22:38
25/4/2016

Dziś rano na redakcyjną skrzynkę internetową otrzymaliśmy informacje prasową od agencji PR obsługującej IBM. Tytuł “GozNym atakuje polskie banki” brzmiał groźnie, a ponieważ wśród naszych klientów mamy kilka instytucji finansowych, temat nas zainteresował.

g1358952158275212121

Niestety, zarówno z informacji prasowej, jak i wpisów na polskim blogu IBM, poza przerażającym (i semantycznie niepoprawnym stwierdzeniem)…

“zaatakował 17 polskich banków komercyjnych i 230 polskich banków spółdzielczych”

…nie dowiedzieliśmy się niczego konkretnego. Nasze pytania o próbki malware’u także (jak na razie) pozostają bez odpowiedzi… — choć ustaliliśmy, że za analizę malware’u po stronie IBM odpowiada izraelski zespół. Milczą także polskie banki. Na ich stronach nie znajdziecie ostrzeżeń, które pojawiają się w przypadku poważnych i innowacyjnych ataków, a nasi znajomi bankierzy nie potwierdzają, że ten konkretny malware jest dla nich obecnie jakimś zauważalnym problemem.

Spróbujmy więc ustalić fakty. Czy ten atak rzeczywiście jest przełomowy, jak już podchwytują to media, nazywając go też “największym“. Oto jak złośliwe oprogramowanie opisuje firma, która go wykryła na swoim blogu:

Malware to klucz do naszych drzwi, a mieszkanie to bank, w którym trzymamy pieniądze. Dotychczas większość ataków w Polsce przeprowadzanych było na pojedyncze banki – czyli przestępcy dysponowali kluczami do pojedynczych mieszkań. Nowy malware GozNym posiada ponad 200 takich kluczy do 17 banków komercyjnych i do ponad 200 banków spółdzielczych. Świadczy to o tym, że przestępcy niejako „docenili” Polskę jako wartą atakowania i przygotowali infrastrukturę mającą to ułatwić.

Metafora z kluczami jest dla nas zbyt enigmatyczna i ciężko na jej podstawie określić, co robi i jak działa GozNym. Trochę wyjaśnia, ale i obdziera atak z sensacyjności, kolejny akapit:

Drugim wyróżnikiem obecnie prowadzonego ataku jest to, że po zainfekowaniu komputera ofiary, złośliwe oprogramowanie nie dopuszcza w ogóle klienta do połączenia się ze stroną bankowości elektronicznej. W zamian przekierowuje ofiarę na fałszywą, ale wyglądającą identycznie jak prawdziwa stronę banku, gdzie ofiara wpisuje swoje dane logowania i zdradza je tym samym przestępcom

A więc malware podstawia fałszywą stronę ofierze. Brak jednak informacji, czy robi to przez atak pharmingu (spoofingu DNS), jak miało to miejsce np. podczas przejęć routerów TP-Link, czy może docelowa domena nie jest identyczna z oryginalną, a zawiera literówkę. A może GozNym atakuje jak SuperFish od Lenovo, podrzucając własne CA i przechwytując HTTPS? Ciężko na przykładzie informacji rozsyłanych przez PR IBM i równie nietechnicznych wpisów na polskim blogu IBM, ocenić powagę sytuacji oraz poradzić Wam czego jako klienci banków macie się wystrzegać.

Na szczęście część niejasności rozwiewa wpis na angielskim blogu IBM:

The fake page is designed to appear legitimate, carrying the bank’s URL and SSL certificate in the address bar to make sure the victims do not suspect they are on the wrong site. The attack manages to achieve this by sending empty/idle requests to the bank to keep the SSL connection alive. So far, it’s similar to other redirection schemes.But this is where the differences kick in. When the fake page is delivered to the victim’s browser, it comes covered with a blank overlay screen on top of it. The blank page is a simple CSS trick known as an empty div element, which is plastered over the entire screen. This curtain does not delete anything from the fake page’s source code; it only covers up the malicious content of the phishing page, making it look empty to prevent unintended parties such as security researchers from examining its content.
The second stage of the redirection attack is designed to remove the overlay screen; it displays the malicious site’s content to the victim. To carry out this second step, GozNym imports external JavaScript to the fake page. The scripts manipulate the Document Object Model (DOM) — an approach that enables malware to access and change the internal data of targeted Web pages — and remove the div element from the page. In most cases the fake page looks like the bank’s login page, allowing victims to enter their username and password. After that initial fake login, the malware displays a delay screen via webinjection asking the victim to wait. While the victim is on hold, the fraudster queries the C&C server for additional webinjections to trick users to divulge further information about their accounts.

Podsumowując:

    1. Nowy malware “GozNym” wcale nie jest taki innowacyjny. Do ataku wykorzystuje techniki znane (i obserwowane) już w innych atakach. Ofiara widzi poprawny adres i “zieloną kłódkę”, ale kontrolowana przez GozNyma przeglądarka ofiary podstawia jej fałszywą stronę. Fałszywka wykrada dane do logowania do bankowości, z których przestępcy mogą skorzystać na prawdziwej stronie banku, udając klienta. Ataki na klientów banków spółdzielczych to też nie nowość.

