3 najgroźniejsze wirusy bankowe

analityk Bankier.pl

Willie Sutton, jeden z najbardziej znanych rabusiów w historii USA, na pytanie o to, czemu okradał banki, odpowiedział - "ponieważ tam były pieniądze". W czasach, gdy najkrótsza droga do banku prowadzi przez internet, rolę kasiarza z palnikiem przejął hacker i oprogramowanie pozwalające dostać się do cudzego komputera. Jednak w tym procederze nie chodzi wyłącznie o technologię. Ważną rolę odgrywa również socjotechnika.

banki bezpieczeństwo wirusy
Źródło: Thinkstock

Coraz bardziej skomplikowane zabezpieczenia bankowości internetowej i rozwój bankowości mobilnej powodują, że przestępcy muszą zmieniać swoje metody działania. Jeszcze kilka lat temu, aby podszyć się pod klienta banku, wystarczyło zdobyć jego login i hasło. Odpowiednio przygotowana strona internetowa, łudząco podobna do prawdziwego serwisu banku, pozwalała wykraść wrażliwe dane. Trzeba było tylko zachęcić potencjalne ofiary do kliknięcia w link, np. wysyłając e-maila udającego bankowy komunikat.

Dziś, gdy standardowe stały się dwustopniowe zabezpieczenia stały się standardem, przestępcy mają trudniejsze zadanie. Dlatego wirusy komputerowe są bardziej wyrafinowane, a obiektem ataku jest jednocześnie komputer i telefon ofiary albo systemy odpowiedzialne za transfer pieniądza.

ZeuS - prekursor nowego trendu

Pierwsze wersje tego konia trojańskiego pojawiły się w 2007 roku. Jego wyspecjalizowana odmiana, nakierowana na polskie banki, zaatakowała w 2011 roku. Od tej pory kolejne wersje stale rozwijanego złośliwego oprogramowania wielokrotnie dawały o sobie znać.

Użytkownik zarażał się wirusem odwiedzając odpowiednio spreparowaną stronę internetową, na którą mógł zostać skierowany np. z wiadomości e-mail. Koń trojański po zainstalowaniu się na komputerze rozpoznawał moment, w którym ofiara odwiedza stronę banku. Na początku 2011 roku jednym z celów ZeuSa stali się klienci ING Banku Śląskiego.

W przypadku tej instytucji wirus przechwytywał dane do logowania wpisywane w formularzu, przy czym najpierw podmieniał sam formularz, modyfikując go tak, żeby konieczne było podanie całości hasła, a nie tylko wybranych znaków. Po zalogowaniu do serwisu bankowego, klient otrzymywał powiadomienie o konieczności zainstalowania dodatkowego "certyfikatu" na telefonie komórkowym. Ta wiadomość również była "wstrzykiwana" w treść strony przez ZeuSa.



Źródło: ING Bank Śląski.

Użytkownik, który zgodził się na pobranie oprogramowania na telefon, otrzymywał wiadomość SMS z linkiem. Pobranie aplikacji powodowało zainstalowanie mobilnego towarzysza ZeuSa - Zbota. Program przechwytywał jednorazowe hasła SMS i wysyłał je do oszustów. W ten sposób przestępcy mieli komplet danych pozwalających na dokonywanie operacji.

Eurograbber - złodziej 36 mln euro

Kod źródłowy ZeuSa posłużył do stworzenia wielu kolejnych generacji złośliwego oprogramowania - m.in. SpyEye i Citadel oraz ich mobilnych dodatków SpitMo i CitMo. Jednym z potomków greckiego boga był Eurograbber, grasujący w Europie Zachodniej w połowie 2012 roku. Jego ofiarą padło niemal 30 tysięcy klientów banków w Hiszpanii, Włoszech, Niemczech i Holandii.

Schemat działania programu był taki sam, jak duetu ZeuS/Zbot. Tym razem jednak atak nakierowano także na posiadaczy smartfonów Blackberry oraz urządzeń z systemem Android. Po zainstalowaniu oprogramowania na telefonie klient musiał wpisać w systemie bankowości internetowej kod weryfikacyjny wyświetlany przez mobilną aplikację. Ten krok przypominał procedury stosowane przez banki, chociaż faktycznie część bankowego serwisu, w której następowała weryfikacja, była kontrolowana przez konia trojańskiego.

