SpyEye włamuje się na konta bankowe
Nowa odmiana trojana bankowego SpyEye po kradzieży danych dostępowych do konta użytkownika komputera, inicjuje automatycznie transakcję w banku, podając jego dane. Umożliwia to hackerowi wgląd w stan konta - poinformował magazyn Computerworld.
Eksperci ds. bezpieczeństwa z firmy Trusteer poinformowali w raporcie, że mechanizm działania nowego trojana bankowego SpyEye jest zupełnie inny od dotychczas tworzonych przez hackerów trojanów finansowych jak np. Zeus. Uprzednio trojany infekowały komputer i starały się odczytać hasła i loginy do konta bankowego czy innych ważnych kont właściciela komputera, poprzez program keylogger odczytujący i przesyłający na hackerski serwer wszystkie klawisze wybierane przez użytkownika. SpyEye po odczytaniu strony internetowej banku, kradzieży loginu i hasła, stara się zainicjować szybko transakcję bankową podszywając się pod użytkownika, którego dane ukradł.
Transakcje te nie są oczywiście kończone - chodzi o włamanie na konto, tak aby hacker nie niepokojony mógł sprawdzić jego stan i stwierdzić, ile może z niego zagarnąć. SpyEye omija w ten sposób zabezpieczenia stosowane przez banki dla ochrony przed niepowołanym dostępem i kradzieżą, co znacznie zwiększa zagrożenie.
Trojan ten, jako system automatyczny ma jednak słabe punkty, które starają się wykorzystać banki, aby móc się przed nim obronić. Pierwszym jest szybkość - program nie zachowuje się jak zwykły użytkownik, działa zbyt szybko, toteż systemy bankowe starają się odfiltrować takie "zbyt szybkie" transakcje i je blokować. Drugim jest miejsce połączenia - jeśli użytkownik, który wciąż logował się np. z Miami czy Londynu, nagle loguje się z IP wskazującego na Moskwę czy Kijów, staje się to podejrzane i bank może zablokować takie logowanie.
Jak jednak stwierdzili analitycy Trusteer, twórcy SpyEye zorientowali się iż banki namierzają zbyt szybkie próby logowania i starają się tak przebudować trojana, aby działał wolniej - naśladując zwykłego użytkownika, logującego się na stronie internetowej banku.
Nowa wersja SpyEye rozpowszechnia się w wielu krajach świata. Trojan pojawił się m.in. w Arabii Saudyjskiej, Finlandii, Peru, Rosji, Ukrainie, Wenezueli, Omanie, Białorusi, Bahrajnie, Estonii, Łotwie, Japonii, Mołdawii, Chinach i Hong Kongu. Może to oznaczać, że zestaw do konfigurowania nowego SpyEye zaczął cieszyć się znaczną popularnością wśród podziemia kryminalnego - stwierdzają analitycy.
Policje wielu krajów są zaangażowane w likwidację producentów tego typu trojanów. W kwietniu zatrzymano 26-letniego Litwina i 45-letniego Łotysza ,których oskarżono o działanie mające na celu nielegalne modyfikacje komputerów czyli dystrybucję trojanów, oszustwa komputerowe i pomocnictwo tworzeniu złośliwego oprogramowania.
Byli oni związani z producentami SpyEye, ale ich aresztowanie nie zahamowało, jak widać, kreatywności hackerów, tworzących to złośliwe oprogramowanie. SpyEye występuje także masowo w botnetach, których serwery zarządzania i monitorowania (command & control), rozsyłają je przy pomocy przejętych komputerów po świecie. W ostatnim tygodniu lipca analitycy naliczyli 4. serwerów command & control kierujących botnetami zawierającymi SpyEye. W maju br. takich serwerów było jedynie 20.
