Telekomunikacja jak na dłoni
Wiadomości Cyberprzestępców sposób na SMS-owe kody bankowe

Cyberprzestępców sposób na SMS-owe kody bankowe

WitekT 29 Września 2010 14:07

0 0

Trojan Zeus, dobrze znany z ataków skierowanych na użytkowników komputerów w celu defraudacji dokonywanych przez nich operacji bankowych, rozprzestrzenia się teraz za pośrednictwem telefonów komórkowych. Nowa wersja trojana została nazwana Zitmo lub Zeus In The Mobile - informuje Fortinet, firma specjalizująca się w zintegrowanych systemach zarządzania zagrożeniami.

Powszechną praktyką jest, że niektóre banki wysyłają swoim klientom SMS-y, aby potwierdzić ich tożsamość w trakcie przeprowadzania transakcji internetowych (w uzupełnieniu do loginu, hasła, kodu klienta itp.). Kiedy klient rozpoczyna transakcję internetową (dokonywaną za pośrednictwem strony www banku), kod uwierzytelniający jest automatycznie wysyłany przez SMS-a bezpośrednio na telefon komórkowy klienta. Aby potwierdzić transakcję, klient musi wprowadzić otrzymany kod w formularzu internetowym na stronie WWW. Przenikając do telefonu komórkowego ofiary, Zitmo przechwytuje SMS-y wysyłane z banku, aby następnie potwierdzać transakcje internetowe zainicjowane na komputerze ofiary przez Trojana Zeus, bez wiedzy właściciela rachunku bankowego.

Axelle Apvrille, starszy analityk i specjalista ds. badań zagrożeń mobilnych w laboratoriach FortiGuard opisuje na swoim blogu przebieg ataku. Apvrille wyjaśnia w jaki sposób Zeus:
przechwytuje login i hasło dostępu do systemu bankowości elektronicznej z poziomu komputera ofiary,
zdobywa numer telefonu komórkowego ofiary instalując złośliwy formularz w przeglądarce ofiary,
wysyła SMS-a z linkiem do "certyfikatu" niezbędnego do zainstalowania. Pobrany pakiet zawiera Zimto, czyli mobilną wersję trojana Zeus.




Po zakończeniu instalacji przez ofiarę, cyberprzestępcy, którzy kontrolują działanie trojana Zeus, mają możliwość inicjowania transakcji z poziomu rachunku bankowego ofiary i potwierdzania ich przechwytując SMS-y wysyłane przez bank na jej telefon komórkowy.

Więcej o wirusie Zitmo można przeczytać na blogu blog.fortinet.com.

Źródło tekstu: Fortinet     

Dodaj do:
w sumie: 37
  • 0

    18. ~znawca  2010-09-29 17:22:09  host: chaos.tpnet.pl

    @7. Grey. W tamtej wiadomości kogoś poniosła fantazja. To, że przy pomocy Nokii 1100 możliwe jest podszywanie się pod czyjś numer nie oznacza, że rozmowy i SMSy przychodzące będą na taki telefon kierowane. Na szczęście tak nie jest, gdyż zabezpieczania sieci GSM nie zostały do tego stopnia złamane. @11. Skopiowanie karty SIM z kodowaniem COMP-128V2 według mojej wiedzy nie jest aktualnie możliwe, a przynajmniej nie jest opłacalne. Co do newsa to faktycznie jest to pewne zagrożenie, ale nie będzie to rozwiązanie uniwersalne. Zawsze będzie to uzależnione od konkretnego modelu lub wersji oprogramowania telefonu. Poza tym przekazywanie SMS od banku dalej dość szybko wyjdzie na jaw. Wystarczy, że ktoś będzie chciał dokonać transakcji a tu nie otrzyma informacji z SMS'a a telefon będzie przesyłał go dalej lub próbował się łączyć z Internetem. Już nie mówiąc o tym, że trzeba potwierdzić instalacje trojana :).

