Historia ta zaczyna się dokładnie 10-tego lutego, kiedy po polskim Internecie zaczyna krążyć zmodyfikowana wersja popularnego ZeuSa, atakująca polskojęzycznych klientów ING Banku Śląskiego i mBank. ZeuS do niedawna działał głównie na zasadzie zbliżonej do keyloggera, który przechwytuje loginy i hasła do bankowości internetowej.
Infekcja komputera ZeuSem z reguły następuje poprzez ataki drive-by-download, wykorzystujące błędy w oprogramowaniu użytkownika komputera. ZeuS do ataku wykorzystuje również phishing (wyłudzanie poufnych informacji osobistych) i inne elementy inżynierii socjalnej: klient trafia na stronę internetową i myśli, że ogląda oryginalną stronę banku, więc podaje wszystkie dane, o które prosi podszywający się pod godną zaufania instytucję oszust.
Do tej pory banki, które do autoryzacji transakcji internetowych wykorzystywały SMS kody (mTAN) przesyłane do klientów na ich telefony komórkowe, spały spokojnie. ZeuS, stosując opisane powyżej metody, nie był im straszny. Ale teraz wykorzystywana już rok temu za granicą wersja ZeuSa implementująca ataki Man-in-the-Mobile (przechwytująca jednorazowe SMS-y z hasłami wysyłane przez bank do wykonania niektórych operacji) dotarła do Polski.
Ataki na klientów ING i mBank“Dedykowana” polskim klientom ING Banku Śląskiego wersja ZeuSa modyfikuje stronę internetową banku (wstrzykując dodatkowe fragmenty kodu HTML). Klient trafiający na taka stronę podaje login i hasło (pełne!), a następnie widzi ZeuSowy komunikat “bezpieczeństwa”, proszący go o podanie modelu i numeru telefonu w celu przesłania “certyfikatu bezpieczeństwa“.
Link, z rzekomym dodatkowym certyfikatem ochronnym, który SMS-em dostaje klient banku, to w rzeczywistości złośliwa aplikacja dopasowana już do modelu telefonu. Aplikacja ta monitoruje wszystkie przychodzące SMSy i przesyła je na numer “operatora” ZeuSa. Właściciel telefonu nie widzi nawet powiadomienia, że dostał nową wiadomość.
Przez ZeuSa wspierany jest Symbian oraz BlackBerry, a od tej wersji także Windows Mobile. Dlaczego nie ma iPhone’a? Bo użytkownicy tego telefonu w założeniu nie mogą sami instalować na nim aplikacji – muszą je ściągnąć z AppStore’a kontrolowanego przez Apple.
I tak oto ZeuS obchodzi dwuskładnikowe uwierzytelnienie — mając login, hasło i możliwość odczytania kodu SMS-owego przesłanego na komórkę klienta, Zeus ma też możliwość wyczyszczenia nam konta.
Brak ofiar? …to zależy jak rozumiemy “ofiarę”W wywiadzie dla Gazety, rzecznik ING powiedział, że “żaden z klientów banku nie padł jeszcze ofiarą ZeuSa” — przede wszystkim należy się zastanowić nad pojęciem “ofiary”. Rzecznik uznaje przez to odczuwalną, przez klienta banku, utratę pieniędzy z konta, a nie samą infekcję trojanem. W tym drugim przypadku, ofiary na pewno są, co można zauważyć, chociażby po zamieszczonej przez ING na swoim serwerze instrukcji usunięcia ZeuSa z zainfekowanego komputera.
Polskie banki zaczęły ostrzegać klientówPierwsze ostrzeżenia na stronie ING pojawiły się 10 lutego 2011 r, w mBanku 16 lutego. Przede wszystkim mowa jest jak zwykle o niepodawaniu danych dotyczących PIN-ów, haseł czy innych danych służących do logowania, również modeli i numerów telefonów używanych przez klientów banków oraz zabezpieczeniu swojego komputera i komórki. W przypadku korzystania z systemu Windows warto go uzupełnić o oprogramowanie antywirusowe i antyspyware.
Takie informacje o trwających atakach są ciekawe z dwóch powodów — idealnie obrazują ilu “zwykłych” użytkowników komputera (tj. nierozumiejących podstawowych zasad bezpieczeństwa tego całego Internetu) jest klientami bankowości online i jak niska musi być bariera wejścia w bankowość internetową, skoro nawet ci którzy jej nie rozumieją, potrafią z niej skorzystać. Piotr Konieczny
Piotr Konieczny
Piotr Konieczny od 7 lat pomaga polskim i zagranicznym firmom w zabezpieczaniu sieci oraz webaplikacji. Pracę w branży IT rozpoczął w brytyjskim oddziale Philips Electronics, obecnie pracuje na stanowisku dyrektora ds. bezpieczeństwa w firmie doradczej, wykonującej audyty i testy penetracyjne systemow teleinformatycznych.
Organizator krakowskiego cyklu wykładów LUMD (Linux — U mnie działa!), absolwent Glasgow Caledonian University i właściciel najpopularniejszego w Polsce portalu poświęconego tematyce bezpieczeństwa komputerowego: http://niebezpiecznik.pl w ramach którego prowadzi szkolenia z bezpieczeństwa sieci komputerowych i webaplikacji.
Z pełną treścią artykułu można zapoznać się na www.niebezpiecznik.pl
Źródło: Przegląd Finansowy Bankier.pl
Wojciech Boczoń