Трояны, смартфоны и ДБО

Причины побудившие заняться эпистолярным жанром в области ИБ:

Пользователи систем онлайн-банкинга в Польше стали мишенью одной из разновидностей трояна Zeus целью которого, является воровство СМС используемых в системах ДБО (дистанционного банковского обслуживания) для двухфакторной аутентификации.

Для того чтобы  противостоять увеличивающемуся количеству мошенничеств с системами ДБО посредством фишинга или таким известным троянам как Zeus и SpyEye, банки  используют двухфакторную аутентификацию. Данная технология обычно использует, как традиционные пароли так и дополнительно сгенерированные коды, которые генерируются на лету при помощи токенов имеющихся у пользователей или присылаемые банком посредством СМС. Данные  СМС имеют аббревиатуру MTAN (mobile transaction authentication numbers) и используются в ряде стран, включая Польшу. Тем не менее, как это обычно бывает, злоумышленники разработали методы по обходу данной защиты.

В прошлом году испанская компания «S21sec», специализирующаяся в области информационной безопасности  выявила разновидность трояна Zeus специально разработанную для кражи MTAN при помощи атаки человек посередине (man-in-the-middle).

Атака начинается  на зараженном трояном Zeus ПК,  где в страницу для ввода логина и пароля ДБО внедряется контент запрашивающий у пользователя его номер телефона, как утверждается для  обновления сертификата безопасности.

После предоставления информации, она пересылается посредством СМС  в приложение разработанное специально для того типа устройств которое просит установить.

Мобильная компонента, которая контролирует СМС сообщения и ворует MTAN присылаемый банком. Фактически эта компонента предотвращает получение пользователем новых сообщений, таким образом злоумышленники могут осуществить платеж подтвердив его украденным MTAN не вызывая подозрения.

Источник 1: http://news.softpedia.com/news/ING-Bank-Polish-Customers-Targeted-by-ZeuS-185523.shtml

Источник 2:  http://news.softpedia.com/news/New-ZeuS-Component-Targets-Mobile-Phones-158141.shtml

Мысли навеянные прочитанным:

Вот такая статья (см. предыдущий пункт) на днях попалась на глаза в Интернете. Вроде бы статья ни о чем, как говорится мало ли нас пугают «ботами» и прочей нечистью типа Confiker, Stuxnet и т.д.

Но давайте попробуем разобраться, а насколько же актуальна такая угроза для нас с вами и кто может быть потенциальной жертвой.

1. Как минимум нужна жертва, владеющая картой VISA, MASTERCARD (что не является роскошью в настоящее время).
2. Для карты должна быть активирована услуга ДБО (данная услуга отключена по умолчанию и подключается по желанию, при помощи хитрых манипуляций с банкоматом и web-сайтом Банка).
3. Необходим ПК, с которого владелец карты пользуется услугой ДБО (необходим постоянный доступ в Интернет).
4. Необходим смартфон, мобильный номер которого зарегистрирован в системе ДБО  (именно смартфон с ОС уязвимой к установке трояна, а не какой-то там мобильник с жесткой логикой).  
5. Возраст владельца возьмем в 3х диапазонах: до 30 лет, от 30 до 45 лет, от 45 и старше (студент или выпускник вуза, человек средних лет, человек со сложившимися устоями и взглядами на жизнь).
6. Обеспеченность владельца также возьмем в трех диапазонах: низкая, средняя, высокая (вряд ли подойдет карточка, на которую студенту перечисляют стипендию,  или зарплатная карта офисного сотрудника с которой все снимается в тот же день, как деньги поступают на счет).  
7. ИТ активность  возьмем в двух диапазонах: средняя, высокая (человек пользующийся Интернет только на работе, человек у которого Интернет всегда на расстоянии вытянутой руки).   
8. Гаджетоманию  возьмем в двух диапазонах: средняя, высокая (человек использующий смартфон ради имиджа и иногда серфинга в  Интернете, человек использующий свой смартфон на всю катушку).

Следствия очевидные и невероятные:

Итак, очевидно, что наиболее уязвимыми являются люди с высоким уровнем «гаджетомании», высоким уровнем «ИТ активности», средним или высоким уровнем обеспеченности, в возрасте от 30 до 45 лет, могущие себе позволить смартфон стоимостью от 10 000 руб., имеющие постоянный доступ к сети Интернет и видящие смысл в использовании ДБО.  

Учитывая реалии России, основная масса таких людей сосредоточена в Москве, Питере и еще максимум одном - двух десятках городов так, что до Польши (массовых атак и существенного количественного ущерба для владельцев карт) нам еще далеко.

И самое важное, без чего эта статья всего лишь бессмысленная трата времени, как писавшего, так и читавшего это наличие Банков, которые в качестве защиты систем ДБО используют генерацию кода и доставку его владельцу карты посредством СМС сообщений (существуют более простые и не менее действенные способы защиты ДБО).