  • 0

    19. ~  2010-09-29 17:24:44  host: t06-10.opera-mini.net

    do 17 oczywiscie e mus to robic szybko, ja kod straci waznosc, to mozesz sobi nim podetrzec wirtualny tylek... Cala ta teoria o przechwytywaniu sms kupy sie nie trzyma, chyba ze mowimy o prostej kradziezy loginu i hasla a nastepnie o dostepie do konta. a jak juz sie ma dostep to jednorazowo okrada sie konto a nie czatuje na przekierowane sms

  • 0

    20. ~znawca  2010-09-29 17:36:56  host: chaos.tpnet.pl

    @19. W internetowych serwisach bankowych o podwyższonym bezpieczeństwie nie wykonasz przelewu na dowolne konto bez dodatkowego potwierdzenia. W tym celu używane są tokeny (generują hasło z klucza w nich zapisanego co przykładowo minutę), kody jednorazowe (karty zdrapki) oraz kody SMS, które zazwyczaj generowane są dla konkretnej transakcji i tylko ją mogą potwierdzić. Nikt się nie musi zanadto śpieszyć, gdy ma możliwość odebrania takiego SMS'a. Oczywiście potrzebuje także login i hasło do serwisu transakcyjnego, ale to akurat najłatwiej otrzymać.

  • 0

    21. ~  2010-09-29 17:53:44  host: t06-10.opera-mini.net

    do 20 wyobraz sobie ze w jedym banku to j na moim koncie musze sie spiszyc i to jak - haslo jest wazne tylko 2 minuty, nie wem czy od wyslania przez bank czy od otrzymani przze mnie, ale przy zawirowanich w internecie, to 2 minuty to malo. Nie wiem jak jest w innych, bo nic na ten temat nie pisza, ale z pewnoscia nie sa takimi idotami, by hasla poptwierdzajace wysylc bez jaiegokolwiek terminu waznosci. To samo jest z tokenami. Tak wiec owszem kod jest nie tylko przypisany do tranzakcji, ale ograniczony czaspowo. A z artykulu wynika, ze kody sa przechwytywane a potem dwolnie wykorzystywane. I to jest bzdura, przynajmniej w Polsce, moze w UK smsowe kody sa wazne przez caly czas, do jaiejkolwi transakcji, itd. Nie bylby to pierwszy raz, gdyby zachod byl nieco do tylu. Przykladem jest tosowanie czekow.

  • 0

    22.  2010-09-29 18:05:40

    21 - czytaj i rozum to co czytasz. Po pierwsze złodzieje mają twój logi i hasło do konta. Po drugie dzięki trojanowi na twojej komórce przekazuje im sms z hasłem jednorazowym natychmiast po żądaniu przelewu (ty wtedy możesz smacznie spać lub pisać komentarze na telepolis, to się dzieje bez twojej wiedzy) Już rozumiesz?

  • 0

    23. ~a_lex  2010-09-29 18:28:38  host: v02-15.opera-mini.net

    Ale esa dostałem przed chwilą: "Teraz w PLUS GGSM w MIX PLUSIE i SIMPLUSIE NAJNOWSZA PROMOCJA. Ładujemy konto po 2. Wyślij poprawny TELEKOD z karty doładowywującej za 30zł 50zł 100zł i 150zł. Na BEZPŁATNY numer: 883263328. Poczekaj chwilę a my podwoimy twoje doładowanie. Wiecejna www.plusgsm.pl" Bomba, nie? Przyszło to złodziejstwo z nr 697303773.

  • 0

    24. ~znawca  2010-09-29 18:28:40  host: chaos.tpnet.pl

    @21. Podaj jaki to bank, żeby ludzie nie zakładali tam kont z obsługą przez Internet ;). Najprawdopodobniej hasła SMS'owe nie są tam generowane dla konkretnej transakcji, tylko działają jak na karcie zdrapce. Takim hasłem możesz potwierdzić każdą transakcję. Do mnie dociera hasło na telefon, ale jak przypadkiem będzie problem z siecią lub telefonem mogę wybrać potwierdzenie transakcji w późniejszym terminie. Jak chcesz to mogę tobie przesłać taki kod (login i hasło także), gdy nie będzie mi się chciało samemu go wprowadzać ;). Nic więcej nim nie potwierdzisz oprócz tej operacji (przelew, zmiana zlecenia stałego lub adresatów przelewów zdefiniowanych itp) do której został wygenerowany.

