Ze względu na bardzo duży udział rynkowy przeglądarki Mozilla Firefox, przestępcy opracowują sposób przejęcia kontroli także nad tą przeglądarką, niemniej nadal do infekcji komputera niezbędna jest luka w bezpieczeństwie Internet Explorera lub wtyczek, takich jak Flash czy Java. Wspomniana modyfikacja Firefoksa działa wyłącznie w 32-bitowym środowisku Microsoft Windows XP/Vista/7, zagrożenie to jeszcze nie dotyczy użytkowników innych systemów, takich jak Linux czy MacOS X.

Czy zabezpieczenie hasłami SMS można złamać?

Analiza działania środowiska przestępczego udowodniła także, że opracowywane są konie trojańskie przeznaczone dla popularnego telefonu komórkowego iPhone, które mają za zadanie modyfikację wiadomości SMS w taki sposób, by umożliwić obejście zabezpieczenia w postaci haseł SMS. Stan produkcji takiego kodu jest nieznany, ale wszystko wskazuje na to, że takie oprogramowanie, wykorzystujące luki w bezpieczeństwie telefonów iPhone oraz Nokia, prędzej czy później zostanie wydane. W ten sposób można będzie obejść nawet zabezpieczenie w postaci transakcyjnych haseł SMS, przypisanych do konkretnych poleceń, wydawanych w systemie bankowym.

Jeśli bank nie stosuje haseł związanych z konkretną transakcją, ale wybiera model standardowych haseł jednorazowych przesyłanych do użytkownika, wystarczy znacznie prostszy koń trojański, który przechwyci SMS wysyłany do klienta i prześle go dalej. Wtedy automat, korzystając ze skradzionych masowo loginów i haseł, dokona nielegalnej transakcji, potwierdzając ją pozyskanym hasłem SMS. Nieoficjalnie mówi się, że odnotowano pierwsze demonstracje ataków tego typu.

Automat sprawdzający

Napisanie dobrego "konia trojańskiego", który nie byłby wykrywany przez oprogramowanie antywirusowe, nie jest prostym zadaniem. Aby ułatwić i zautomatyzować część prac, w podziemnych laboratoriach wykorzystuje się narzędzia, które automatycznie sprawdzają podatność kodu na wykrycie przez najpopularniejsze oprogramowanie antywirusowe. W tym celu wykorzystywane są skanery webowe producentów antywirusów, zestawy oprogramowania w wirtualnych środowiskach, sprawdzające podatność systemów oraz gotowe reguły do masowych testów. W przypadku stwierdzenia, że antywirus wykrywa nową próbkę, twórcy dokonują zmian w kodzie, które sprawiają, że prawdopodobieństwo maleje. Pracochłonność tej metody można bardzo zmniejszyć za pomocą narzędzi automatycznie identyfikujących fragmenty kodu wykrywane przez antywirusy.

Terminal pod lupą

W pewnych przypadkach podejrzany może być element, na który zwraca się najmniej uwagi - terminal przeznaczony do realizacji płatności. Fałszywy terminal POS bywa oferowany na bardzo korzystnych warunkach przez podstawioną agencję finansową. Z wyglądu i zachowania imituje popularne w Europie terminale Verifone lub Hypercom, włącznie z typowymi niedogodnościami. Zaoferowane warunki rozliczenia transakcji wydają się korzystne, bo prowizja jest niższa od typowych opłat na rynku, umowa wygląda całkiem poważnie; jest tylko jeden problem - instytucja, która występuje jako strona w tej umowie, nie istnieje. Wszystkie dostarczane dokumenty są fałszywe, sam terminal z kolei nie służy do prawdziwych transakcji - jego jedynym zadaniem jest zbieranie informacji o kartach klientów. Oczywiście, sklep, który korzysta z takiego terminala, zorientuje się po pewnym czasie, że został oszukany i okradziony, ale przy dużym ruchu klientów i rozliczaniu transakcji z kilku terminali, może to trwać nawet miesiąc.

Wiadomo na pewno, że pojawiły się także zmodyfikowane firmware przeznaczone do prawdziwych terminali POS, które, oprócz realizowania normalnych zadań związanych z obsługą transakcji, będą przesyłać przechwycone informacje na serwer przestępców. Nośnikiem informacji może być ta sama karta GPRS obecna w terminalu (o ile do transmisji danych nie wykorzystuje się prywatnego APN GPRS operatora) albo zestawiane okresowo połączenie dial-up do modemu dostępowego przestępców. Terminale wyposażone w modem telefoniczny pozostawiają ślad w postaci połączeń dial-up, ale mało firm to sprawdza, gdyż zazwyczaj na tej samej linii pracuje jeszcze zwykły telefon stacjonarny. Wykrycie takiego urządzenia przez klienta jest bardzo trudne. Z wyglądu niczym się nie różni od typowego terminala, z pozoru jedynie akceptuje karty i żąda kodu PIN. Pewną szansę na szybkie wykrycie oszustwa, polegającego na pobieraniu danych bez rzeczywistej autoryzacji lub modyfikację zleceń mają ci użytkownicy, którzy posiadają usługę powiadamiania za pomocą wiadomości SMS o transakcjach i blokadach związanych z kartą płatniczą.