DAJ CYNK

Cyberprzestępców sposób na SMS-owe kody bankowe

29.09.2010

Dodane przez: WitekT

Kategoria: Wydarzenia

Interakcje: 6264

Ważne 0

0

Trojan Zeus, dobrze znany z ataków skierowanych na użytkowników komputerów w celu defraudacji dokonywanych przez nich operacji bankowych, rozprzestrzenia się teraz za pośrednictwem telefonów komórkowych. Nowa wersja trojana została nazwana Zitmo lub Zeus In The Mobile - informuje Fortinet, firma specjalizująca się w zintegrowanych systemach zarządzania zagrożeniami.

Trojan Zeus, dobrze znany z ataków skierowanych na użytkowników komputerów w celu defraudacji dokonywanych przez nich operacji bankowych, rozprzestrzenia się teraz za pośrednictwem telefonów komórkowych. Nowa wersja trojana została nazwana Zitmo lub Zeus In The Mobile - informuje Fortinet, firma specjalizująca się w zintegrowanych systemach zarządzania zagrożeniami.

Powszechną praktyką jest, że niektóre banki wysyłają swoim klientom SMS-y, aby potwierdzić ich tożsamość w trakcie przeprowadzania transakcji internetowych (w uzupełnieniu do loginu, hasła, kodu klienta itp.). Kiedy klient rozpoczyna transakcję internetową (dokonywaną za pośrednictwem strony www banku), kod uwierzytelniający jest automatycznie wysyłany przez SMS-a bezpośrednio na telefon komórkowy klienta. Aby potwierdzić transakcję, klient musi wprowadzić otrzymany kod w formularzu internetowym na stronie WWW. Przenikając do telefonu komórkowego ofiary, Zitmo przechwytuje SMS-y wysyłane z banku, aby następnie potwierdzać transakcje internetowe zainicjowane na komputerze ofiary przez Trojana Zeus, bez wiedzy właściciela rachunku bankowego.

Axelle Apvrille, starszy analityk i specjalista ds. badań zagrożeń mobilnych w laboratoriach FortiGuard opisuje na swoim blogu przebieg ataku. Apvrille wyjaśnia w jaki sposób Zeus:
przechwytuje login i hasło dostępu do systemu bankowości elektronicznej z poziomu komputera ofiary,
zdobywa numer telefonu komórkowego ofiary instalując złośliwy formularz w przeglądarce ofiary,
wysyła SMS-a z linkiem do "certyfikatu" niezbędnego do zainstalowania. Pobrany pakiet zawiera Zimto, czyli mobilną wersję trojana Zeus.

Po zakończeniu instalacji przez ofiarę, cyberprzestępcy, którzy kontrolują działanie trojana Zeus, mają możliwość inicjowania transakcji z poziomu rachunku bankowego ofiary i potwierdzania ich przechwytując SMS-y wysyłane przez bank na jej telefon komórkowy.

Więcej o wirusie Zitmo można przeczytać na blogu blog.fortinet.com.

Źródło tekstu: Fortinet

Komentarze
Zaloguj się
37. ~waldi
0

2010-10-28 18:38:24

Robert, racja, chociazby PC tools, nie jest drogie, aktualizacje ma na poziomie, a np takie polaczenie jak spyware docotr plus antywirus daje spokoj i bezpieczna prace

Odpowiedz

36. ~Robert
0

2010-10-27 19:16:16

Żeby to się udało musimy mieć zainfekowany komp i tel. Przy rozsądnych zabezpieczeniach można takie sytuacje wykluczyć. Chyba że się nie używa żadnego softu do złośliwego oprogramowania. Przecież to aż tyle nie kosztuje, a spokojna głowa jest.

Odpowiedz

35. ~znawca
0

2010-09-30 22:36:52

@33. Tak zgadza się. Dokładnie taką sytuacje opisuje powyższa wiadomość. Tyle, że życzę powodzenia w zdalnym złamaniu mojego Ericssona T65. Akurat w nim trzymam kartę z numerem zapisanym w systemie mBanku. Od smartphonów będzie raczej trzymała się z daleka ;).

Odpowiedz

34. ~ptok
0

2010-09-30 12:30:43

do pusty sms. To klient neostrady nie moze tam miec konta:))))) Bo w neo jest zmienne IP>

Odpowiedz

33. ~
0

2010-09-30 08:09:11

@30: Ale złodziej może równie dobrze wygenerować kod dla "swojej" transakcji z Twojego konta :-)

Odpowiedz

32. ~
0

2010-09-30 08:04:05

@29: A przecież internet mobilny to zwykle dynamiczne ip, czyli co - w ogóle nie mógłbym korzystać z takiego banku??? Z jednej strony zabezpieczenie dobre,z d drugiej zbyt restrykcyjne. A poza tym złodzieje mogliby jakoś może zasymulować moje ip.

Odpowiedz

31. ~znawca
0

2010-09-29 21:03:40

@29. Opisany przez ciebie sposób (z IP) także ma swoje wady. Po pierwsze ogranicza funkcjonalność konta i można korzystać z niego tylko z danej lokalizacji (w sieciach mobilnych jak na razie jest zmienne IP) po drugie jeżeli system użytkownika konta zostanie skompromitowany to żadnym problemem nie będzie instalacja na nim VPN lub anonymous Open Proxy. Do tego istnieją techniki IP Spoofing''u (podszywania się pod czyjś IP).

