11:36
1/10/2012

* Jak działa ZeuS?

Jeden z czytelników proszący o anonimowość przesłał nam następujący opis 2 trojanów związanych z bankowością, które korzystają z socjotechniki do nakłonienia użytkownika do wykonania przelewu pod pretekstem albo testu albo zwrotu nielegalnie pozyskanych środków.

Jak dochodzi do infekcji ZeuS-em?

Atak w pierwszej fazie przebiega według typowego schematu. Klient infekuje swój komputer złośliwym oprogramowaniem po otwarciu niebezpiecznego pliku (np. załącznik do maila) lub w trakcie odwiedzania słabo zabezpieczonych stron internetowych (również tych niebudzących podejrzenia; stopień ich zabezpieczenia nie zależy od zamieszczonych treści, ale wyłącznie od profesjonalizmu administratorów). Infekcja nie jest widoczna do chwili zalogowania się na stronie bankowości elektronicznej banku, który znajduje się na liście w pliku konfiguracyjnym Trojana (np. Popularny_Bank_Polski_24).

Jak działa ZeuS?

Trojan Zeus p2p po zalogowaniu modyfikuje lokalnie na zainfekowanym komputerze klienta wygląd oryginalnej strony banku. W efekcie klient otrzymuje informację (rzekomo z banku) o tym, że w ramach testowania bankowości elektronicznej bank prosi o dokonanie przelewu testowego w kwocie X na rachunek XYZ. Komunikat jest podstawiony przez Trojana i nie pochodzi z banku, ale wymusza na kliencie, dzięki ww. socjotechnice, zatwierdzenie oszukańczego przelewu za pomocą używanego przez klienta sposobu autoryzacji.

Istotne, że ta metoda powoduje, iż nawet korzystając z zabezpieczeń typu kod SMS klient otrzyma w jego treści właśnie kwotę X i rachunek odbiorcy XYZ widniejące na zainfekowanym komputerze. Zatem jeśli klient uwierzy w oszustwo testowego przelewu, to treść nawet uważnie przeczytanej wiadomości SMS nie wzbudzi jego wątpliwości i podając przesłany kod zatwierdzi transakcję tracąc środki.

Trojan tuż po zalogowaniu sprawdza saldo na rachunku i kwota X jest najwyższą możliwą do wyprowadzenia z danego rachunku, natomiast konto XYZ należy do “słupa”, którego inni członkowie cyber-gangu zwerbowali w celu wyprowadzenia z systemu bankowego kradzionych środków w zamian za prowizję od wykonanej usługi.

Trojan Citadel

Trojan Citadel działa podobnie, ale różnica polega na tym, że po zalogowaniu modyfikacja wyglądu oryginalnej strony banku powoduje informację (rzekomo z banku) że na rachunek klienta wpłynęły środki pochodzące z przestępstwa. Bank rzekomo prosi o zwrot kradzionych środków, a nawet grozi konsekwencjami karnymi na wypadek braku współpracy i w celu ułatwienia transferu wypełnia za klienta dane do przelewu w wysokości kwoty X i rachunku odbiorcy XYZ.

Komunikat jest podstawiony przez Trojana i nie pochodzi z banku, ale wymusza na kliencie, dzięki ww. socjotechnice, zatwierdzenie oszukańczego przelewu za pomocą używanego przez klienta sposobu autoryzacji. Także w tym przypadku nawet najlepsze zabezpieczenia typu kod SMS, czy nawet JavaToken nie są w stanie wzbudzić wątpliwości klienta, który dał się już wprowadzić w błąd rzekomym przelewem zwrotnym.

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

17 komentarzy

Dodaj komentarz
  1. Nie mieści mi się w głowie, jakim cudem, ta druga metoda może mieć jakąkolwiek efektywność. Przecież to może działać jedynie na ludzi którzy faktycznie mają nielegalne wpływy na koncie, wszyscy inni zadzwonią do banku. Czyżby cyberprzestępcy okradali tych klasycznych?

    • Dlaczego ? Miałes na koncie 5 tys. Trojan modyfikuje lokalnie strone pokazując saldo 10 tys i dodaje podejrzany przelew na 5 tys. “Bank” zwraca sie o dobrowolny zwrot pieniędzy, 5 tys, które są na koncie – kiepskie ale pewnie część osób się nabierze.

    • To był by spory problem, od razu wpadłbym na allegro i kupił coś za nowe 5 tysiaków, w życiu bym takiej kasy nie oddał :) dopiero jak by wbili o 5 rano wydzierając mnie z łóżka – zastanowił bym się :D

    • Marcin – nikt by Cie rano nie budził – po prostu miałbyś debet na koncie :-)

  2. Testowy przelew? jakby mojego banku nie było stać na własnych testerów na co wskazywałaby taki mail, to po otrzymaniu go czym prędziej udałbym się do oddziału zmienić bank :P
    Najbardziej w tym wszystkich zawsze zaskakuje mnie że przy tego typu akcjach atakujący mówią ciągle o 1-5% powodzenia; taka liczba ignorantów jest zatrważająca.
    Swoją drogą ciekawe czemu czytelnik prosił o anonimowość, przecież Ameryki tu nie odkryto ;)

  3. Konto słupa kosztuje 1000 PLNów z tego co widziałem. Co zresztą można sprawdzić na tym całym pseudo andergrałdowym (byle gimbus może tam wejść i się fapować, że jest hakierem) polish hacker coś tam @ TOR. Jest to nieistotne, ale piszecie “do “słupa”, którego inni członkowie cyber-gangu zwerbowali” co mija się z prawdą :) Przykry jest powszechny dostęp, do tego typu usług… No ale jak się za to weźmą masowo debile to przynajmniej zostaną złapani :P

  4. Co to ten JavaToken?

  5. ja w sprawie pierwszej metody: kto normalny zgodzi się aby zrobić przelew testowy w wysokości równej dostępnemu saldu konta? Myślę że ta metoda byłaby idealna co najwyżej do otwarcia konta w innym banku (na nieświadomego słupa).

    • Wysokość przelewu nie jest równa saldzie tylko nieco niższa, co więcej – wirus aktywuje się tylko, jeśli saldo jest większe niż jakaś sensowna kwota – jeśli masz mało na koncie to sobie grzecznie czeka aż się pojawi jakiś większy wpływ i dopiero wtedy wykonuje atak.

  6. Do klienta przychodzi sms z rzeczywistą wartością kwoty przelewu, bo to bank wysyłka i potwierdza transakcje, jak sobie wyobrażacie, że w smsie od banku jest inna kwota ? Trojan jest na naszym kompie a nie w banku. Zadajcie sobie pytanie ile razy czytacie całe wiadomości sms od banku? Czy tylko przepisujecie kod?

  7. @Loszek: Przeczytaj uważnie. Tutaj nie jest opisana klasyczna podmiana numeru konta. Tutaj ofiara wysyła przelew na konto rzekomo testowe – ten numer konta nie jest zmieniany, ani podmieniany i zgodnie z całą transakcją – jest przesyłany w SMSie.

  8. […] dokładnie tych atakach pisaliśmy w szczgółach tutaj — problem nie dotyczy tylko banku Pekao, dlatego warto się zapoznać z tym opisem nawet […]

  9. […] […]

  10. […] * Jak działa ZeuS? […]

  11. Jak dzisiaj te trojany są tak zbudowane,że z łatwością oszukują ludzi, to za 10 lat same będą mogły przelewy robić.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: