Internet Bankingul – noi redute au cazut

Ultimele stiri din lumea riscurilor de securitate IT ne poate alarma. Ce era de astepta, ca si cele mai noi redute importiva atacurilor informatice sa fie doborate, s-a intamplat.

Conform http://news.cnet.com o noua forma a troianul Zeus a cauzat pierderi semnificative mai multor banci engleze, cu toate ca acestea utilizau sisteme de autentificare cu doi factori, cu tokenuri specializate si asigurau clientilor solutii ati-malware gratuite, reusind sa sustraga peste 1 milion de lire sterline din conturile unei banci engleze.

Cum s-a lucrat? La logarea la conturile proprii, banii erau transferati in conturi de scamming in alte tari. Aproape 3000 de conturi bancare au fost compromise la o singura banca conform unui White Paper emis de compania M86 Security.

Schema multinivel utiliza o combinatie a unei noi forme a keylogger-ului Zeus (care inregistreaza ce se scrie la tastatura) si un troian care fura parole, atacand calculatoarele bazate pe Windows si majoritatea browserelor, utilizand mici programe care evitau sistemele anti-frauda utilizate de site-urile bancilor.

Site-urile bancilor care utilizau sisteme de autentificare cu doi factori, cu un token pentru identificare si un cod utilizabil o singura data, considerate pana in prezent cele mai sigure sisteme, au devenit ineficiente deoarece programul malware a preluat controlul browserului dupa ce victima s-a logat pe site-ul bancii.

Aceasta ultima forma a virusului Zeus este dedicata Internet Bankingului si a adus programele malware la un nou nivel de sofisticare. Troienii utilizeaza comunicatii criptate intre computerele infectate si serverele de comanda si control si realizeaza tranzactii on-line ilegale.

Raportul mentionat precizeaza modul de lucru, calculatorul utilizatorului este compromis fie prin vizitarea unui site web legitim care in secret gazduieste programul pirat malware, sau prin intrarea pe un site proiectat special pentru a gazdui malware-ul. Primul atac vine printr-o publicitate inselatoare, incluzand publicitatea Yahoo’s Yieldmanager.com.

Malware-ul redirecteaza utilizatorul catre un soft de preluare, de felul Eleonore Exploit Toolkit sau Phoenix Exploit Toolkit, care poate exploata o vulnerabilitate de pe calculatorul utilizatorului si implanteaza troianul pe calculator. Eleonore Exploit Toolkit exploateaza vulnerabilitatile din Adobe Reader, Java, Internet Explorer, alte programe.

Una din sase vulnerabilitati au fost folosite in mod real pentru infectare, programul testand sistemul atacat pana ii gaseste vulnerabilitatea. Troianul contacta un server de comanda si control din Europa de Est pentru a obtine instructiuni care sa rezide pe calculatorul victima pana cand apare oportunitatea de a ataca.

Cand userul accesa site-ul web al bancii, troianul transfera userul de logare, date personale si un numar de securitate catre serverul de comanda si control. Cand utilizatorul accesa sectiunea tranzactionala a aplicatiei de Internet Banking a bancii, troianul primea un nou cod JavaScript de la serverul exterior care sa inlocuiasca JavaScriptul original al bancii utilizat in formularul de transfer. Troianul lucra in spate pentru a manipula tranzactia; verifica soldul contului, pentru a determina cat de mult poate fura pentru a nu se detecta incercarea de frauda. Banii erau transferati intai in conturi galeata deschise de oameni care castiga prin gazduirea temporara a unor fonduri in conturile lor. De acolo banii erau transferati in alte zari.

Mai sunt solutii de protectie? Da, numai ca abordarile sunt diferite. Furnizori specializati asigura o protectie preventiva, criptand informatia transferata intre utilizator si banca, lasand toti troienii neutralizati, chiar si pe cei mai avansati. Ce este important de stiut e ca aceste solutii nu implica activ utilizatorul, nu este nevoie de nici o instalare locala si actualizarile sunt realizate doar la nivel de server. Controlul este returnat catre banca si nu la indemana clientului utilizator final.