  • 0

    25. ~  2010-09-29 18:47:47  host: t06-10.opera-mini.net

    do hose 21 - ja czytam ze zrozumieniem, gorzej chyba z toba do hose 21 "Zitmo przechwytuje SMS-y wysyłane z banku, aby następnie potwierdzać transakcje internetowe zainicjowane na komputerze ofiary przez Trojana Zeus, bez wiedzy właściciela" Moze inczej rozumiesz jezyk polski, ale ja uczlem sie go casach, gdy rzeba bylo sie wykazac takze rozumienie i logika... :))

  • 0

    26. ~a_lex  2010-09-29 18:52:02  host: v03-15.opera-mini.net

    A na jakich telefonach ten wirus się uruchamia?

  • 0

    27. ~  2010-09-29 18:54:49  host: t06-10.opera-mini.net

    mialo byc do hose 22, ntomist do znawcy 24: no chyba sobie zarty troisz, a moze masz tkie same podejscie jak hose, bo po pierwsze czemu zakladasz, ze jest to ogolny kod do czegokolwiek? Widac, ze konta w banku nie masz, po drugie podaj TWOJ bank, zeby nikt sie nie nabrl n tego typu badziewi, skoro piszesz, ze mozesz sobie transakcje POTEM zatwierdzic w dowolnym czasie? Jestes klientem wlasnie do takich trojanow... chyba ze nie zrozumialem o co ci chodzi, a konkretnie malo precyzyjnie to opisales. Bo wyglada, ze to potwierdzeni sms jest malo wazne w twoim banku....!!!!

  • 0

    28. ~Hose  2010-09-29 18:57:37  host: t11-11.opera-mini.net

    25 - Po zakończeniu instalacji przez ofiarę, cyberprzestępcy, którzy kontrolują działanie trojana Zeus, mają możliwość inicjowania transakcji z poziomu rachunku bankowego ofiary i potwierdzania ich przechwytując SMS-y wysyłane przez bank na jej telefon komórkowy. Tu jest to chyba jasniejsze?

  • 0

    29. ~pusty sms  2010-09-29 19:18:17  host: 212.160.172.70

    Jest na ten caly system metoda, w jednym z banków logowanie do konta moze odbywac sie wylacznie z jednego adresu ip, jesli zalogujemy sie z obcego ip, mozemy wylacznie sprawdzac historie i stan konta a przelewy sa zablokowane, wiec taki system ogranicza ryzyko do mniejszego stopnia

  • 0

    30. ~znawca  2010-09-29 20:57:40  host: chaos.tpnet.pl

    @25&27. Przytoczonym przez ciebie fragmencie artykułu faktycznie jest nielogiczny. Witku do poprawy! Dopiero w przedostatnim akapicie opisany został ten proceder odpowiednio: "Po zakończeniu instalacji przez ofiarę, cyberprzestępcy, którzy kontrolują działanie trojana Zeus, mają możliwość inicjowania transakcji z poziomu rachunku bankowego ofiary i potwierdzania ich przechwytując SMS-y wysyłane przez bank na jej telefon komórkowy.". Na taki typ ataku nie jest odporny żaden sposób autoryzacji poprzez kod SMS. Ale ja nie kwestionuje tego. Napisałem jedynie w opinii #24, iż kody SMS'owe w moim banku (mBank) nie muszą być tajne i mieć określony czas ważności. A to z tego powodu, że są generowane dla konkretnego przelewu z uwzględnieniem czasu dotarcia zlecenia do serwera (co do milisekundy), wewnętrznego numeru transakcji oraz kilku mniej znanych szczegółów i nikt sobie ośmiu cyfr hasła nie zgadnie nawet gdyby znał algorytm. Nie jestem pewny czy nie istniej ograniczenie czasowe na potwierdzenie transakcji, ale przynajmniej 24 godziny na to mam, gdyż już to praktykowałem. Nie mogłem doczekać się na SMS z kodem i wybrałem opcję "potwierdź później". A co najlepsze to to, iż nie obawiałem się, że pracownik działu technicznego mojego operatora sieci komórkowej odczyta SMS i potwierdzi moją operację ;). Co do powyższego ataku to życzę powodzenia twórcom przy wgrywaniu trojana Zimto na mojego niezawodnego Ericssona T65. Ale faktycznie z nowszymi smartphonami to już nie jest tak różowo.

