Największy atak hakerski w historii. Ponad 140 milionów złotych strat!

Największy atak hakerski w historii. Ponad 140 milionów złotych strat!12.03.2013 09:30
Źródło zdjęć: © Thinkstockphotos

Terry Greer-King, główny dyrektor Check Point w Wielkiej Brytanii, który wraz z Versafe wykrył fałszerstwo Eurograbbera opisuje w jaki sposób skomplikowane złośliwe oprogramowanie działające zarówno na PC jak i urządzeniach mobilnych dokonało największego i najbardziej spektakularnego ataku w historii oraz jakie konsekwencje wywołał ten atak na płaszczyźnie bezpieczeństwa banków i ich klientów.

Atak wykonany za pomocą Eurograbbera, szacowany na 3. milionów funtów (47 milionów dolarów/142 miliony złotych), został uznany za jeden z największych na świecie w całej historii "napadów" na bank. Biorąc pod uwagę, że suma ta została skradziona z 30 000 kont klientów 30 europejskich banków za pomocą złośliwego oprogramowania dedykowanego na komputery PC i urządzenia przenośne, z pewnością należy go uznać za jeden z najbardziej skomplikowanych ataków wszechczasów, które udało się wykryć.

Jednak najbardziej niepokojącym aspektem ataku Eurograbber było to, że potrafił on złamać zabezpieczenia banków polegające na dwuetapowym uwierzytelnianiu, co sprawiło, że z punktu widzenia banków wszystkie transakcje wyglądały w pełni legalnie. Dzięki temu Eurograbber pozostawał aktywny i niewidoczny przez długie miesiące, co pozwalało przestępcom wykradać coraz więcej pieniędzy. W jaki sposób Eurograbber był w stanie tego dokonać? I w jaki sposób banki i ich klienci mogą chronić się przed podobnymi atakami w przyszłości?

Kluczem do sukcesu Erograbbera było to, że hakerzy przeprowadzający atak mieli doskonałą wiedzę na temat tego, jak działają systemy bankowe dla kont firmowych i indywidualnych. Atak został wymierzony przeciwko dwuetapowemu procesowi uwierzytelniania, wykorzystującemu jednorazowe hasła przesyłane za pośrednictwem wiadomości SMS na urządzenia mobilne. Wirus przechwytywał te wiadomości i mógł wykorzystywać je do dokonywania transakcji.

Atak na dwa fronty

Hakerzy zaprojektowali dwuetapowy atak. Pierwszy etap polegał na zainfekowaniu komputera PC klienta banku i pozyskaniu danych za pomocą phishingu. Dokonywano tego za pośrednictwem e-maila ze złośliwym linkiem lub przez nakłonienie ofiary do kliknięcia w link podczas użytkowania przeglądarki internetowej. Przejście do adresu wskazanego przez odnośnik powodowało ściągnięcie i zainstalowanie na komputerze specjalnie dostosowanej do ataku wersji popularnego trojana Zeus. Wirus początkowo pozostawał uśpiony.

Gdy klient banku logował się do swojego konta bankowego, trojan przechodził w stan aktywny i uruchamiał fałszywą stronę internetową banku, zawierającą instrukcję do „aktualizacji”. systemu bankowości online. Poza prośbą o podanie numeru konta oraz innych szczegółów, wirus wymagał podania danych związanych z urządzeniem przenośnym. Następnie strona informowała użytkownika, że w celu ukończenia procesu aktualizacji, kolejne instrukcje zostaną przesłane na urządzenie przenośne za pomocą wiadomości tekstowej.

Tutaj rozpoczynał się drugi etap ataku. Po otrzymaniu wiadomości tekstowej, która wyglądała tak, jakby została wysłana z banku klienta, użytkownik był proszony o kliknięcie w link w celu ukończenia „aktualizacji”. Powodowało to jednak ściągnięcie mobilnej wersji Zeusa (ZITMO) na urządzenie przenośne. Jeżeli użytkownik posiadał odpowiedni typ urządzenia –. telefon Blackberry, Android lub Symbian – sprzęt zostawał zainfekowany.

Bez potrzeby fabrykowania numeru TAN

W ten sposób zamykał się proces infekowania komputera PC i urządzenia przenośnego użytkownika. Od tej pory za każdym razem gdy klient logował się do systemu bankowości online, wirus inicjował transakcję wykradającą pieniądze z konta. Trojan zainstalowany na PC rozpoznawał aktywność użytkownika logującego się do systemu i w niewidoczny sposób wysyłał żądanie do banku o przelew pewnej kwoty na tajne konta hakerów.