    2. Nie wiemy ile faktycznie ofiar mamy w Polsce (i czy w ogóle) oraz czy są już jakieś straty finansowe przypisywane temu zagrożeniu. IBM donosi bowiem póki co jedynie o wykryciu zmian configu złośliwego oprogramowania, czyli zaobserwowaniu dodania do “podmienianych” adresów 17 adresów polskich banków komercyjnych oraz łącznie 230 banków spółdzielczych i serwisów pocztowych (nie wiemy jak je “zliczono”, ile na tej liście jest rzeczywiście banków spółdzielczych, a ile serwerów pocztowych, ale liczby są rzeczywiście wielkie). IBM jednak — i to jest najważniejszy brak — w ogóle nie informuje o skali problemu, tj. liczbie faktycznych ofiar. Takie podejście może równie dobrze oznaczać, że kampania na Polskę jeszcze na dobre się nie rozpoczeła, lub, że GozNym jest tak kiepsko przygotowany, że wykrywa go każdy antywirus. To powiedziawszy w kontekście Polski, podkreślmy, że tydzień wcześniej GozNym z sukcesem atakował 25 amerykańskich banków.

    3. GozNym ma się rozprzestrzeniać głównie przez e-maile z zainfekowanymi załącznikami. Znów nic innowacyjnego — ale jak pokazują statystyki, zawsze znajdzie się ktoś, kto da się nabrać na fałszywe awizo od kuriera/poczty, albo wezwanie do zapłaty rzekomo od komornika.

Innymi słowy, zdanie “hakerzy zaatakowali 230+ polskich banków” można wsadzić póki co między bajki, bo jak zwykle, celem ataku są użytkownicy banków (o ile w ogóle są, bo na razie nikt się do tego nie przyznaje).

Najlepsza rada?

    1. Do banku logujcie się tylko z zaufanych (a kto może, potrafi i go stać, także dedykowanych) urządzeń. Najprościej oddelegować do tego celu starego iPada (niezjailbreakowany iOS jest bezpiecznym systemem; cieżko zainstalować złośliwą aplikację, a nawet gdyby inna apka chciała wykraść dane, to ze względu na sandboksing — nie może)

    2. Czytajcie treść bankowych SMS-ów z kodami — zawierają one kwotę ale przede wszystkim fragment numeru rachunku docelowego. Upewnijcie się, że jest on poprawny. To jedyna możliwość wykrycia oszustwa, jeśli Wasz komputer jest zainfekowany.

    3. Przeczytajcie nasz poradnik dotyczący bezpiecznego korzystania z bankowości online …i przekażcie go swoim księgowym: 6 rad jak bezpiecznie wykonywać przelewy bankowe online.

rCmeLVk

Dlaczego IBM zdecydowało się na taki małokonkretny, i cieżko się oprzeć wrażeniu, że chyba przedwczesny komunikat? To staje się jasne, jeśli doczytamy do ostatniego akapitu wpisu na blogu IBM. Atak Dopisanie do configu GozNyma polskich banków jest wykorzystywane do zareklamowania rozwiązania sprzedawanego przez IBM — Trusteera, czyli “przyjaznego trojana” autorstwa IBM, który działając na komputerze użytkownika (często do instalacji nakłania sam bank — klient IBM) jako jedyny ma obecnie wykrywać ten atak i ostrzegać przed nim użytkowników. Instalacja Trusteera jest jednak mocno kontrowersyjną praktyką — niektóre z polskich banków nie zdecydowały się na ten krok, świadome zagrożeń (także prawnych) płynących z obecności Trusteera na komputerze klienta oraz często braku skuteczności tego typu rozwiązań (jak każdy system wykrywania ataków, reaguje głównie na znane ataki).

Szkoda, że w ogłoszeniu ataku zabrakło hashy próbek, ale liczymy na to, że IBM szybko to naprawi włączajac do komunikacji poza PR i sales teamem także osoby techniczne i będziemy mogli poznać więcej szczegółów ataku oraz jego faktyczną skalę.

Aktualizacja 26.04.2015, 9:59
Od Łukasza Dajnowicza z Komisji Nadzoru Finansowego otrzymaliśmy oświadczenie KNF w tej sprawie:

Informacje nadzorcze posiadane przez KNF nie potwierdzają wyjątkowości obecnej sytuacji.
W przypadku jakichkolwiek akcji cyberprzestępców wymierzonych w klientów banków przydatne są standardowe zasady bezpieczeństwa. Przed potwierdzeniem transakcji kluczowe jest zweryfikowanie zgodności numeru konta, na które chce się przeleć środki z numerem, który jest w kodzie autoryzacyjnym przekazanym SMS-em. Tak jak zawsze, nie należy otwierać podejrzanych linków lub plików w otrzymanych wiadomościach e-mail i SMS. Nie powinno się korzystać z bankowości elektronicznej za pośrednictwem niesprawdzonych urządzeń lub połączeń (np. publicznej WiFi). Warto cyklicznie zmieniać hasło do logowania w systemie bankowości elektronicznej. Jeżeli zaobserwuje się nietypowe lub podejrzane działania, trzeba niezwłocznie zgłoś ten fakt do swojego banku.
Zdrowy rozsądek powinien towarzyszyć na co dzień nie tylko klientom bankowości elektronicznej, ale także osobom odpowiedzialnym za przekaz marketingowy dostawców oprogramowania antywirusowego.

Przeczytaj także:

58 komentarzy

Dodaj komentarz
  1. Czy tylko mi się wydaje, czy ten “groźny trojan” i tak jest bezużyteczny jeśli mamy weryfikację przelewu/każdej zmiany na koncie przez SMS? Jakich szkód może narobić przestępca? No offence, serio pytam.

    • Jak nie zauwazysz ze potwierdzasz nie swoja transakcje, to do wysokosci kwoty w sms (chyba ze operacja byl setup zaufanego odbiorcy – wtedy do wysokosci srodkow)

    • Chociazby taką że jeżeli masz dwa konta pod danym loginem, jedno w ojro:) drugie w zlotówkach, to może ci przelewać pieniądze z jednego rachunku na drugi az zabije Cie roznica rozliczenia EUR na PLN. Nic na tym nie zyska ale Cie pogrąży. Nie wiem jak w innych bankach ale w Alior w ramach przelewu własnego między kontami nie ma uwierzytelniania SMS.

  2. yhhh i jak zwykle nic o czym mógłbym poinformować rodzinę ;/ już czasami widzę że,gdy kolejny raz powtarzam zasady bhp korzystania z internetów bankowości online itp itd… to się nudzą ;x

    • Przestaną się nudzić jak im oszczędności znikną. Potwierdzone info.

    • przytocz im przypowieść o innowacyjnej usłudze play i jej wpływu na stan konta nieroztropnych w internetach

    • wpływie*

  3. Potwierdzenie transakcji z VISA (przynajmniej w Citi) niestety nie daje możliwości zweryfikowania poprawności transakcji. Cała treść SMS:

    Autoryzacja transakcji. Kod: 98765432. Citi Handlowy.

    Jak więc widać nie ma ani kwoty, ani informacji o odbiorcy – mimo, że te pojawiają się na stronie z potwierdzeniem. Próbowałem kiedyś zwrócić uwagę Citi/VISA na “ułomność” takiego sposobu potwierdzania, ale odbiłem się od ściany.

    • W takim razie powinni atakować klientów tego banku. Bank dodanie po 4 literach, bo w żaden sposób nie zabezpieczył przed atakiem

  4. 1) “Innowacyjna” jest skala – na moje 8 lat doświadczenia z atakami tego typu, byłby to największy, biorąc pod uwagę ilość platform bankowości elektronicznej.

    2) Wg. moich źródeł, jest to ponad 200 unikalnych platform (brandów instytucji finansowych, które za nimi stoją).

    3) Choć co do zasady, jest to atak na klientów tych banków, a nie na banki, to przyjęło się, że jako cel ataku wskazuje się bank – nie klienta.

    Wg. mnie, złośliwe oprogramowanie od lat posiada wystarczającego funkcje do realizacji marzeń czy urzeczywistniania wyobraźni przestępców. Nie oczekiwałbym i nie spodziewałbym się tutaj “innowacji”. Wszystko kręci się wokół aspektów socjotechnicznych z wykorzystaniem grafiki i tekstu w ramach możliwości właściwego systemu bankowości elektronicznej, które mogą nadużyć + ewentualnie odnalezionych powiązań z innymi systemami (patrz, dostęp do SMSów klientów Play przez ich usługę).

    • W opisach które czytałem twierdzono że innowacyjność polega na sklejeniu dwóch różnych rodzin malware – Nymiam znanej z obfuskacji kodu (ale normalnie działającej jako ransomware) i Gozi ISFB służącej właśnie do ataków na bankowość internetową.
      Tutaj eset opisuje działanie Nymiama: http://www.welivesecurity.com/2013/08/26/nymaim-obfuscation-chronicles/

    • Dzięki za info.

      Z perspektywy potencjalnego obrońcy i jego warsztatu narzędzi, mix dwóch rodzin malware nie ma istotnego znaczenia, może mieć znaczenie przy wyłuskiwaniu konfiguracji bot’a.

      Kluczowa jest tutaj informacja o dodaniu do grupy banków komercyjnych, banki spółdzielcze. Zwraca uwagę na to, że zagrożenie już nie jest za rogiem, a stoi w drzwiach.

  5. W przypadku rady a dokładniej punktu 2 odpada ING. Nie potrafią wysyłać kodu jednorazowego do potwierdzenia każdego zdarzenia. Wysyłają na podstawie super tajnego algorytmu. Inne banki które znam są na szczęście “zacofane” i trzeba kodem potwierdzić każde zlecenie.

    • ING ma bardzo nowoczesny algorytm. /dev/urandom się nazywa. Nie wymagał kodu przy przelewie na kilkanaście tys, ale za to przy przelewie na 60zł owszem. Pytałem kilka razy też o drugi tajny algorytm który wymaga wpisywania pinu przy płatnościach zbliżeniowych bo zastanowiło mnie dlaczego to się uaktywniło przy kwocie 30zł, ale ponieważ jest tajny to jest tajny i basta. Security by poverty.

