Chytry Zeus i jego perfidni bracia

Zeus, Dridex, Dyre, VBKlip, Banatrix, Wroba/HijackRAT to lista najgroźniejszych programów wykorzystywanych przez cyberprzestępców do napadów na banki. I jest też GozNym – wirus doskonały, przed którym nie ma ochrony. Prawie nie ma…

Niedawno pojawiła się alarmująca informacja o wykryciu nowego złośliwego oprogramowania, które miało zaatakować w Polsce kilkanaście banków komercyjnych oraz ponad 200 banków spółdzielczych. Był to ponoć najszerzej zakrojony atak phishingowy w naszym kraju.

Alarm w mediach został podniesiony na wyrost, bo żaden z dużych polskich banków nie potwierdził tego, że takie zdarzenie miało miejsce, a i małe banki spółdzielcze również nie zgłaszały problemów. W świecie bankowym był to dzień jak co dzień.

Okazało się, że była to najprawdopodobniej akcja marketingowa jednego z dużych podmiotów na rynku informatycznym, mająca na celu zwrócenie uwagi na ofertę systemu zabezpieczającego przed tego typu zagrożeniami.

Nie jest dla nikogo tajemnicą, że ograniczenie zagrożeń w sferze IT wymaga stworzenia kompleksowej architektury bezpieczeństwa, której złożoność wynika z wielu czynników, zaczynając od zabezpieczenia fizycznego dostępu do systemów informatycznych, przez określenie procedury dostępu personelu do systemu, nadzoru, a na bezpieczeństwie samych komputerów i przechowywanych danych kończąc. Technologicznie procedury bezpieczeństwa są wspierane przez systemy „audit log”, które pozwalają na pełny zapis, kto i po co logował się do systemu. Pieniądze klientów bank zabezpiecza, stosując różne zaawansowane rozwiązania. Włamanie do systemów informatycznych banku spowodowałoby nie tylko straty finansowe, ale również całkowitą utratę zaufania do banku. Dlatego podobnie jak informacje o stanie konta klienta chroni tajemnica bankowa, tak samo nie zdradza się żadnych szczegółów ochrony systemów informatycznych.

Większość zagrożeń cyberprzestępczością powodują zbyt szybko wdrażane nowinki informatyczne. To zjawisko będzie narastało, ponieważ technologie IT sprzed kilkunastu lat (dziś już uważane za przestarzałe) były rozwiązaniami dobrze sprawdzonymi i oczyszczonymi z błędów. W tej chwili rozwiązania technologiczne oferowane przez producentów czasem już po pół roku są wykorzystywane przez bank. To również jest źródło poważnego ryzyka, związane z cyberprzestępczością. Na przykład tzw. screen scraping, procedura umożliwiająca badanie zdolności kredytowej klienta online, na podstawie historii transakcji wykonanych na jego rachunku w innym banku, został zakazany przez KNF już w 2014 r. System wymagał tylko podania loginu i hasła, a umożliwiał dostanie się do konta bez wiedzy właściciela.

Jak wygrać pojedynek z GozNymem?

Alarm podniesiony z powodu szpiegowskiego oprogramowania GozNym był w Polsce na szczęście nieuzasadniony. Z tego oprogramowania korzystają z powodzeniem organizacje przestępcze za oceanem, gdzie w pierwszym kwartale tego roku (2016) w ręce przestępców dostało się ponad 4 mln dol. GozNym zainstalowany na urządzeniu ofiary podstawia mu fałszywą stronę, nie dopuszczając do połączenia się klienta z autoryzowaną stroną macierzystej instytucji bankowości elektronicznej. Wyświetlana strona wygląda identycznie jak bankowa, ale klient banku, logując się na niej swoimi prawdziwymi danymi, zdradza je przestępcom. Niestety, nawet zweryfikowanie poprawności certyfikatu bezpieczeństwa SSL nie zabezpiecza nas, ponieważ malware przekierowuje połączenia na fałszywą stronę dopiero po zweryfikowaniu certyfikatu przez oficjalną witrynę banku…

W kwestii bezpieczeństwa lepiej dmuchać na zimne, a ponieważ na GozNyma jak na razie nie ma skutecznego zabezpieczenia, to jak podkreślają specjaliści, przed ewentualną kradzieżą pieniędzy może uchronić użytkowników podwójna autoryzacja transakcji. Popularność zdobywa wysyłanie przez bank wiadomości SMS, ale są też tokeny i… kody jednorazowe. Tak. Kody jednorazowe (tzw. zdrapki) są bardzo dobrym zabezpieczeniem. O ile SMS, który w przypadku autoryzacji transakcji w połączeniu internetowym jest kanałem alternatywnym i wymaga od cyberprzestępcy przejęcia (i ewentualnego zmodyfikowania) informacji (hasła) z kanału telekomunikacyjnego, to jest również w zasięgu jego działania – wymaga jedynie dodatkowego wysiłku (i sprzętu). Natomiast przechwycenie przez osoby nieupoważnione karty z kodami (zdrapki), ze względu na sposób jej dostarczenia, jest praktycznie niemożliwe. W tym przypadku jednak wygoda wygrywa z bezpieczeństwem…

