Jak kradną pieniądze

Cyberprzestępcy największe żniwa zbierają na przechwytywaniu informacji związanych z autoryzacją kart płatniczych oraz na nieautoryzowanych transakcjach z systemów bankowości elektronicznej.

Typowym źródłem danych związanych z kartami płatniczymi jest skimming - proceder polegający na nielegalnym odczycie paska magnetycznego karty oraz kodu PIN. Odczytanie paska magnetycznego może nastąpić w bankomacie, do którego przestępcy dołączyli nakładkę z czytnikiem lub w sklepie, przy wykorzystaniu przenośnego urządzenia. Większym problemem jest pozyskanie kodu PIN. W tym celu przestępcy stosują kamery lub specjalne nakładki, które rejestrują wciskane klawisze. Zazwyczaj są to standardowe urządzenia elektroniczne, takie jak telefony komórkowe z kamerami oraz typowe układy czytnika kart magnetycznych.

Migracja do kart mikroprocesorowych zmniejsza nieco zagrożenie, spowodowane kopiowaniem paska magnetycznego, ale z wielu bankomatów nadal można wypłacić gotówkę za pomocą karty wyposażonej jedynie w pasek magnetyczny.

Komputer w domu, pieniądze w banku

Rozwój bankowości elektronicznej i przeniesienie części zadań na klienta sprawiają, że transakcje są realizowane przy wykorzystaniu źle zabezpieczonych komputerów domowych zamiast dobrze pilnowanych stacji roboczych w banku. Większe ryzyko wynika także stąd, że ten sam komputer z wrażliwym systemem Windows używany jest zarówno do zwykłego przeglądania Internetu, jak i do operacji bankowych, przy czym stan bezpieczeństwa systemu zazwyczaj daleki jest od doskonałości. Przestępcy skwapliwie z tego korzystają, przygotowując złośliwe oprogramowanie, którego zadaniem jest kradzież informacji, umożliwiających realizację nieautoryzowanych przelewów z kont bankowych. Bardzo wiele pieniędzy ukradziono w ten sposób z rachunków, które były zabezpieczone jedynie za pomocą statycznego hasła - do takiego ataku wystarczy zwykły keylogger.

Nowoczesne metody zabezpieczeń, na przykład dwuskładnikowe uwierzytelnienie, poważnie utrudniły takie działania, ale pojawiły się już pakiety malware, które potrafią obejść nawet ochronę hasłami jednorazowymi. Pakiet Limbo, powszechnie używany przez cyberprzestępców od kilku lat, posiada moduł, który umożliwia modyfikację "w locie" zawartości stron WWW wyświetlanych przez przeglądarkę. "Technologia modyfikacji sesji, nazywana HTML Injection sprawia, że do strony WWW serwisu bankowego transmitowanego w szyfrowanym połączeniu SSL można niepostrzeżenie wstawić pola formularzy, zmienić ich zawartość, a nawet wysłać gotowy zestaw danych, tak jakby użytkownik kliknął pole <<Wyślij>>. Jedyna różnica polega na tym, że nagle system transakcyjny zdaje się żądać od użytkownika podania informacji, których nigdy przedtem nie żądano" - wyjaśnia Uri Rivner, szef działu technologii ochrony konsumenta w firmie RSA. W ten sposób od nieświadomych użytkowników bankowości elektronicznej można pozyskać: numer karty, kod CVV umożliwiający przeprowadzenie transakcji online, login i hasło do systemu. Za pomocą modyfikacji sesji można obejść nawet dwuskładnikowe uwierzytelnienie, gdyż oszukany użytkownik podpisze kluczem z tokena (lub hasłem jednorazowym) inną transakcję, niż rzeczywiście zlecił.

Oprogramowanie to jest tak ściśle zintegrowane z przeglądarką Internet Explorer, że nie da się stwierdzić, które z komponentów wyświetlanych w szyfrowanym połączeniu pochodzą z oryginalnego serwera, a które są efektem modyfikacji wykonanych przez malware. W ten sposób można zarazić wszystkie wersje Internet Explorera, włącznie z najnowszą.