25.02.2011

Zeus obnaża wady bankowości mobilnej

fot. Wikimedia
Ale się nawyrabiało. W prasie, w internecie i telewizji trąbią o zagrożeniu Zeusem, który wykrada nam pieniądze z konta w banku. Oczywiście media, jak to media, tak informują, że nie wiadomo o co chodzi. Dla mediów każde zagrożenie elektronicznie to "wirus". Czy to koń trojański, czy to keyloger, wsjo rawno - wirus! Przeczytałem kilka depesz o Zeusie w serwisach internetowych i nie mogłem zrozumieć mechanizmu działania Zeusa. Dopiero na blogu Niebezpiecznik poznałem więcej faktów. Więcej, co nie znaczy, że wszystko mi się wyjaśniło. Bo sprawa jest skomplikowana. Tak skomplikowana, że szyte grubymi nićmi zagrożenie nie wygląda na realne.

Analizując wpis na Niebezpieczniku można dowiedzieć się, że:
  • Atak Zeusa następuje przez drive-by dowonload, czyli przez najbardziej popularną metodę infekcji. Użytkownik musi pobrać programik rozsyłany przez crackera. Tu mi się nasuwa pytanie - czy chodzi o soft atakujący przeglądarkę komputera? Chyba tak, ale jak pobrać infekcję, skąd, z jakiej witryny, jakich stron www unikać? Tego wciąż nie wiem.
  • Zeus wykorzystuje phishing, czyli podstawia klientom banku sfałszowaną stronę logowania na konto. Dowiedziałem się, że do oryginalnej strony instaluje dodatek - komunikat z prośbą o podanie modelu naszej komórki i numeru telefonu. Rozumiem, że wpierw trzeba spełnić warunek nr 1 - pobrać syfa, by wyświetliła się nam sfałszowana strona WWW. Tak?
  • Ok. Czyli przy pomocy sfałszowanej strony www banku (przez dodatek w przeglądarce) Zeus poznaje nasz logi i hasło. Nie mylę się? Jeśli ktoś jest lepiej rozeznany w temacie niech sprostuje. Potem Zeus musi uzyskać dostęp do kodów jednorazowych klienta banku aby przelać forsę na konto przestępcy. W przypadku ING kody są dostarczane SMS-em. Więc wykorzystywany jest atak na telefon - klient banku dostaje fake-SMS-em aplikację odczytującą treść wiadomości przychodzących na telefon (atak typu man in the mobile). Ciekawe czy cracker ma Zeusa dla większości modelów telefonów (systemów operacyjnych).
Tak ja zrozumiałem informacje o ataku. Nasuwa się pytanie  - ilu klientów bankowości internetowej dało się oszukać? Tego nie wiemy, bank takich informacji nie poda. Ale wszystko jest tak skomplikowane, że nie przypuszczam, aby zagrożenie było na chwilę obecną duże. Nie tak duże, jak podają media. Zeus nie atakuje każdego klienta, nie pyta się każdego o numer telefonu i jego markę. Atakuje tylko tych, do których dotrze przez zhackowaną przeglądarkę www. Wątpię, aby Zeus był w stanie dobrać się do każdego Firefoksa, IE i Chrome'a. I by przestępcy potrafili dotrzeć do każdego klienta ING czy mbanku, korzystającego z bankowości mobilnej. Aby kradzież się udała musi być spełnionych bardzo wiele warunków. Chyba, że złodzieje znają listę klientów banków i ich adresy mailowe.

Co ciekawe nie tylko ING i mbank ostrzegają klientów przed atakiem Zeusa. Robi to m.in. Pekao SA. Oto screen z komunikatu, jaki pojawia się teraz po zalogowaniu na konto.

Autor bloga Niebezpiecznik dochodzi do konkluzji, że zabezpieczenia banków zdają egzamin, lecz nawet najlepsze zabezpieczenia nie spełnią swojej roli jeśli użytkownik jest idiotą :) Tak. Ale zakładając, że część użytkowników bankowości elektronicznej to idioci, to metoda włamania nie będzie miała znaczenia. Czy to klasyczny phishing (z użyciem fake strony www banku, czy fake maila w którym oszust wyłudzi jednorazowe kody przelewów a login i hasło do systemu bankowego wykradnie przez keylogera), czy to atak typu Zeus (z wykradzeniem kodów sms'owych przez włam na komórkę) idiota się nabierze.

Niemniej Zeus jest nowatorski bo włamuje się na komórki. I obnaża słabość systemów bankowości mobilnej. Osobiście odradzam korzystanie z obsługi konta bankowego przez telefony komórkowe i smartfony - nie tylko w zakresie otrzymywania elektronicznych kodów jednorazowych (niektórzy logują się na konto by sprawdzić saldo czy wykonać przelew). Przestępcy wymyślają coraz bardziej wyrafinowane metody ataku. Pisałem o nich w poście Smartfony na celowniku cyberprzestępców.

O ile ze wpisu na Niebezpieczniku dowiemy  się, że nie ma Zeusa na iPhona, to z mojego starego posta dowiecie się, że pewien przestępca włamywał się już na konta ING Banku przez... tak, tak., właśnie przez iPhona! Dowiecie się też, że wasze komórki można zabezpieczyć przed atakiem typu man in the mobile. Kosztuje to 120 zł.

Ostatnia refleksja: Firmy teleinformatyczne oferują teraz tzw. mobilne płatności. Wmawiają nam, że warto uczynić z telefonu elektroniczną portmonetkę. Ale pomyślcie, skoro przestępcy włamują się nam na komórki, by zdobyć dostęp do konta bankowego, to czy warto integrować nasze mobilne urządzenia z pieniędzmi w jakiekolwiek formie? Klasyczna gotówka oraz karty debetowe i kredytowe nie są zagrożone przez crackerów.

Bankowość elektroniczną warto ograniczyć do komputera z internetem. Bo nawet przy zwykłym telefonowaniu do banku by sprawdzić stan konta nie mamy pewności czy nie siedzi w niej man in the mobile aby odczytać sekwencję klawiszy gdy wpisujemy hasło do systemu.
-
-