    • A gdzie (do kogo) robiłeś te przelewy na kilkanaście tysięcy złotych? Wiesz, że dla banku często mniejsze znaczenie niż wysokość kwoty przelewu (w przeciwieństwie do Ciebie) ma większe znaczenie reputacja rachunku docelowego. Jeśli celem była zaufana instytucja, która często otrzymuje przelewy i nigdy nikt się na nią nie skarżył, a w dodatku ma konto w tym samym banku, to odpowiednia analiza ryzyka mogła wykazać, że nie jest to transakcja podejrzana (a nawet jeśli zgłosiłbyś reklamację, nie byłoby to dla banku dużym problemem, rozwiązać sprawę bez szkody). Teraz popatrz na efekt skali (szybkość, brak opłat za SMS). Wszystko jest słupkiem w czyimś Ecxelu. Siedzę na koniu.

    • Przelewałem sam do siebie w innym banku kilkanaście tyś i nie żądało smsa. Dokładnie to samo zrobiłem z innym bankiem na 60zł i zabezpieczenie zadziałało. Oba przypadki podobne, tylko banki inne. Do obu było wcześniej zlecenie stałe. Można powiedzieć że doświadczenie prawie in vitro. Bardzo często trafia się że bank marudzi przy drobnych kwotach i nie marudzi przy dużych a robię w miesiącu kilkanaście przelewów na te same konta. ING nie chce mi powiedzieć na czym polega algorytm i prawdę mówiąc chciałbym go włączyć na stałe dla *wszystkich* transakcji =>100zł ale się nie da. I w ten oto sposób mam dziadowskie zabezpieczenie o nieokreślonych zasadach działania które jest “bezpieczne” na słowo harcerza.

      Oczywiście ze w środku może być jakieś AI. Ale do czasu kiedy bank to ujawni, właściwą hipotezą jest urandom i tak należy to traktować, czyli brakiem zaufania.

    • Ja o to kiedyś pytałem. Dostałem informację, że część transakcji jest rozpoznawana jako zaufana i wtedy kod jest niewymagany. Ale od czasu, do czasu, losowa, pojawia się żądanie kodu. Poza tym, z tego co pamiętam, przy niektórych transakcjach na duże kwoty pojawia się konieczność dwukrotnego wpisania kodu (przychodzą dwa SMS-y).

    • Chyba troszkę przesadzasz.
      Sporo robiłem od nich przelewów i system jest całkiem szczeny.
      Do tego stopnia że jak zrobisz coś dziwnego śląc pieniądze na nieznane konto to odrazu reaguje paranoją w postaci drugiego sms.

      Tak samo jak ciągle śle na te same konta to sie uczy i nie płacze.
      ALe jak nagle poszła dużo większa kwota albo dwa przelewy tego samego dnia był sms.

      Co więcej jak kontrahent zmienił sposób rozliczeń i nie zgadzały sie dane kontr. z kontem (konto innej firmy niż w danych) to od razu były smsy.

      Czasem sms za każdym razem jest gorszy niz taki system.
      On jest nieupierdliwy i dla tego jak dostaje sms to mi sie chce sprawdzić.
      Jak masz zrobic 30przelewów i każdy z smsem to z dużą dozą prawdopodobieństwa zaczynie się sprawdzanie po łebkach :D

      A to co napisałeś o małych kwotach bez sms.
      Cóż najbardziej idiotyczne rozwiązanie. Wyczyszczą Ci konto w kilkanaście minut z dowolnej kwoty biorąc po 100. A sms nie przyjdzie.
      Wszystkie systemy rutynowe mają wadę w postaci przyzwyczajenia że wszystko gra.
      Owszem jak ktoś robi naście przelewów mc to nie problem.
      Ale jak ktoś robi dziesiąt dziennie?
      Są firmy gdzie jest pracownik do przelewów….
      Obserwacja jego pracy pokazuje że system ing nie jest wcale głupi.

  6. a może to takie “dzień dobry” od następców tych co tinby rozsyłali, przejęcie schedy po kolegach i wysłanie sygnału do innych mafii że teraz oni będą się tu bawić i w Polsce już nie mogą robić interesów :D

  7. Nic nowego. News służy głownie do zastraszenia klientów banku, jak i użytkowników Internetu. Rząd chce wprowadzić znowu małymi kroczkami wiadomo co :)

    • Ale wiesz ze to już nudne takie pisanie wszędzie o rządzie?
      Znam przypadki gdzie wyparowały pieniądze z kont i to spore pieniądze. Chcesz pogadać o rządzie z tymi ludźmi?

  8. Poza tym istnieją jeszcze inne sposoby np. poprzez przelewy wewnętrzne (nie wymagające potwierdzeń sms) w firmie które opłacają zamówienia zlozone np. w sklepie internetowym.

