Bankowość internetowa może być bezpieczna?

Przeczytaj także: Bankowość elektroniczna: jak się ustrzec przed złodziejem?

chipTAN

chipTAN to kolejna metoda uwierzytelniania dwuskładnikowego. Jest stosowana przez niektóre banki i wymaga, aby każdy klient posiadał specjalne urządzenie generujące kody TAN. Po zdefiniowaniu transakcji na stronie bankowej użytkownicy wkładają swoje karty kredytowe do urządzenia chipTAN i wprowadzają kod PIN.

Następnie, użytkownicy umieszczają urządzenie w pobliżu monitora swojego komputera w celu sprawdzenia szczegółów dotyczących trwającej transakcji. Po sprawdzeniu takich szczegółów z danymi wyświetlonymi na ekranie urządzenia użytkownicy wprowadzają dodatkowy kod z urządzenia w celu potwierdzenia transakcji.

chipTAN jest obecnie najbardziej zaawansowanym i najskuteczniejszym narzędziem bezpieczeństwa transakcji bankowych. Niestety, twórcy trojana bankowego SpyEye nauczyli się obchodzić również takie zaawansowane narzędzie bezpieczeństwa.

• Przy użyciu wstrzykiwania sieciowego trojan modyfikuje listę transakcji bankowych użytkownika. W efekcie, gdy użytkownik loguje się w systemie bankowości online, widzi, że przyszedł przelew bankowy na dużą sumę i saldo na rachunku zostało odpowiednio zmienione.
• SpyEye, w imieniu systemu bankowości online, powiadamia użytkownika, że operacja ta została wykonana przez pomyłkę i jego konto zostanie zablokowane do czasu, gdy zwróci sumę, którą rzekomo otrzymał.
• Aby nie dopuścić do zablokowania konta, użytkownik inicjuje nową operację płatności w celu zwrócenia pieniędzy. SpyEye prosi użytkownika o podanie wymaganego konta bankowego i kwoty. Trojan nie musi kraść wygenerowanego kodu chipTAN, ponieważ użytkownik wprowadza go ręcznie, a następnie potwierdza transakcję.

Następnie, trojan majstruje przy stronie internetowej, tak by wyświetlała pierwotne saldo na koncie bankowym, podczas gdy pieniądze zostają przelane cyberprzestępcom.

Jak widać, metoda ta nie wymaga nawet dodatkowych sztuczek technicznych ze strony cyberprzestępców; atak opiera się na wstrzykiwaniu sieciowym i socjotechnice.

Token

Token to urządzenie USB wykorzystywane jako dodatkowe narzędzie bezpieczeństwa i zawierające unikatowy klucz, który jest wymagany przez system za każdym razem, gdy użytkownik przeprowadza operację płatniczą. Twórcy trojana bankowego Lurk znaleźli dość skuteczny sposób obejścia tej ochrony:

• Użytkownicy inicjują operacje płatnicze w systemie bankowości online i podają szczegóły.
• Trojan Lurk przechwytuje szczegóły dotyczące płatności i czeka, aż system poprosi o token.
• System bankowości online prosi o token, a użytkownicy podają swoje dane uwierzytelniające, umieszczając token USB w odpowiednim gnieździe komputera.
• Trojan przechwytuje to zdarzenie, po czym wyświetla fałszywy „niebieski ekran”, który informuje użytkowników, że tworzona jest kopia pamięci w celu późniejszej analizy, i prosi użytkowników, aby nie wyłączali komputera do czasu zakończenia operacji.

Podczas gdy użytkownicy czekają, aż „operacja” zostanie zakończona (i w czasie, gdy ich tokeny znajdują się w porcie USB), cyberprzestępca uzyskuje dostęp do tych kont w celu realizacji zlecenia płatniczego w imieniu użytkowników i przelewa pieniądze na inne konto.

Szkodliwe programy z rodziny Trojan-Banker.Win32.BifitAgent wykorzystują inną metodę w celu obejścia tokena USB. Celem tych szkodników jest atakowanie użytkowników oprogramowania bankowości online stworzonego przez rosyjskiego producenta oprogramowania BIFIT.

Szkodliwy program BifitAgent składa się z dwóch głównych modułów, które działają na komputerze ofiary – pliku wykonywalnego i archiwum Javy. Gdy szkodliwy program zostanie uruchomiony, główny moduł wykonywalny, który umożliwia komunikację z serwerem kontroli (C&C), działa jednocześnie ze szkodliwymi plikami JAR i pozwala osobom atakującym zmodyfikować kod JAVA w momencie dokonywania transakcji bankowych. Główną funkcją zawartego w szkodliwym pliku JAR kodu Javy jest podszywanie się pod dane wykorzystywane w transakcjach bankowych przeprowadzanych na zainfekowanym komputerze, tak aby użytkownik nie zorientował się. Wykorzystanie tokenu USB w transakcji nie stanowi przeszkody dla cyberprzestępcy, ponieważ token podpisuje transakcję dopiero po tym, jak dane zostaną zimitowane. W efekcie, pieniądze użytkowników trafiają na konta cyberprzestępców.