Трояны, смартфоны и ДБО
Причины побудившие заняться эпистолярным жанром в области ИБ:
Пользователи систем онлайн-банкинга в Польше стали мишенью одной из разновидностей трояна Zeus целью которого, является воровство СМС используемых в системах ДБО (дистанционного банковского обслуживания) для двухфакторной аутентификации.
Для того чтобы противостоять увеличивающемуся количеству мошенничеств с системами ДБО посредством фишинга или таким известным троянам как Zeus и SpyEye, банки используют двухфакторную аутентификацию. Данная технология обычно использует, как традиционные пароли так и дополнительно сгенерированные коды, которые генерируются на лету при помощи токенов имеющихся у пользователей или присылаемые банком посредством СМС. Данные СМС имеют аббревиатуру MTAN (mobile transaction authentication numbers) и используются в ряде стран, включая Польшу. Тем не менее, как это обычно бывает, злоумышленники разработали методы по обходу данной защиты.
В прошлом году испанская компания «S21sec», специализирующаяся в области информационной безопасности выявила разновидность трояна Zeus специально разработанную для кражи MTAN при помощи атаки человек посередине (man-in-the-middle).
Атака начинается на зараженном трояном Zeus ПК, где в страницу для ввода логина и пароля ДБО внедряется контент запрашивающий у пользователя его номер телефона, как утверждается для обновления сертификата безопасности.
После предоставления информации, она пересылается посредством СМС в приложение разработанное специально для того типа устройств которое просит установить.
Мобильная компонента, которая контролирует СМС сообщения и ворует MTAN присылаемый банком. Фактически эта компонента предотвращает получение пользователем новых сообщений, таким образом злоумышленники могут осуществить платеж подтвердив его украденным MTAN не вызывая подозрения.
Источник 1: http://news.softpedia.com/news/ING-Bank-Polish-Customers-Targeted-by-ZeuS-185523.shtml
Источник 2: http://news.softpedia.com/news/New-ZeuS-Component-Targets-Mobile-Phones-158141.shtml
Мысли навеянные прочитанным:
Вот такая статья (см. предыдущий пункт) на днях попалась на глаза в Интернете. Вроде бы статья ни о чем, как говорится мало ли нас пугают «ботами» и прочей нечистью типа Confiker, Stuxnet и т.д.
Но давайте попробуем разобраться, а насколько же актуальна такая угроза для нас с вами и кто может быть потенциальной жертвой.
-
Как минимум нужна жертва, владеющая картой VISA, MASTERCARD (что не является роскошью в настоящее время).
-
Для карты должна быть активирована услуга ДБО (данная услуга отключена по умолчанию и подключается по желанию, при помощи хитрых манипуляций с банкоматом и web-сайтом Банка).
-
Необходим ПК, с которого владелец карты пользуется услугой ДБО (необходим постоянный доступ в Интернет).
-
Необходим смартфон, мобильный номер которого зарегистрирован в системе ДБО (именно смартфон с ОС уязвимой к установке трояна, а не какой-то там мобильник с жесткой логикой).
-
Возраст владельца возьмем в 3х диапазонах: до 30 лет, от 30 до 45 лет, от 45 и старше (студент или выпускник вуза, человек средних лет, человек со сложившимися устоями и взглядами на жизнь).
-
Обеспеченность владельца также возьмем в трех диапазонах: низкая, средняя, высокая (вряд ли подойдет карточка, на которую студенту перечисляют стипендию, или зарплатная карта офисного сотрудника с которой все снимается в тот же день, как деньги поступают на счет).
-
ИТ активность возьмем в двух диапазонах: средняя, высокая (человек пользующийся Интернет только на работе, человек у которого Интернет всегда на расстоянии вытянутой руки).
-
Гаджетоманию возьмем в двух диапазонах: средняя, высокая (человек использующий смартфон ради имиджа и иногда серфинга в Интернете, человек использующий свой смартфон на всю катушку).
Следствия очевидные и невероятные:
Итак, очевидно, что наиболее уязвимыми являются люди с высоким уровнем «гаджетомании», высоким уровнем «ИТ активности», средним или высоким уровнем обеспеченности, в возрасте от 30 до 45 лет, могущие себе позволить смартфон стоимостью от 10 000 руб., имеющие постоянный доступ к сети Интернет и видящие смысл в использовании ДБО.
Учитывая реалии России, основная масса таких людей сосредоточена в Москве, Питере и еще максимум одном - двух десятках городов так, что до Польши (массовых атак и существенного количественного ущерба для владельцев карт) нам еще далеко.
И самое важное, без чего эта статья всего лишь бессмысленная трата времени, как писавшего, так и читавшего это наличие Банков, которые в качестве защиты систем ДБО используют генерацию кода и доставку его владельцу карты посредством СМС сообщений (существуют более простые и не менее действенные способы защиты ДБО).