  • 0

    31. ~znawca  2010-09-29 21:03:40  host: 213.25.50.41.net.kth.pl

    @29. Opisany przez ciebie sposób (z IP) także ma swoje wady. Po pierwsze ogranicza funkcjonalność konta i można korzystać z niego tylko z danej lokalizacji (w sieciach mobilnych jak na razie jest zmienne IP) po drugie jeżeli system użytkownika konta zostanie skompromitowany to żadnym problemem nie będzie instalacja na nim VPN lub anonymous Open Proxy. Do tego istnieją techniki IP Spoofing'u (podszywania się pod czyjś IP).

  • 0

    32. ~  2010-09-30 08:04:05  host: t13-06.opera-mini.net

    @29: A przecież internet mobilny to zwykle dynamiczne ip, czyli co - w ogóle nie mógłbym korzystać z takiego banku??? Z jednej strony zabezpieczenie dobre,z d drugiej zbyt restrykcyjne. A poza tym złodzieje mogliby jakoś może zasymulować moje ip.

  • 0

    33. ~  2010-09-30 08:09:11  host: t13-06.opera-mini.net

    @30: Ale złodziej może równie dobrze wygenerować kod dla "swojej" transakcji z Twojego konta :-)

  • 0

    34. ~ptok  2010-09-30 12:30:43  host: chello084010162150.chello.pl

    do pusty sms. To klient neostrady nie moze tam miec konta:))))) Bo w neo jest zmienne IP>

  • 0

    35. ~znawca  2010-09-30 22:36:52  host: chaos.tpnet.pl

    @33. Tak zgadza się. Dokładnie taką sytuacje opisuje powyższa wiadomość. Tyle, że życzę powodzenia w zdalnym złamaniu mojego Ericssona T65. Akurat w nim trzymam kartę z numerem zapisanym w systemie mBanku. Od smartphonów będzie raczej trzymała się z daleka ;).

  • 0

    36. ~Robert  2010-10-27 19:16:16  host: 195.116.120.141

    Żeby to się udało musimy mieć zainfekowany komp i tel. Przy rozsądnych zabezpieczeniach można takie sytuacje wykluczyć. Chyba że się nie używa żadnego softu do złośliwego oprogramowania. Przecież to aż tyle nie kosztuje, a spokojna głowa jest.

  • 0

    37. ~waldi  2010-10-28 18:38:24  host: user.vivaldiego.wroclaw.pl

    Robert, racja, chociazby PC tools, nie jest drogie, aktualizacje ma na poziomie, a np takie polaczenie jak spyware docotr plus antywirus daje spokoj i bezpieczna prace

Dodaj swoją opinię

Do prawidłowego działania formularza wymagana jest akceptacja plików cookie.

host: ec2-54-80-226-185.compute-1.amazonaws.com


Serwis TELEPOLIS.PL zastrzega sobie prawo redakcji, skrótów, bądź usunięcia opinii zawierającej treści zabronione przez prawo, wulgarne, obraźliwie lub w inny sposób rażąco naruszające zasady współżycia społecznego. Komentarze są opiniami czytelników, za które ponoszą oni wyłączną odpowiedzialność. Nie są oficjalnymi opiniami serwisu TELEPOLIS.PL i jego redakcji. Jednocześnie przypominamy, że osoba zamieszczająca opinię może ponieść za jej treść odpowiedzialność karną i/lub cywilną.
Usuwane będą także komentarze zawierające oferty handlowe, numery telefonów, adresy e-mail czy komunikatorów oraz komentarze mocno odbiegające od treści wiadomości.