Eurograbber: wirus, który ukradł z banków 36 mln euro

analityk Bankier.pl

Komputerowe wirusy przygotowane z myślą o okradaniu bankowych kont stają się coraz bardziej wyrafinowane. Firma Check Point opublikowała właśnie szczegółowy opis wieloetapowego ataku, nazwanego „Eurograbber”, korzystającego z konia trojańskiego na komputerze i telefonie ofiary. Oprogramowanie wykorzystane przez przestępców pozwalało rabować klientów banków w zupełnie niewidoczny sposób.

 Z lichwą nie wygrasz…»Chwilówka - zamiast deski ratunkowej, gwóźdź do trumny
Wirus zaczął się rozprzestrzeniać w lecie tego roku. Jego ofiarą padło niemal 30 tysięcy osób w Hiszpanii, Włoszech, Niemczech i Holandii. Celem ataku były kraje strefy euro, ale niewykluczone, że przestępcy wkrótce skierują swoją uwagę także na inne regiony. W ciągu kilku miesięcy przestępcom pochodzącym prawdopodobnie z Ukrainy udało się przelać z rachunków ofiar na konta nieświadomych pośredników - „słupów” około 36 mln euro. Najwyższe straty odnotowano we Włoszech, gdzie problem dotknął klientów 16 banków, a skradziono w sumie ponad 16 mln euro.

Anatomia ataku

Pierwszym etapem ataku jest zainstalowanie na komputerze ofiary zmodyfikowanej wersji konia trojańskiego Zeus. Koń trojański to program, który w sposób niewidoczny dla użytkownika maszyny komunikuje się ze swoim twórcą i może dokonywać różnych operacji (np. śledzić znaki wpisywane na klawiaturze lub wysyłać pliki). Ofiary zarażały się prawdopodobnie poprzez kliknięcie linku przesłanego w wiadomości e-mail lub wchodząc na strony internetowe instalujące złośliwe oprogramowanie.

 Były bankier wyznaje: sprzedawaliśmy na siłę »Były bankier wyznaje: sprzedawaliśmy na siłę
Eurograbber pozostawał uśpiony na komputerze ofiary do momentu, gdy klient zalogował się do serwisu bankowości internetowej. W odpowiedniej chwili do kodu strony banku wstawiał on fragment, który wyświetlał komunikat informujący o dodatkowych zabezpieczeniach wprowadzanych przez instytucję. Klient był proszony o wybranie z listy typu posiadanego telefonu oraz numeru telefonu komórkowego.

Dane wpisane przez ofiarę trafiały do serwera kontrolowanego przez przestępców, który zawierał bazę danych zgromadzonych informacji. Użytkownik otrzymywał następnie wiadomość SMS z linkiem do „bankowej” aplikacji. Atak nakierowano na posiadaczy smartfonów Blackberry oraz urządzeń z systemem Android. Po zainstalowaniu oprogramowania na telefonie klient musiał wpisać w systemie bankowości internetowej kod weryfikacyjny wyświetlany przez mobilną aplikację. Ten krok przypominał procedury stosowane przez banki, chociaż faktycznie część bankowego serwisu, w której następowała weryfikacja była kontrolowana przez konia trojańskiego.

Ciche przelewy

Po zainfekowaniu zarówno komputera, jak i telefonu ofiary Eurograbber pozostawał w uśpieniu do momentu, gdy użytkownik ponownie zalogował się do swojego banku. Gdy klient wchodził do serwisu transakcyjnego, koń trojański w sposób zupełnie niewidoczny dla użytkownika zlecał przelew określonej części salda rachunku na konto „słupa” pośredniczącego w praniu skradzionych pieniędzy.

»Banki ostrzegają przed wirusami Zeus i Citadel

Wiadomość SMS służąca do potwierdzenia transakcji wysyłana przez bank była przechwytywana przez oprogramowanie na telefonie. SMS nie był wyświetlany, lecz od razu przesyłany na inny telefon, a stamtąd przekazywany do bazy danych przestępców. Serwer zawiadujący atakiem przesyłał jednorazowy kod do konia trojańskiego na komputerze ofiary, tak aby transakcja mogła zostać zatwierdzona.

 Z lichwą nie wygrasz…»Z lichwą nie wygrasz…
Cały proceder nie byłby możliwy, gdyby nie sieć pośredników odbierających przelewy z okradanych kont. Osoby biorące udział w praniu pieniędzy są rekrutowane przez wiadomości e-mail, w których proponuje się dobrze płatną zdalną pracę przez internet. Zajęcie ma polegać na pośredniczeniu w rozliczeniach, a „słup” jest wynagradzany za „księgowanie” wpłat i wysyłanie ich na wskazane rachunki. Często procedura rekrutacji rzeczywiście przypomina staranie o pracę, a kandydaci otrzymują nawet formularze osobowe i umowy do podpisania.

Jak się chronić przez kradzieżą?

Kluczowym elementem w ataku Eurograbbera jest przejęcie kontroli nad telefonem ofiary. Pozwala to ominąć drugi poziom zabezpieczeń stosowany przez banki. Nie bez przyczyny za swój cel przestępcy obrali użytkowników smartfonów z systemem Android i Blackberry. Umożliwiają one wgrywanie aplikacji poza oficjalnym „sklepem” – poprzez pobranie pliku z internetu. Dlatego należy zachować szczególną ostrożność, w sytuacji, gdy jesteśmy skłaniani do zainstalowania oprogramowania na smartfonie, a najlepiej w ogóle nie korzystać z aplikacji dystrybuowanych poza Google Play.

Istotne pozostaje także zachowanie podstawowych zasad bezpieczeństwa w korzystaniu z komputera:

  • unikanie klikania w linki w przesyłanych wiadomościach e-mail,
  • instalowanie i bieżące aktualizowanie programów antywirusowych,
  • podejrzliwe traktowanie wszelkich nietypowych żądań, w szczególności związanych z koniecznością podawania wrażliwych danych lub instalowaniem oprogramowania, nawet jeśli nadawcą informacji wydaje się być bank, a komunikat pojawia się w serwisie bankowości internetowej.

Michał Kisiel, analityk Bankier.pl

m.kisiel@bankier.pl

Szczegółowy opis ataku Eurograbber (w jęz. angielskim) - http://www.checkpoint.com/products/downloads/whitepapers/Eurograbber_White_Paper.pdf

Michał Kisiel

Źródło:

Newsletter Bankier.pl

Dodałeś komentarz Twój komentarz został zapisany i pojawi się na stronie za kilka minut.

Nowy komentarz

Anuluj
1 0 ~cd

wirusy mają sposób też na hasła sms

! Odpowiedz
1 0 ~gigichaofan

W mBanku czy Kredyt Banku odbiorcę najpierw trzeba potwierdzić hasłem. Kradzież w taki sposób byłaby niemożliwa.

! Odpowiedz
1 0 ~gladi

no to brawo jeśli sami podaja numer i model telefonu to mozna ich nazwac jedynie idiotami

!
Polecane
Najnowsze
Popularne