaje uwierzytelnienia dwuskładnikowego. ZeuS wykorzystuje interesujące narzędzie do gromadzenia haseł jednorazowych, które użytkownicy drukują w bankomacie.

• Jak tylko użytkownik zarejestruje się w systemie bankowości online i poda swoje jednorazowe hasło, ZeuS kradnie dane uwierzytelniające, wyświetla fałszywy komunikat informujący, że aktualna lista jednorazowych haseł jest nieważna i nakłania użytkownika do pobrania nowej listy haseł.
• W celu otrzymania „nowej listy” użytkownicy muszą wprowadzić aktualne kody TAN, rzekomo w celu zablokowania ich, w odpowiednie pola formularza stworzonego przez ZeuSa przy użyciu metod wstrzykiwania sieciowego.
• Wszystkie wpisywane dane logowania są wysyłane do cyberprzestępców, którzy natychmiast wykorzystują je w celu przelania zasobów ofiary na swoje konta.

mTAN

We współpracy z trojanem mobilnym ZeuS-in-the-Mobile (ZitMo) ZeuS potrafi kraść jednorazowe hasła użytkowników, które przychodzą na ich telefony komórkowe.

Poniżej przedstawiamy, w jaki sposób dwa trojany wchodzą w interakcję z użytkownikami:

• Gdy użytkownicy odwiedzają stronę logowania do systemu bankowego, ZeuS wykorzystuje wstrzykiwania sieciowe w celu stworzenia na tej stronie dodatkowego pola, w które użytkownicy mają wpisać numeru telefonu, rzekomo w celu otrzymania aktualizacji certyfikatu.
• Gdy użytkownicy wprowadzą dane uwierzytelniające logowanie wymagane do uwierzytelnienia oraz numer telefonu, trojan ukradnie te informacje i wyśle je do swoich właścicieli. Po pewnym czasie na telefon użytkownika przyjdzie SMS zawierający odsyłacz do „nowego certyfikatu bezpieczeństwa”. Gdy użytkownicy spróbują zainstalować taki fałszywy certyfikat, smartfon zostanie zainfekowany.
• W ten sposób cyberprzestępcy uzyskują dostęp do wszystkich danych, które są niezbędne do zdalnej obsługi konta bankowego użytkownika, i kradną z niego pieniądze.