Po otrzymaniu żądania, bank generował numer uwierzytelniający transakcję (TAN) i przesyłał go na urządzenie przenośne klienta. Wiadomość ta była przechwytywana przez trojana zainstalowanego na telefonie. Wirus następnie odczytywał numer przesłany w wiadomości SMS i odsyłał go z powrotem do banku w celu sfinalizowania nielegalnej transakcji.

Wszystkie te transakcje były całkowicie niewidoczne dla klientów, gdyż nie byli informowani o wiadomości SMS przesyłanej z banku. Z kolei dla banku operacje wyglądały jakby były przeprowadzone legalnie. Hakerzy pokusili się nawet o skonfigurowanie Zeusa tak, aby przesyłał określoną kwotę równą pewnej wartości procentowej salda konta, dzięki czemu atak pozostawał niezauważony przez dłuższy czas.

Bezpieczeństwo ma znaczenie

Jakie wnioski odnośnie bezpieczeństwa możemy zatem wyciągnąć patrząc na atak Eurograbber? Atak ten z pewnością doskonale poradził sobie z ominięciem dodatkowej formy uwierzytelniania polegającej na przesyłaniu haseł jednorazowych, która jest techniką bardzo często wykorzystywaną w Europie.

Mimo tego, że banki korzystające z innych metod uwierzytelniania nie były zagrożone tym atakiem, należy podkreślić, że wirusy mogą być zaprojektowane tak, by łamać konkretne techniki bezpieczeństwa oraz to, że hakerzy mają cierpliwość i zasoby by się tym zajmować. Zaledwie kilka lat temu kod wiodącego na rynku dwuetapowego systemu uwierzytelniania został skradziony, co prowadziło do poważnego ryzyka włamania. Pokazuje to, że żadna z technik uwierzytelniania nie jest w pełni bezpieczna.

Z drugiej strony należy zwrócić uwagę, jak ważną rolę w kontekście bezpieczeństwa bankowości online pełnią sami użytkownicy. Eurograbber w końcu wymierzony był w klientów banków, a nie bezpośrednio w banki. W związku z tym najlepszą ochroną przed możliwymi przyszłymi atakami jest upewnienie się, że klienci banków mają aktualną wersję systemów zabezpieczających dwa obszary –. sieć, za pomocą której użytkownicy łączą się do banków, oraz komputery PC, których używają do korzystania z systemów bankowych.

Ochrona użytkowników

Warto powtarzać użytkownikom bankowości internetowej, że ich banki nigdy nie przesyłają emaili, o które wcześniej nie prosili oraz żeby nie odpowiadali na tego typu wiadomości, gdyż najprawdopodobniej jest to próba phishingu. Klienci banków powinni korzystać z aktualnej wersji programów antywirusowych i firewalli. Tego typu oprogramowanie potrafi wykryć trojana Zeus zanim komputer użytkownika zostanie zainfekowany. Kolejną kluczową sprawą, o którą powinni zadbać użytkownicy w celu uniknięcia ataku, jest regularne instalowanie aktualizacji oprogramowania, aby zachować najwyższą jakość bezpieczeństwa.

Jeżeli już dojdzie do zainfekowania komputera, Eurograbber będzie próbował połączyć się z serwerem kontroli i zarządzania (Command & Control - C&C) w celu dokończenia procesu instalacji wirusa i rozpoczęcia kradzież pieniędzy z konta klienta banku. Zainstalowanie firewalla spowoduje zablokowanie tej komunikacji, a aktualizacja programu antywirusowego i przeprowadzenie skanowania powinno wykryć i usunąć wirusa.

Podsumowując, nie ma idealnego rozwiązania, aby chronić się przed atakami typu Eurograbber. Jest to kwestia bycia czujnym i upewnienia się, że rozwiązania dotyczące bezpieczeństwa po stronie banków i ich klientów są spójne i aktualne. Dbając o te dwa aspekty mamy całkiem spore szanse, że następne ataki cyberprzestępców nie odniosą sukcesu.

Polecamy w wydaniu internetowym chip.pl: "Samsung: nikt nie kupuje Surface, a Windows 8 nie jest udany"

© WP Tech·Redakcja·Regulamin·Polityka prywatności·Reklama
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź naUKRAINA