Jak kradną pieniądze
- 24.11.2009
Cyberprzestępcy największe żniwa zbierają na przechwytywaniu informacji związanych z autoryzacją kart płatniczych oraz na nieautoryzowanych transakcjach z systemów bankowości elektronicznej.
Migracja do kart mikroprocesorowych zmniejsza nieco zagrożenie, spowodowane kopiowaniem paska magnetycznego, ale z wielu bankomatów nadal można wypłacić gotówkę za pomocą karty wyposażonej jedynie w pasek magnetyczny.
Komputer w domu, pieniądze w banku
Uri Rivner, szef działu technologii ochrony konsumenta w firmie RSA
Nowoczesne metody zabezpieczeń, na przykład dwuskładnikowe uwierzytelnienie, poważnie utrudniły takie działania, ale pojawiły się już pakiety malware, które potrafią obejść nawet ochronę hasłami jednorazowymi. Pakiet Limbo, powszechnie używany przez cyberprzestępców od kilku lat, posiada moduł, który umożliwia modyfikację "w locie" zawartości stron WWW wyświetlanych przez przeglądarkę. "Technologia modyfikacji sesji, nazywana HTML Injection sprawia, że do strony WWW serwisu bankowego transmitowanego w szyfrowanym połączeniu SSL można niepostrzeżenie wstawić pola formularzy, zmienić ich zawartość, a nawet wysłać gotowy zestaw danych, tak jakby użytkownik kliknął pole <<Wyślij>>. Jedyna różnica polega na tym, że nagle system transakcyjny zdaje się żądać od użytkownika podania informacji, których nigdy przedtem nie żądano" - wyjaśnia Uri Rivner, szef działu technologii ochrony konsumenta w firmie RSA. W ten sposób od nieświadomych użytkowników bankowości elektronicznej można pozyskać: numer karty, kod CVV umożliwiający przeprowadzenie transakcji online, login i hasło do systemu. Za pomocą modyfikacji sesji można obejść nawet dwuskładnikowe uwierzytelnienie, gdyż oszukany użytkownik podpisze kluczem z tokena (lub hasłem jednorazowym) inną transakcję, niż rzeczywiście zlecił.
Oprogramowanie to jest tak ściśle zintegrowane z przeglądarką Internet Explorer, że nie da się stwierdzić, które z komponentów wyświetlanych w szyfrowanym połączeniu pochodzą z oryginalnego serwera, a które są efektem modyfikacji wykonanych przez malware. W ten sposób można zarazić wszystkie wersje Internet Explorera, włącznie z najnowszą.