  9. Pan Marcin Spychala siejacy ferment w mediach nie jest analitykiem x-force a sealesem trusteera. Media zrobily burdel, pelikany lykna. A niebiescy jak zwykle “pionierzy IT” beda wciskac kit nieswiadomym klientom.

  10. Najśmieszniejsze w tym wszystkim jest to, że o atakach, które rzeczywiście są groźne nigdy w mass mediach nie usłyszymy. Liczą się tylko te, na których komuś zależy żeby je nagłośnić.

  11. 1. Po pierwsze trzeba używać mózgu. Większość prób włamu jest tak oczywista, wystarczy tylko dobrze patrzeć co się robi. Zdumiewa mnie lekkomyślność ludzi przy operacjach w e-banku, a przecież często chodzi o cały dorobek życia.
    2. Nie stosować jednego urządzenia do obsługi i autoryzacji, czyli przelewy robić na PC, a token lub sms na komórce lub tokienie sprzętowym. Osobiście z bankowości mobilnej korzystam tylko do sprawdzania salda i historii, a limit przelewów mobilnych mam ustawiony na zero. Prawdopodobieństwo złamania jednego urządzenia nie jest już takie małe, ale dwóch, szczególnie z różnych parafii (PC na WIN i telefon na Andku lub iOS) jest znikome.
    3. Najbezpieczniejsze są tokeny zwrotne, czyli np. aplikacje w telefonie lub tak zwane sprzętowe “kalkulatory”, w których najpierw trzeba wpisać kod wygenerowany przez stronę banku, który pozwala aplikacji sprawdzić, czy w ogóle pochodzi on z banku, a dopiero później generowany jest kod zwrotny do zatwierdzenia transakcji. W przypadku SMS istnieje ryzyko, że nie zauważy się, że kod dotyczy przelewu na inne konto (złodzieja), w przypadku tokena zwrotnego aplikacja lub urządzenie od razu rozpozna fałszywkę (BTW, aplikacja złodzieja nie będzie w stanie nawet wygenerować poprawnego kodu dla tokena, bo nie będzie miała specjalnego klucza generowanego jednorazowo w momencie tworzenia tokena).

    • O tokenach RSA już kiedyś było ;)

  12. A mnie ciekawi, dlaczego w niektórych wypowiedziach antenowych jakiś szczególny nacisk bierze się na rozmiar ataku wśród banków spółdzielczych. Nie próbuję kogoś wybielać, ale dzięki “wspaniałej” rekomendacji D poziom zabezpieczeń w BS-ach też musi być jak wśród innych banków komercyjnych. Chyba, że ktoś próbuje przemycić iż BS-y są zacofane, lub co gorsza iż takimi są Klienci BS-ów a to już nieładnie… Zresztą jeśli tak to ma być przedstawione w czyimś zamiarze, to ciekawe który bank komercyjny daje każdemu użytkownikowi bankowości elektronicznej dedykowany komputer i łącze do korzystania z niej. A w takim sensie niestety już zaczynają się pojawiać wpisy na niektórych “portalach informacyjnych”…

    • 1) Ja również to podkreślam, bo to jest coś nowego – wycelowanie w spółdzielcze. [patrz moje pozostałe komentarze pod postem]

      2) Rekomendacja D ma niewiele wspólnego z atakami z wykorzystaniem malware – zależy od interpretacji. Pod malware podchodzi inna regulacja o bezpieczeństwie płatności w kanałach elektronicznych z Europejskiego Banku Centralnego.

      Nie mnie oceniać bezpieczeństwo danej grupy banków czy konkretnego banku. Jestem zwolennikiem podziału 50/50, pomiędzy bankiem, a klientem – względem tego co mogą i co powinni zrobić by atak nie zakończył się sukcesem.

  13. A ja mam prośbę do niebezpiecznika. Ja wiem że to blog, nie gazeta, ale profesjonalniej będzie jak zrobicie 2 zdania, o tym jak to PL IBM nie podał o co kaman i stąd powołujecie się na angielskie źródło.

    Ewentualnie rozpiszcie się na 2 posty w jednym opisując jak podawać notatkę prasową.

    Masturbacja intelektualna fajna jest, dla piszącego. Ja czytając mogę się w hejt na niebieskich pobawić teraz, ale jak chcę informacji to mam pół niepotrzebnego mi artykułu.
    Dziękuję i pozdrawiam

    • Chwila. IBM PL w swojej notatce wskazał artykuł z analizą (bardziej techniczną) anglojęzyczną. Mam wrażenie, że wpis jest po edycji i nie widzę klikalnego linka, natomiast jest informacja gdzie znajduje się więcej informacji.

      Czy czasem niektórzy czytelnicy/redaktorzy nie przesadzają tym linczem firmy IBM? – tutaj o tym o czym nie przeczytacie ani na stronie IBM’a ani na niebezpieczniku: http://blog.whitecatsec.com/2016/04/goznym-komentarz.html

  14. Nie w temacie, ale paypal przy błyskawicznym doładowaniu zmienił dostawcę z BlueMedia na Trustly. Blue Media działał na zasadzie błyskawicznych przelewów a logowanie następowało przez stronę banku. Trustly za to każe wpisywać dane do logowania na swojej stronie (coś jak Sofort, o którym kiedyś pisaliście). Nie wydaje mi się to bezpieczne i może napiszecie coś na ten temat?

