Komputerowe wirusy przygotowane z myślą o okradaniu bankowych kont stają się coraz bardziej wyrafinowane. Firma Check Point opublikowała właśnie szczegółowy opis wieloetapowego ataku, nazwanego „Eurograbber”, korzystającego z konia trojańskiego na komputerze i telefonie ofiary. Oprogramowanie wykorzystane przez przestępców pozwalało rabować klientów banków w zupełnie niewidoczny sposób.
 |
Anatomia ataku
Pierwszym etapem ataku jest zainstalowanie na komputerze ofiary zmodyfikowanej wersji konia trojańskiego Zeus. Koń trojański to program, który w sposób niewidoczny dla użytkownika maszyny komunikuje się ze swoim twórcą i może dokonywać różnych operacji (np. śledzić znaki wpisywane na klawiaturze lub wysyłać pliki). Ofiary zarażały się prawdopodobnie poprzez kliknięcie linku przesłanego w wiadomości e-mail lub wchodząc na strony internetowe instalujące złośliwe oprogramowanie.
 | »Były bankier wyznaje: sprzedawaliśmy na siłę |
Dane wpisane przez ofiarę trafiały do serwera kontrolowanego przez przestępców, który zawierał bazę danych zgromadzonych informacji. Użytkownik otrzymywał następnie wiadomość SMS z linkiem do „bankowej” aplikacji. Atak nakierowano na posiadaczy smartfonów Blackberry oraz urządzeń z systemem Android. Po zainstalowaniu oprogramowania na telefonie klient musiał wpisać w systemie bankowości internetowej kod weryfikacyjny wyświetlany przez mobilną aplikację. Ten krok przypominał procedury stosowane przez banki, chociaż faktycznie część bankowego serwisu, w której następowała weryfikacja była kontrolowana przez konia trojańskiego.
Ciche przelewy
Po zainfekowaniu zarówno komputera, jak i telefonu ofiary
Eurograbber pozostawał w uśpieniu do momentu, gdy użytkownik ponownie zalogował
się do swojego banku. Gdy klient wchodził do serwisu transakcyjnego, koń
trojański w sposób zupełnie niewidoczny dla użytkownika zlecał przelew
określonej części salda rachunku na konto „słupa” pośredniczącego w praniu
skradzionych pieniędzy.
| »Banki ostrzegają przed wirusami Zeus i Citadel |
Wiadomość SMS służąca do potwierdzenia transakcji wysyłana przez bank była przechwytywana przez oprogramowanie na telefonie. SMS nie był wyświetlany, lecz od razu przesyłany na inny telefon, a stamtąd przekazywany do bazy danych przestępców. Serwer zawiadujący atakiem przesyłał jednorazowy kod do konia trojańskiego na komputerze ofiary, tak aby transakcja mogła zostać zatwierdzona.
 |
Jak się chronić przez kradzieżą?
Kluczowym elementem w ataku Eurograbbera jest przejęcie kontroli nad telefonem ofiary. Pozwala to ominąć drugi poziom zabezpieczeń stosowany przez banki. Nie bez przyczyny za swój cel przestępcy obrali użytkowników smartfonów z systemem Android i Blackberry. Umożliwiają one wgrywanie aplikacji poza oficjalnym „sklepem” – poprzez pobranie pliku z internetu. Dlatego należy zachować szczególną ostrożność, w sytuacji, gdy jesteśmy skłaniani do zainstalowania oprogramowania na smartfonie, a najlepiej w ogóle nie korzystać z aplikacji dystrybuowanych poza Google Play.
Istotne pozostaje także zachowanie podstawowych zasad bezpieczeństwa w korzystaniu z komputera:
- unikanie klikania w linki w przesyłanych wiadomościach e-mail,
- instalowanie i bieżące aktualizowanie programów antywirusowych,
- podejrzliwe traktowanie wszelkich nietypowych żądań, w szczególności związanych z koniecznością podawania wrażliwych danych lub instalowaniem oprogramowania, nawet jeśli nadawcą informacji wydaje się być bank, a komunikat pojawia się w serwisie bankowości internetowej.
Michał Kisiel, analityk Bankier.pl
Szczegółowy opis ataku Eurograbber (w jęz. angielskim) - http://www.checkpoint.com/products/downloads/whitepapers/Eurograbber_White_Paper.pdf
