

Willie Sutton, jeden z najbardziej znanych rabusiów w historii USA, na pytanie o to, czemu okradał banki, odpowiedział - "ponieważ tam były pieniądze". W czasach, gdy najkrótsza droga do banku prowadzi przez internet, rolę kasiarza z palnikiem przejął hacker i oprogramowanie pozwalające dostać się do cudzego komputera. Jednak w tym procederze nie chodzi wyłącznie o technologię. Ważną rolę odgrywa również socjotechnika.

Źródło: Thinkstock
Coraz bardziej skomplikowane zabezpieczenia bankowości internetowej i rozwój bankowości mobilnej powodują, że przestępcy muszą zmieniać swoje metody działania. Jeszcze kilka lat temu, aby podszyć się pod klienta banku, wystarczyło zdobyć jego login i hasło. Odpowiednio przygotowana strona internetowa, łudząco podobna do prawdziwego serwisu banku, pozwalała wykraść wrażliwe dane. Trzeba było tylko zachęcić potencjalne ofiary do kliknięcia w link, np. wysyłając e-maila udającego bankowy komunikat.
Dziś, gdy standardowe stały się dwustopniowe zabezpieczenia stały się standardem, przestępcy mają trudniejsze zadanie. Dlatego wirusy komputerowe są bardziej wyrafinowane, a obiektem ataku jest jednocześnie komputer i telefon ofiary albo systemy odpowiedzialne za transfer pieniądza.
ZeuS - prekursor nowego trendu
Pierwsze wersje tego konia trojańskiego pojawiły się w 2007 roku. Jego wyspecjalizowana odmiana, nakierowana na polskie banki, zaatakowała w 2011 roku. Od tej pory kolejne wersje stale rozwijanego złośliwego oprogramowania wielokrotnie dawały o sobie znać.
Użytkownik zarażał się wirusem odwiedzając odpowiednio spreparowaną stronę internetową, na którą mógł zostać skierowany np. z wiadomości e-mail. Koń trojański po zainstalowaniu się na komputerze rozpoznawał moment, w którym ofiara odwiedza stronę banku. Na początku 2011 roku jednym z celów ZeuSa stali się klienci ING Banku Śląskiego.
W przypadku tej instytucji wirus przechwytywał dane do logowania wpisywane w formularzu, przy czym najpierw podmieniał sam formularz, modyfikując go tak, żeby konieczne było podanie całości hasła, a nie tylko wybranych znaków. Po zalogowaniu do serwisu bankowego, klient otrzymywał powiadomienie o konieczności zainstalowania dodatkowego "certyfikatu" na telefonie komórkowym. Ta wiadomość również była "wstrzykiwana" w treść strony przez ZeuSa.

Źródło: ING Bank Śląski.
Użytkownik, który zgodził się na pobranie oprogramowania na telefon, otrzymywał wiadomość SMS z linkiem. Pobranie aplikacji powodowało zainstalowanie mobilnego towarzysza ZeuSa - Zbota. Program przechwytywał jednorazowe hasła SMS i wysyłał je do oszustów. W ten sposób przestępcy mieli komplet danych pozwalających na dokonywanie operacji.
Eurograbber - złodziej 36 mln euro
Kod źródłowy ZeuSa posłużył do stworzenia wielu kolejnych generacji złośliwego oprogramowania - m.in. SpyEye i Citadel oraz ich mobilnych dodatków SpitMo i CitMo. Jednym z potomków greckiego boga był Eurograbber, grasujący w Europie Zachodniej w połowie 2012 roku. Jego ofiarą padło niemal 30 tysięcy klientów banków w Hiszpanii, Włoszech, Niemczech i Holandii.
Schemat działania programu był taki sam, jak duetu ZeuS/Zbot. Tym razem jednak atak nakierowano także na posiadaczy smartfonów Blackberry oraz urządzeń z systemem Android. Po zainstalowaniu oprogramowania na telefonie klient musiał wpisać w systemie bankowości internetowej kod weryfikacyjny wyświetlany przez mobilną aplikację. Ten krok przypominał procedury stosowane przez banki, chociaż faktycznie część bankowego serwisu, w której następowała weryfikacja, była kontrolowana przez konia trojańskiego.
W ciągu kilku miesięcy przestępcom pochodzącym prawdopodobnie z Ukrainy udało się przelać z rachunków ofiar na konta nieświadomych pośredników - "słupów" około 36 mln euro. Najwyższe straty odnotowano we Włoszech, gdzie problem dotknął klientów 16 banków, a skradziono w sumie ponad 16 mln euro.
Dexter kradnie plastik
Złośliwe oprogramowanie nie zawsze wycelowane jest w użytkowników bankowości elektronicznej. Koń trojański Dexter ma zupełnie inny cel - systemy obsługujące karty płatnicze oparte na platformie Microsoft Windows. W połowie 2012 r. użyto go do zarażenia sieci 150 komputerów w restauracjach Subway. Dziś grasuje m.in. w RPA, gdzie trafił m.in. do placówek KFC.
Dexter na zakażonej maszynie pobiera listę działających aplikacji i wysyła ją do serwera "centrum zarządzania". Jeśli serwer zidentyfikuje aplikacje POS (przetwarzające transakcje kartowe) działające na zarażonym komputerze, rozkazuje Dexterowi wykonanie kopii zawartości pamięci zainfekowanej maszyny i wyszukanie danych kart płatniczych (tzw. Track 1 i 2 - informacji zawartych na pierwszej i drugiej ścieżce paska magnetycznego). Skradzione dane wysyłane są z powrotem do złodziejskiej centrali. Wykorzystuje się je do tworzenia kopii, które później będą wykorzystywane np. do zakupów w sklepach na obciążających konto ofiary.
Wciąż nie wiadomo, w jaki sposób wirus dostaje się do dobrze chronionych komputerów, na których zazwyczaj nikt nie przegląda stron internetowych i nie używa poczty elektronicznej. Jednym z podejrzanych jest usługa pozwalająca na zdalne administrowanie Windowsem.
Nadchodzą nowe pokolenia szkodników
Najnowsze produkty komputerowych przestępców składają się z modułów, które oszuści mogą dopasować do swoich wymagań. Wirus Hesperbot, który pojawił się na wolności w lecie 2013 roku, może przechwytywać znaki wpisywane na klawiaturze, robić zrzuty ekranu, a nawet włączać kamerę internetową w zainfekowanej maszynie. Pozwala także oczywiście na przechwytywanie wybranych witryn internetowych i podmienianie ich treści w locie, co przydaje się, by skłonić ofiarę do zainstalowania na smartfonie dodatkowego narzędzia kontrolującego SMS-y. Został napisany zupełnie od nowa i nic nie łączy go z groźnym ZeuSem.
Specjaliści zwracają uwagę, że przestępcy, podobnie jak firmy produkujące oprogramowanie, najpierw testują nowe produkty na ograniczoną skalę. Hesperbot jest właśnie w tej fazie rozwoju - na razie wypłynął na kilku mniejszych rynkach (m.in. w Czechach, gdzie rozprzestrzeniał się za pomocą fałszywych e-maili pochodzących rzekomo z poczty). Wkrótce zostanie on zapewne użyty na większą skalę i ma szansę przebić skutecznością swoich poprzedników.
Dowiedz się, jak jeszcze okrada się banki w XXI wieku. Bez przemocy i bez włamań.
Michał Kisiel, analityk Bankier.pl


































