    • Właśnie o tym czytam, bo Twój komentarz mnie zaciekawił. Pewien artykuł o Trustly wspomina przede wszystkim o głównej różnicy między USA a Europą w kwestii płatności online – Amerykanie są przyzwyczajeni do kart kredytowych i to właśnie za ich pomocą (podając ich kompletne dane autoryzacyjne) płacą w Internecie, zaś Europejczycy płacą właściwie tylko kartami debetowymi lub gotówką, nie lubią kart kredytowych, i za zakupy online płacą przelewami internetowymi z konta bankowego (i nie chcą podawać swoich danych dostępowych sprzedającemu). Trustly czy Sofort zdaje się próbują oferować ludziom “automatyzację” obciążeń konta bankowego aby taki proces przypominał bardziej ten znany z autoryzowania obciążeń kart kredytowych przez internet w USA. Dajesz takiemu Trustly czy Sofortowi swoje dane dostępowe aby ten w twoim imieniu zlecał przelewy… Wydaje mi się, że to wariactwo – przecież oszustwa na autoryzacji kart kredytowych łatwiej wykryć, łatwiej podważyć i reklamować transakcje w banku, dlatego Amerykanie mają mniejsze opory przy podawaniu danych karty. A podważenie czy zareklamowanie przelewu, gdy daliśmy dane dostępowe Sofortowi czy Trustly zapewne graniczy z cudem.

  15. Polski oddział IBM a fachowcy od security ROTFL …. tam już po ostatnich czystkach pracują tylko IdiotsBecameManagers plus sprzedawcy bez żadnej wiedzy na temat tego czym handlują ….. wszyscy specjaliści już dawno się stamtąd ewakuowali

    • True

    • Można gdzieś o tym poczytać? Znajomy z IBM twierdzi coś innego.

    • I ten pełen profesjonalizm Wielkiego Niebieskiego napiętnował właśnie Związek Banków Polskich wskazując na złamanie zasady odpowiedzialnego komunikowania:
      https://zbp.pl/dla-konsumentow/bezpieczny-bank/aktualnosci
      Kolejny raz dochodzę do wniosku, że ten Blue jest Big chyba dzięki jakiemuś erektonowi.

  16. O ile to byl GozNym(objawy się zgadzają) to mam potwierdzony atak na BS w R (początek kwietnia). Na szczęście przelew na ok 20K PLN udało się w porę zablokować – czujność księgowej.

    • Configi miały się zmienić tydzień temu dopiero.

    • Poprawka: 24, 25 marca do komputera dostały się:
      https://virustotal.com/pl/file/b8baec3ea598d97e381a0cb84cbac54238ac891a907af888fae104c298a509de/analysis/1461677080/
      https://virustotal.com/pl/file/5590b0e9ffd6c87a88239930c518a4e6459135c4ab06b0ce83111a5d399e9da8/analysis/1461677260/
      29.03 było udane zlecenie wykonania przelewu ale zablokowane przed opuszczeniem banku. Odbiorca obywatel UA.
      Może po udanych takich atakach zostały dopisane nasze banki do listy?

    • @Piotr Konieczny: A więcej niż tydzień temu nie było żadnego BS w konfiguracji?

    • IBM w dotychczasowych wypowiedziach sygeruje ze ten malware do tygodnia wczesniej nie atakowal polaków w ogóle.

    • Różnica pomiędzy malware (typ oprogramowania), jego konfiguracją (webinjectami-webfake’ami), kampanią, w której został użyty, a która jest wskazywana przez IBM może zrobić dużą różnicę. Byłbym bardzo ostrożny w ocenie prawdopodobieństwa czy to “ten” GozNym zaatakował klienta wspomnianego BS w R czy to “inny” GozNym czy jeszcze coś innego. Informacja, na którą się powołujesz to wg. mnie za mało by to oceniać.

    • Dla zainteresowanych: mam kopie systemu (cały dysk) w kilka godzin po włamaniu. Oryginał na policji.

  17. Sedno sprawy to 200 banków z Polski a nie to czy ktoś używa modyfikacji ISFB czy innego trojana i jak dużo spamu rozesłał bo to wydaje mi się wtórne. Chyba jest oczywiście że niezależnie od wykorzystywanego trojana i intensywności kampanii w jej początkowych stadiach i tego czy jest to przypadek jednorazowy czy nie (nie wydaje mi się) to wymienione czynniki nie mają dużego znaczenia dla sukcesów z perspektywy przestępców.
    IBM robi to co każda korporacja może zatrudnili czyjegoś kuzyna na decyzyjnym szczeblu w dziale PR ale to chyba nie powód żeby bagatelizować całą sprawę bo tak mówią banki.
    Ostatnie w sumie cykliczne i dochodowe jak się okazuje kampanie też były przedstawiane w bardzo miękki sposób. Sądzę że w tym przypadku może być podobnie.
    Po jednej stronie mamy jajogłowych wszystkowiedzących speców po drugiej ludzi którzy chyba mają olewczy stosunek do wszystkiego, biorą jakieś proste trojany, tworzą jakąś do pewnego stopnia zorganizowaną społeczność z podziałem odpowiedzialności, rozsyłają spam i zarabiają krocie gdy ci pierwszy wydają krocie na rewolucyjne rozwiązania i uspokajanie atmosfery.