W ciągu kilku miesięcy przestępcom pochodzącym prawdopodobnie z Ukrainy udało się przelać z rachunków ofiar na konta nieświadomych pośredników - "słupów" około 36 mln euro. Najwyższe straty odnotowano we Włoszech, gdzie problem dotknął klientów 16 banków, a skradziono w sumie ponad 16 mln euro.

Dexter kradnie plastik

Złośliwe oprogramowanie nie zawsze wycelowane jest w użytkowników bankowości elektronicznej. Koń trojański Dexter ma zupełnie inny cel - systemy obsługujące karty płatnicze oparte na platformie Microsoft Windows. W połowie 2012 r. użyto go do zarażenia sieci 150 komputerów w restauracjach Subway. Dziś grasuje m.in. w RPA, gdzie trafił m.in. do placówek KFC.

Dexter na zakażonej maszynie pobiera listę działających aplikacji i wysyła ją do serwera "centrum zarządzania". Jeśli serwer zidentyfikuje aplikacje POS (przetwarzające transakcje kartowe) działające na zarażonym komputerze, rozkazuje Dexterowi wykonanie kopii zawartości pamięci zainfekowanej maszyny i wyszukanie danych kart płatniczych (tzw. Track 1 i 2 - informacji zawartych na pierwszej i drugiej ścieżce paska magnetycznego). Skradzione dane wysyłane są z powrotem do złodziejskiej centrali. Wykorzystuje się je do tworzenia kopii, które później będą wykorzystywane np. do zakupów w sklepach na obciążających konto ofiary.

Wciąż nie wiadomo, w jaki sposób wirus dostaje się do dobrze chronionych komputerów, na których zazwyczaj nikt nie przegląda stron internetowych i nie używa poczty elektronicznej. Jednym z podejrzanych jest usługa pozwalająca na zdalne administrowanie Windowsem.

Nadchodzą nowe pokolenia szkodników

Najnowsze produkty komputerowych przestępców składają się z modułów, które oszuści mogą dopasować do swoich wymagań. Wirus Hesperbot, który pojawił się na wolności w lecie 2013 roku, może przechwytywać znaki wpisywane na klawiaturze, robić zrzuty ekranu, a nawet włączać kamerę internetową w zainfekowanej maszynie. Pozwala także oczywiście na przechwytywanie wybranych witryn internetowych i podmienianie ich treści w locie, co przydaje się, by skłonić ofiarę do zainstalowania na smartfonie dodatkowego narzędzia kontrolującego SMS-y. Został napisany zupełnie od nowa i nic nie łączy go z groźnym ZeuSem.

Specjaliści zwracają uwagę, że przestępcy, podobnie jak firmy produkujące oprogramowanie, najpierw testują nowe produkty na ograniczoną skalę. Hesperbot jest właśnie w tej fazie rozwoju - na razie wypłynął na kilku mniejszych rynkach (m.in. w Czechach, gdzie rozprzestrzeniał się za pomocą fałszywych e-maili pochodzących rzekomo z poczty). Wkrótce zostanie on zapewne użyty na większą skalę i ma szansę przebić skutecznością swoich poprzedników.

Dowiedz się, jak jeszcze okrada się banki w XXI wieku. Bez przemocy i bez włamań.

Michał Kisiel, analityk Bankier.pl

Michał Kisiel

Źródło:

Newsletter Bankier.pl

Dodałeś komentarz Twój komentarz został zapisany i pojawi się na stronie za kilka minut.

Nowy komentarz

Anuluj
0 1 ~krzych

Obecnie i prymitywny bandzior może porwać człowieka i zmusic torturami do wejscia na rachunek.Wykorzystujac ofiary telefon dokonać przelewów z jego konta na własne.Jedyne zabezpieczenie to telefoniczna weryfikacja przelewu przez pracownika banku.No ale to dotyczy wysokich kwot.

! Odpowiedz
0 1 ~seth

pzdr

! Odpowiedz
1 0 (usunięty)

(wiadomość usunięta przez moderatora)

!

Księgarnia Bankier.pl

Zasady wywierania wpływu na ludzi. Szkoła Cialdiniego Zasady wywierania wpływu na ludzi. Szkoła Cialdiniego ilustracje: Andrzej Mleczko, Robert B. Cialdini Cena: 34,90 zł  Zamów książkę
Zapisz się na bezpłatny newsletter Bankier.pl