Komputerowe wirusy przygotowane z myślą o okradaniu bankowych kont stają się coraz bardziej wyrafinowane. Firma Check Point opublikowała właśnie szczegółowy opis wieloetapowego ataku, nazwanego „Eurograbber”, korzystającego z konia trojańskiego na komputerze i telefonie ofiary. Oprogramowanie wykorzystane przez przestępców pozwalało rabować klientów banków w zupełnie niewidoczny sposób.
Wirus zaczął się rozprzestrzeniać w lecie tego roku. Jego ofiarą padło niemal 30 tysięcy osób w Hiszpanii, Włoszech, Niemczech i Holandii. Celem ataku były kraje strefy euro, ale niewykluczone, że przestępcy wkrótce skierują swoją uwagę także na inne regiony. W ciągu kilku miesięcy przestępcom pochodzącym prawdopodobnie z Ukrainy udało się przelać z rachunków ofiar na konta nieświadomych pośredników – „słupów” około 36 mln euro. Najwyższe straty odnotowano we Włoszech, gdzie problem dotknął klientów 16 banków, a skradziono w sumie ponad 16 mln euro.
Anatomia ataku
Pierwszym etapem ataku jest zainstalowanie na komputerze ofiary zmodyfikowanej wersji konia trojańskiego Zeus. Koń trojański to program, który w sposób niewidoczny dla użytkownika maszyny komunikuje się ze swoim twórcą i może dokonywać różnych operacji (np. śledzić znaki wpisywane na klawiaturze lub wysyłać pliki). Ofiary zarażały się prawdopodobnie poprzez kliknięcie linku przesłanego w wiadomości e-mail lub wchodząc na strony internetowe instalujące złośliwe oprogramowanie.
Eurograbber pozostawał uśpiony na komputerze ofiary do momentu, gdy klient zalogował się do serwisu bankowości internetowej. W odpowiedniej chwili do kodu strony banku wstawiał on fragment, który wyświetlał komunikat informujący o dodatkowych zabezpieczeniach wprowadzanych przez instytucję. Klient był proszony o wybranie z listy typu posiadanego telefonu oraz numeru telefonu komórkowego.
Dane wpisane przez ofiarę trafiały do serwera kontrolowanego przez przestępców, który zawierał bazę danych zgromadzonych informacji. Użytkownik otrzymywał następnie wiadomość SMS z linkiem do „bankowej” aplikacji. Atak nakierowano na posiadaczy smartfonów Blackberry oraz urządzeń z systemem Android. Po zainstalowaniu oprogramowania na telefonie klient musiał wpisać w systemie bankowości internetowej kod weryfikacyjny wyświetlany przez mobilną aplikację. Ten krok przypominał procedury stosowane przez banki, chociaż faktycznie część bankowego serwisu, w której następowała weryfikacja była kontrolowana przez konia trojańskiego.
Ciche przelewy
Po zainfekowaniu zarówno komputera, jak i telefonu ofiary Eurograbber pozostawał w uśpieniu do momentu, gdy użytkownik ponownie zalogował się do swojego banku. Gdy klient wchodził do serwisu transakcyjnego, koń trojański w sposób zupełnie niewidoczny dla użytkownika zlecał przelew określonej części salda rachunku na konto „słupa” pośredniczącego w praniu skradzionych pieniędzy.
Wiadomość SMS służąca do potwierdzenia transakcji wysyłana przez bank była przechwytywana przez oprogramowanie na telefonie. SMS nie był wyświetlany, lecz od razu przesyłany na inny telefon, a stamtąd przekazywany do bazy danych przestępców. Serwer zawiadujący atakiem przesyłał jednorazowy kod do konia trojańskiego na komputerze ofiary, tak aby transakcja mogła zostać zatwierdzona.
Cały proceder nie byłby możliwy, gdyby nie sieć pośredników odbierających przelewy z okradanych kont. Osoby biorące udział w praniu pieniędzy są rekrutowane przez wiadomości e-mail, w których proponuje się dobrze płatną zdalną pracę przez internet. Zajęcie ma polegać na pośredniczeniu w rozliczeniach, a „słup” jest wynagradzany za „księgowanie” wpłat i wysyłanie ich na wskazane rachunki. Często procedura rekrutacji rzeczywiście przypomina staranie o pracę, a kandydaci otrzymują nawet formularze osobowe i umowy do podpisania.
Jak się chronić przez kradzieżą?
Kluczowym elementem w ataku Eurograbbera jest przejęcie kontroli nad telefonem ofiary. Pozwala to ominąć drugi poziom zabezpieczeń stosowany przez banki. Nie bez przyczyny za swój cel przestępcy obrali użytkowników smartfonów z systemem Android i Blackberry. Umożliwiają one wgrywanie aplikacji poza oficjalnym „sklepem” – poprzez pobranie pliku z internetu. Dlatego należy zachować szczególną ostrożność, w sytuacji, gdy jesteśmy skłaniani do zainstalowania oprogramowania na smartfonie, a najlepiej w ogóle nie korzystać z aplikacji dystrybuowanych poza Google Play.
Istotne pozostaje także zachowanie podstawowych zasad bezpieczeństwa w korzystaniu z komputera:
- unikanie klikania w linki w przesyłanych wiadomościach e-mail,
- instalowanie i bieżące aktualizowanie programów antywirusowych,
- podejrzliwe traktowanie wszelkich nietypowych żądań, w szczególności związanych z koniecznością podawania wrażliwych danych lub instalowaniem oprogramowania, nawet jeśli nadawcą informacji wydaje się być bank, a komunikat pojawia się w serwisie bankowości internetowej.
Michał Kisiel