  18. 1 kwietnia w PL pojawia sie kilka razy. No cóż taki kraj. Obserwowałem wylew tej bzdury od rana w tzw. mediach, tv, radio, witryn maści wszelakiej. Ręce opadają, jak bezmyślnie TA informacja została powielona. Myślenie – niestety, to zanikającą cecha wśród tzw. obywateli. Żenada. PS. Towarzystwo wzajemnej adoracji z IBMa – jak coś walicie do netu, to zastanówcie sie chociaż 30 sek. Nie bedzie później tak bolalo….

  19. Ma to coś wspólnego:
    Informujemy, że z przyczyn technicznych mogą wystąpić problemy z autoryzacją operacji kartami płatniczymi w internecie przy użyciu 3-D Secure. Przepraszamy za niedogodności. Bank Pekao S.A.

  20. Innych się czepiacie, a sami jabłkowe produkty reklamujecie przy każdej nadarzającej się okazji.

  21. Witajcie

    Uprzedzam jestem laikiem ale powiedzcie proszę co daje zalogowanie się do banku? Przecież zawsze są smsy, tokeny czy cokolwiek Wyjąwszy to, że jak przyjdzie mi sms z prośbą o wklepanie kodu autoryzacyjnego a ja nie robię w danym momencie przelewu to nie wklepię bo niby gdzie? Sam haker też nic nie przeleje z konta, co najwyżej na zaufane rachunki nie wymagające kodu no bo przecież smsy autoryzacyjne przychodzą do mnie, więc o co chodzi? No chyba, że to prócz danych do bankowości jakimś cudem przekierowywane są smsy z kodami na telefon atakującego?

    • Patrz komentarz wyzej:

      na przyklad:
      Chociazby taką że jeżeli masz dwa konta pod danym loginem, jedno w ojro:) drugie w zlotówkach, to może ci przelewać pieniądze z jednego rachunku na drugi az zabije Cie roznica rozliczenia EUR na PLN. Nic na tym nie zyska ale Cie pogrąży. Nie wiem jak w innych bankach ale w Alior w ramach przelewu własnego między kontami nie ma uwierzytelniania SMS.

    • Chociażby zobaczy jakie masz zdefiniowane płatności, polecenia stałe i zaufane osoby (rodzina, sklep gdzie często kupujesz itp.) i przygoduje maila z danymi, o których myślisz, że tylko Ty je znasz wię łatwo się na to złapiesz. To samo ze znajomymi i rodziną, których dane masz zapisane na koncie jako zaufane, lub w historii transakcji – łatwo dadzą się nabrać na mail “od Ciebie” z informacjami znanymi tylko Wam.
      Coś np. takiego “Cześć, pamiętasz ten przelew z zeszłego tygodnia, który miałeś mi przysłać za rezerwację biletów. Nie doszedł a ja potrzebuję PILNIE trochę kasy. Przelej to jeszcze raz na konto gościa, od którego właśnie kupuję laptopa/aparat/łotewer (to prawdziwa okazja za pół ceny!) a jak Twój poprzedni przelew dojdzie to się rozliczymy i Ci go odeślę”.
      Chciałbyś, żeby ktoś naprawdę znał Twoje tajemnice i je wykorzystał przeciwko Tobie?

  22. Lokalny DNS Poisoning + dodanie wlasnego Root Certa zeby zweryfikowac certyfikat EV wedlug mnie moze nie jest rewolucyjnym sposobem, ale polaczenie tych obydwu technik naraz jednak nie bylo dotychczas (czesto?) spotykane.

  23. Czy mam przeinstalować Windows?

    • Have you tried turning it off and on again?