Odpowiedz

30. ~znawca
0

2010-09-29 20:57:40

@25&27. Przytoczonym przez ciebie fragmencie artykułu faktycznie jest nielogiczny. Witku do poprawy! Dopiero w przedostatnim akapicie opisany został ten proceder odpowiednio: "Po zakończeniu instalacji przez ofiarę, cyberprzestępcy, którzy kontrolują działanie trojana Zeus, mają możliwość inicjowania transakcji z poziomu rachunku bankowego ofiary i potwierdzania ich przechwytując SMS-y wysyłane przez bank na jej telefon komórkowy.". Na taki typ ataku nie jest odporny żaden sposób autoryzacji poprzez kod SMS. Ale ja nie kwestionuje tego. Napisałem jedynie w opinii #24, iż kody SMS''owe w moim banku (mBank) nie muszą być tajne i mieć określony czas ważności. A to z tego powodu, że są generowane dla konkretnego przelewu z uwzględnieniem czasu dotarcia zlecenia do serwera (co do milisekundy), wewnętrznego numeru transakcji oraz kilku mniej znanych szczegółów i nikt sobie ośmiu cyfr hasła nie zgadnie nawet gdyby znał algorytm. Nie jestem pewny czy nie istniej ograniczenie czasowe na potwierdzenie transakcji, ale przynajmniej 24 godziny na to mam, gdyż już to praktykowałem. Nie mogłem doczekać się na SMS z kodem i wybrałem opcję "potwierdź później". A co najlepsze to to, iż nie obawiałem się, że pracownik działu technicznego mojego operatora sieci komórkowej odczyta SMS i potwierdzi moją operację ;). Co do powyższego ataku to życzę powodzenia twórcom przy wgrywaniu trojana Zimto na mojego niezawodnego Ericssona T65. Ale faktycznie z nowszymi smartphonami to już nie jest tak różowo.

Odpowiedz

29. ~pusty sms
0

2010-09-29 19:18:17

Jest na ten caly system metoda, w jednym z banków logowanie do konta moze odbywac sie wylacznie z jednego adresu ip, jesli zalogujemy sie z obcego ip, mozemy wylacznie sprawdzac historie i stan konta a przelewy sa zablokowane, wiec taki system ogranicza ryzyko do mniejszego stopnia

Odpowiedz

28. ~Hose
0

2010-09-29 18:57:37

25 - Po zakończeniu instalacji przez ofiarę, cyberprzestępcy, którzy kontrolują działanie trojana Zeus, mają możliwość inicjowania transakcji z poziomu rachunku bankowego ofiary i potwierdzania ich przechwytując SMS-y wysyłane przez bank na jej telefon komórkowy. Tu jest to chyba jasniejsze?

Odpowiedz

27. ~
0

2010-09-29 18:54:49

mialo byc do hose 22, ntomist do znawcy 24: no chyba sobie zarty troisz, a moze masz tkie same podejscie jak hose, bo po pierwsze czemu zakladasz, ze jest to ogolny kod do czegokolwiek? Widac, ze konta w banku nie masz, po drugie podaj TWOJ bank, zeby nikt sie nie nabrl n tego typu badziewi, skoro piszesz, ze mozesz sobie transakcje POTEM zatwierdzic w dowolnym czasie? Jestes klientem wlasnie do takich trojanow... chyba ze nie zrozumialem o co ci chodzi, a konkretnie malo precyzyjnie to opisales. Bo wyglada, ze to potwierdzeni sms jest malo wazne w twoim banku....!!!!

Odpowiedz

26. ~a_lex
0

2010-09-29 18:52:02

A na jakich telefonach ten wirus się uruchamia?

Odpowiedz

25. ~
0

2010-09-29 18:47:47

do hose 21 - ja czytam ze zrozumieniem, gorzej chyba z toba do hose 21 "Zitmo przechwytuje SMS-y wysyłane z banku, aby następnie potwierdzać transakcje internetowe zainicjowane na komputerze ofiary przez Trojana Zeus, bez wiedzy właściciela" Moze inczej rozumiesz jezyk polski, ale ja uczlem sie go casach, gdy rzeba bylo sie wykazac takze rozumienie i logika... :))

Odpowiedz

24. ~znawca
0

2010-09-29 18:28:40

@21. Podaj jaki to bank, żeby ludzie nie zakładali tam kont z obsługą przez Internet ;). Najprawdopodobniej hasła SMS''owe nie są tam generowane dla konkretnej transakcji, tylko działają jak na karcie zdrapce. Takim hasłem możesz potwierdzić każdą transakcję. Do mnie dociera hasło na telefon, ale jak przypadkiem będzie problem z siecią lub telefonem mogę wybrać potwierdzenie transakcji w późniejszym terminie. Jak chcesz to mogę tobie przesłać taki kod (login i hasło także), gdy nie będzie mi się chciało samemu go wprowadzać ;). Nic więcej nim nie potwierdzisz oprócz tej operacji (przelew, zmiana zlecenia stałego lub adresatów przelewów zdefiniowanych itp) do której został wygenerowany.

Odpowiedz

23. ~a_lex
0

2010-09-29 18:28:38

Ale esa dostałem przed chwilą: "Teraz w PLUS GGSM w MIX PLUSIE i SIMPLUSIE NAJNOWSZA PROMOCJA. Ładujemy konto po 2. Wyślij poprawny TELEKOD z karty doładowywującej za 30zł 50zł 100zł i 150zł. Na BEZPŁATNY numer: 883263328. Poczekaj chwilę a my podwoimy twoje doładowanie. Wiecejna www.plusgsm.pl" Bomba, nie? Przyszło to złodziejstwo z nr 697303773.

Odpowiedz