Napad na małe firmy

W kwietniu tego roku firma doradcza Deloitte przeanalizowała możliwości dotarcia do konta bankowego klienta pod kątem pojawiających się nowych zagrożeń. Oczywiście, nie ma sposobu na stuprocentowe zabezpieczenie, ale też nie ma powodu do paniki, bo w polskich bankach stosuje się ponad 60 różnych ścieżek autoryzacji transakcji, co już znacznie ogranicza możliwości zmasowanego ataku na użytkowników. Deloitte zwróciła uwagę, że ataków phishingowych nie dokonują już hakerzy-zapaleńcy, a zorganizowane grupy przestępcze, dysponujące odpowiednimi do tego narzędziami.

Powodem wzrostu poziomu zagrożeń jest też coraz większa paleta usług świadczonych drogą elektroniczną, a na pewno możliwości płacenia za usługi z wykorzystaniem nośników mobilnych. W tym przypadku prognoza sprzedaży na światowym rynku 1,6 mld smartfonów mówi wyraźnie, że zagrożenie wzrośnie.

W końcu 2015 r. w Polsce było ponad 14,5 mln aktywnych indywidualnych klientów bankowości internetowej (średnia miesięczna wartość transakcji: 6 tys. zł) i 1,3 mln klientów z sektora MSP (średnia miesięczna wartość transakcji: 85 tys. zł). Już proste zestawienie tych danych mówi, że cyberprzestępcy zwrócą uwagę na sektor MSP. Wzrośnie też zagrożenie dla rachunków użytkowników bankowości mobilnej, których jest już ponad 5 mln. W każdym z tych przypadków klient banku jest potencjalną „ścieżką dostępu” do systemu bankowego. Chociażby z tego powodu banki powinny zwiększyć swoją czujność i odpowiednio filtrować i analizować transakcje. Dlatego też coraz częściej reagują natychmiast na transakcje nietypowe, odbiegające od zwyczajowo wykonywanych, oraz na gwałtowne zmiany lokalizacji klienta.

Wiedzą o tym cyberprzestępcy i dlatego, aby dostać się do banku, wykorzystują… właścicieli kont, wykradając ich tożsamość, hasła, numery PIN itd. Niestety, ten sposób włamywania się do banku jest najłatwiejszy i najbardziej skuteczny, chociażby dlatego, że indywidualni użytkownicy nagminnie bagatelizują nawet podstawowe zasady bezpieczeństwa, a małe i średnie firmy bardzo często nie mają żadnych procedur bezpieczeństwa.

Przed programem GozNym, który niedawno wywołał temat bezpieczeństwa, nie ma zabezpieczenia, bo chociaż na zachodniej półkuli grasuje on już dosyć długo, to i tak nie jest wykrywany przez żaden program antywirusowy. Pozostaje więc jak zwykle ostrożność i zdrowy rozsądek...

Autor: Lech Piesik 

Najpopularniejsze szkodliwe programy wykorzystywane przez cyberprzestępców:

Dridex – szczeo złośliwego oprogramowania wykorzystywany w bankowości. Do infekowania systemów wykorzystuje makra w Miscrosoft Office. Z zainfekowanego komputera Dridex może ukraść poświadczenia bankowych oraz innych danych osobowych w systemie, aby uzyskać dostęp do rekordów finansowych w banku. Na komputer użytkownika trafia jako spam. Makro z dokumentu uruchamia pobieranie szkodliwego oprogramowania.

Dyre Trojan – Trojan stosujący technikę „zahaczenia” przeglądarki, która pozwala operatorom złośliwego oprogramowania na przekierowywanie klientów do fałszywych stron internetowych banków, gdzie są pobierane od nich poświadczenia wykorzystywane następnie do przejęcia konta.

VBKlip – malware, który podmienia numer konta, jeśli zostanie skopiowany i wklejony w odpowiednie pole podczas robienia przelewów online. Odmiana VBKlipu 2.0 – Bantrix – jest bardziej wyrafinowana. Już nie wystarczy przepisać ręcznie numeru konta, malware i tak zamieni ciąg znaków na własny, a w komunikacji z serwerem C&C wykorzystywana jest sieć TOR (ukryta „ciemna” część internetu), co utrudnia namierzenie sprawcy i unieszkodliwienie serwera sterującego.

Zeus – złośliwy program aktywny w sieci od lat. Z prostego „konia trojańskiego” zmieniony w jedno z najbardziej skutecznych narzędzi do okradania internautów. Najnowszy wariant (Eurograbber) jest wyjątkowo skuteczny i niebezpieczny, choćby dlatego, że bez większych problemów poradzi sobie z dwustopniową autoryzacją transakcji internetowych. Potrafi skutecznie wykradać pieniądze z kont, w których jako dodatkowe zabezpieczenie (oprócz hasła głównego) wykorzystuje się hasła jednorazowe (przesyłane jako SMS).