  24. GozNym C2 IOCs: “ip_rep_all.txt”, 59[.]116[.]23[.]197 106[.]232[.]252[.]86 19[.]47[.]79[.]242 165[.]203[.]213[.]15 185[.]38[.]68[.]7 21[.]221[.]249[.]200 228[.]26[.]91[.]81 33[.]38[.]160[.]238 19[.]47[.]79[.]242 185[.]38[.]68[.]7 21[.]221[.]249[.]200 228[.]26[.]91[.]81 33[.]38[.]160[.]238 106[.]232[.]252[.]86 120[.]90[.]46[.]148 146[.]155[.]144[.]91 165[.]203[.]213[.]15 21[.]45[.]165[.]216 9[.]230[.]210[.]22 wlefihdmss[.]com npmuzz[.]com kcrznhnlpw[.]com pjhwvateyxy[.]com ssksxalx[.]com humzka[.]com sexklfcsqwar[.]com mbcqjsuqsd[.]com kcrznhnlpw[.]com npmuzz[.]com pjhwvateyxy[.]com humzka[.]com krlsloeohxex[.]com mbcqjsuqsd[.]com npmuzz[.]com krlsloeohxex[.]com mbcqjsuqsd[.]com ssksxalx[.]com humzka[.]com www[.]ytugctbfm[.]com ytugctbfm[.]com mlvrkarzbg[.]com ibfvpi[.]com jiupjod[.]com wlefihdmss[.]com kcrznhnlpw[.]com pjhwvateyxy[.]com npmuzz[.]com ssksxalx[.]com www[.]humzka[.]com humzka[.]com mbcqjsuqsd[.]com krlsloeohxex[.]com sexklfcsqwar[.]com uvflerpoqgj[.]com bnklaq[.]com chhbxra[.]com ykyru[.]com ssksxalx[.]com npmuzz[.]com humzka[.]com krlsloeohxex[.]com mbcqjsuqsd[.]com kcrznhnlpw[.]com pjhwvateyxy[.]com npmuzz[.]com ssksxalx[.]com krlsloeohxex[.]com humzka[.]com sexklfcsqwar[.]com mbcqjsuqsd[.]com npmuzz[.]com humzka[.]com mbcqjsuqsd[.]com ssksxalx[.]com krlsloeohxex[.]com mlvrkarzbg[.]com jiupjod[.]com ibfvpi[.]com wlefihdmss[.]com kcrznhnlpw[.]com pjhwvateyxy[.]com npmuzz[.]com ssksxalx[.]com krlsloeohxex[.]com humzka[.]com mbcqjsuqsd[.]com sexklfcsqwar[.]com npmuzz[.]com krlsloeohxex[.]com mbcqjsuqsd[.]com ssksxalx[.]com humzka[.]com ssksxalx[.]com npmuzz[.]com humzka[.]com krlsloeohxex[.]com mbcqjsuqsd[.]com kcrznhnlpw[.]com pjhwvateyxy[.]com npmuzz[.]com ssksxalx[.]com krlsloeohxex[.]com humzka[.]com sexklfcsqwar[.]com mbcqjsuqsd[.]com npmuzz[.]com humzka[.]com mbcqjsuqsd[.]com ssksxalx[.]com krlsloeohxex[.]com mlvrkarzbg[.]com jiupjod[.]com ibfvpi[.]com wlefihdmss[.]com kcrznhnlpw[.]com pjhwvateyxy[.]com npmuzz[.]com ssksxalx[.]com krlsloeohxex[.]com humzka[.]com mbcqjsuqsd[.]com sexklfcsqwar[.]com kcrznhnlpw[.]com npmuzz[.]com pjhwvateyxy[.]com humzka[.]com krlsloeohxex[.]com mbcqjsuqsd[.]com mbcqjsuqsd[.]com krlsloeohxex[.]com sexklfcsqwar[.]com ykyru[.]com chhbxra[.]com bnklaq[.]com mrjipg[.]com uvflerpoqgj[.]com fwcvujuwup[.]com apngwen[.]com jxpucmzwdl[.]com bfpqtkp[.]com ibjpb[.]com dgehow[.]com ewbyuppdwn[.]com mcwcly[.]com viestisete[.]com krlsloeohxex[.]com uvflerpoqgj[.]com chhbxra[.]com ykyru[.]com www[.]ytugctbfm[.]com ytugctbfm[.]com mlvrkarzbg[.]com ibfvpi[.]com jiupjod[.]com wlefihdmss[.]com kcrznhnlpw[.]com pjhwvateyxy[.]com npmuzz[.]com ssksxalx[.]com www[.]humzka[.]com humzka[.]com mbcqjsuqsd[.]com krlsloeohxex[.]com sexklfcsqwar[.]com uvflerpoqgj[.]com bnklaq[.]com chhbxra[.]com ykyru[.]com mbcqjsuqsd[.]com krlsloeohxex[.]com sexklfcsqwar[.]com uvflerpoqgj[.]com ykyru[.]com krlsloeohxex[.]com

  25. Niestety w przypadku potwierdzenia SMSem paczki przelewów, w jego treści nie znajdziemy informacji, która pozwoli nam zweryfikować gdzie przelewane są środki. I to jest niestety ból, a banki udają że problemu nie ma. :/

  26. Zdecydowanie pisze się “mało konkretny”!

  27. A jak wygląda sprawa podczas logowania przez bezpieczną przeglądarkę? Konkretniej chodzi mi o rozwiązanie firmy ESET, które po wejściu na stronę logowania do banku otwiera zabezpieczoną przeglądarkę. Czy to rzeczywiście skuteczne?

    • Niezbyt, zauważ, że przy podmianie w hosts – czyli zamiana IP adresu banku na adres IP serwera hackującego bezpieczna przeglądarka tak właściwie nic nie da. Przy obecnym stanie zabezpieczeń systemów Windows i braku spojrzenia przez producentów antywirusów na perspektywę penetracji systemów od strony ataku na hosts razem z eskalacją uprawnień administratora praktycznie codziennie wylecą nowe wirusy i… nowe poprawki. To gra jak w kotka i myszkę z hackerami, której szanse są 50/50 bardziej jednak po stronie hackerów / crackerów.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.