Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies. Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.

Raporty PRNews.pl

Ludzie PR-u

Hydepark

Wojciech Boczoń

Michał Kisiel

Mateusz Gawin

Wiadomości

Bankowość

Aktualności

Kariera w finansach

Analizy

Firmy pożyczkowe

Ludzie

Marketing i PR

Inwestycje

Ubezpieczenia

Nieruchomości

Poradniki

SKOK-i

Nasz gość

Produkty finansowe

Zapisz się na newsletter:

Dodatek do Firefoxa podmienia numery kont w przelewach. Nie wykrywają go antywirusy

2016-01-22, 09:55

Analitycy CERT odkryli nowe zagrożenie atakujące użytkowników bankowości elektronicznej. To dodatek do przeglądarki Firefox zawierający złośliwe oprogramowanie, który nie jest wykrywalny przez antywirusy. Podmienia numery kont w trakcie wykonywania transakcji, ale dba o to, by użytkownik niczego nie zauważył.

 

Specjaliści podejrzewają, że jest to oprogramowanie napisane przez autorów odpowiadających za stworzenie wirusa Banatrix, który podmieniał numery kont użytkownikom bankowości elektronicznej. Tym razem złośliwe oprogramowanie działa w formie dodatku do przeglądarki internetowej Firefox i nie jest wykrywane przez silniki antywirusowe.

 

Jak można zainfekować przeglądarkę? Pobierając z serwisów wymiany plików lub sieci P2P zawirusowany instalator do jednego z popularnych programów – Winamp, Corel PaintShop lub PowerIso. Analitycy zwracają uwagę, że mogą to być też pliki sterowników lub piracka wersja gry MineCarft. Instalator oprócz normalnych działań wypakowuje też popularny program do pobierania plików z internetu – wget.exe i definiuje na komputerze  dodatkowe zadanie systemowe (Sheduled Task).

 

 

Zadanie uruchamia program wget.exe, który ściąga i wypakowuje do odpowiedniego folderu dodatek do przeglądarki Firefox. Dodatek pozwala na monitorowanie wszystkich przechodzących przez niego danych. Wykorzystuje do tego technikę, która jest już wykorzystywana przez inne pluginy służące na przykład do blokowania reklam.  Zadaniem dodatku jest pobieranie numeru konta, które ma być podmienione oraz robienie i wysyłanie zrzutów ekranu z przeglądarki podczas wykonywania przelewów (włącznie z kwotami).

 

W momencie wykonywania przelewu przez klienta numer rachunku zostaje podmieniony przez zainstalowany dodatek. Wirus łączy się wtedy z zewnętrznymi serwerami skąd pobiera nie tylko numer konta do podmiany (założonego na słupa), ale także listę serwisów, na których ma nie zmieniać numeru. To polskie serwisy aukcyjne używające płatności przez pośredników. Co więcej, program posiada ograniczenia co do minimalnej i maksymalnej kwoty przelewu. Jeśli kwota przelewu jest zbyt mała lub zbyt duża, wirus nie podejmuje żadnej akcji.

 

Analitycy CERT zwracają uwagę, że oprogramowanie dba o to, by użytkownik nie zauważył podmiany numeru rachunku. Dodatek nie dopuszcza do tego, by na ekranie pojawił się inny numer niż ten zdefiniowany przez użytkownika. Można się jednak ustrzec oszustwa dokładnie sprawdzając numer odbiorcy przelewu z numerem przesłanym w smsie z kodem jednorazowym do autoryzowania transakcji.

 

Dodatek nie jest złośliwy i nie jest wykrywany przez żaden z silników antywirusowych. Ważne jest jednak to, że nie jest on podpisany przez addons.mozilla.org a zgodnie z najnowszą polityką Mozilla Foundation od wersji 43 (najnowszej stabilnej) dodatki nie posiadające podpisu są automatycznie blokowane. Radzimy więc zaktualizować przeglądarkę do najnowszej wersji.” – zwracają uwagę specjaliści z CERT.

 


autor: Wojciech Boczoń



  • etykiety:
Ten przykład pokazuje, że najlepsza jest przeglądarka bez pluginów, a jeśli już to najwyżej z dodatkiem Adblock i zabezpieczającym dodatkiem antywirusa. Reszty, łącznie z Flashem trzeba się pozbyć. Niezależnie od wszystkiego trzeba porównywać fragmenty numeru rachunku w sms z kodem potwierdzającym operację. Da się tez uruchomić przeglądarkę w trybie prywatnym bez dodatków.
Paweł Nyczaj - Styczeń 22, 2016, 15:46
#1
1. Adblock to rozszerzenie, Flash to wtyczka (plugin).
2. W trybie prywatnym dodatki nadal działają. Żeby uruchomić Firefoksa bez nich, to trzeba skorzystać z opcji znajdującej się w menu pomocy - "uruchom ponownie z wyłączonymi dodatkami".
3. Głównym problemem jest pobieranie dodatków z niepewnych źródeł. Dodatek może się też pobrać sam jak np. ściągamy pirackie oprogramowanie z jakichś stron. W oficjalnej bazie rozszerzeń Mozilli tego dodatku nie ma.
4. Co do porównywania z informacjami przesłanymi w sms do potwierdzenia operacji - zgoda, to trzeba robić zawsze. I nie pobieżnie, ale bardzo dokładnie.
marek - Styczeń 22, 2016, 18:19
#2
chyba coraz niebezpieczniejsze sie robi korzystanie z bankowości internetowej? wirusy, jakieś oprogramowania.. a z drugiej strony komu sie chce isc do banku i robic przelew? cos trzeba wymyslic zeby to bylo bezpieczniejsze. ja narazie korzystam z "mobilnego banku" no bo mnijsze prawdopodobienstwo ze na urzadzeniach mobilnych bedzie wirus chociaz kto tam wie...
dasia - Styczeń 24, 2016, 17:36
#3
@dasia: wirusy na urządzenia mobilne już też są dosyć powszechne, stąd te wszystkie antywirusy na komórki czy tablety... Najważniejsze to nie instalować nieznanych programów czy dodatków, pliki pobierać tylko z zaufanych źródeł i nie odwiedzać podejrzanych stron.
tamten - Styczeń 24, 2016, 20:11
#4
Walka toczy się z nieprawnym oprogramowaniem. ale dlaczego nie są ścigani właściciele rachunków, które służą do przestępczej działalności? Przecież to tam tkwi główne źródło kryminalne.
dylan - Styczeń 25, 2016, 08:58
#5
Pożyczka na Dowód dla Każdego
od 100zł do 200.000zł Odbierz pieniądze!
- Chwilówki na Dowód bez zaświadczeń
- kredyty przez internet, dla Firm
- Kredyt na mieszkanie/hipotekę
- Kredyt Samochodowy, kredyty na dowód
Wypełnij krótki wniosek a my do Ciebie bezpłatnie oddzwonimy i przestawimy najlepszą ofertę dla Ciebie!
kredytyk.pl
www.kredytyk.pl - Styczeń 25, 2016, 12:47
#6

Bezpłatny newsletter PRNews.pl:

Zapisz się na newsletter:

Dołącz już dziś do ponad 37 tys. odbiorców!