ZeuS napada na bank

By | 28/02/2011

F-Secure radzi, jak ochronić się przed atakami na internetowe konta bankowe. Najnowsze zagrożenie dla korzystających z bankowości elektronicznej to „koń trojański” ZeuS, który oprócz komputerów atakuje również telefony komórkowe.

Media od kilku tygodni biją na alarm. Do Polski dotarł znany już za granicą ZeuS – złośliwy program, który wykrada dane dostępowe do kont bankowości elektronicznej. Nawet klienci banków stosujących dodatkowe zabezpieczenie w postaci haseł SMS nie są bezpieczni – ten trojan zaraża również telefony komórkowe, co umożliwia hakerom całkowite przejęcie konta i wyczyszczenie go z pieniędzy. Obecnie atakuje jedynie telefony z systemami operacyjnymi Symbian i BlackBerry, ale powstanie wersji na komórki korzystające z Androida i iOS (system operacyjny Apple, stosowany np. w iPhone’ach) jest prawdopodobnie tylko kwestią czasu.

Procedura jest prosta: wykorzystując luki w zabezpieczeniach komputera, ZeuS proponuje użytkownikowi zainstalowanie programu, np. powodującego przyspieszenie procesora – tak naprawdę zawierającego tylko szkodliwy kod. Po instalacji klient, wpisując adres strony banku, wchodzi na prawie identyczną stronę spreparowaną przez przestępców. Ci za jej pomocą wyłudzają nie tylko dane dostępowe, ale także numer i typ telefonu komórkowego, na który przesyłane są hasła SMS – pod pretekstem konieczności zainstalowania oprogramowania do korzystania z konta w telefonie. Nieświadomy niczego użytkownik instalując program umożliwia hakerom przechwytywanie haseł SMS i w konsekwencji pełną kontrolę nad kontem, które następnie jest czyszczone z pieniędzy z pomocą (często również nieświadomego) pośrednika.

– Klienci korzystający z kont elektronicznych muszą być świadomi zagrożeń czyhających na nich w Internecie. Niestety, pomysłowość i przebiegłość przestępców nie zna granic – komentuje Michał Iwan, dyrektor zarządzający F-Secure Polska. – Mimo tego oprogramowanie zabezpieczające dostępne obecnie na rynku jest wysoko zaawansowane w wykrywaniu nowych zagrożeń, i w połączeniu z przestrzeganiem kluczowych zasad bezpieczeństwa w sieci jest ono w stanie skutecznie ochronić nas przed cyber-atakami – uspokaja.

Laboratorium F-Secure przygotowało pięć kluczowych zasad, dzięki którym można uchronić swoje konto bankowe przed cyber-atakiem.

1. Zabezpiecz swój komputer. Wiele osób podłącza swój telefon do komputera, nie zdając sobie sprawy, że jest to najłatwiejszy sposób zarażenia swojej komórki złośliwymi wirusami i „robakami”. Należy korzystać z wysokiej klasy programów zabezpieczających, zapewniających całościową ochronę komputera przed zagrożeniami z zewnątrz. Najlepiej używać ich płatnych wersji, które mają zazwyczaj rozbudowane funkcje w stosunku do wersji darmowych.

2. Zabezpiecz swój telefon. Telefony, a zwłaszcza smartfony działające na nowoczesnych systemach operacyjnych (Android, Symbian, iOS, BlackBerry, Windows Mobile), są także podatne na cyber-ataki. Na szczęście dostępne jest też oprogramowanie zabezpieczające komórki.

Jednak zainstalowanie go to nie wszystko. Należy bardzo uważnie przyglądać się każdemu programowi instalowanemu na komórce i unikać wgrywania czegokolwiek z nieznanych źródeł. Dodatkowo należy pamiętać, że banki zazwyczaj nie wymagają instalacji dodatkowego oprogramowania na telefonach klientów.

3. Nie ufaj linkom. Należy zawsze samodzielnie wpisywać adres strony internetowej banku, lub zachować go w zakładce na swoim komputerze. Nigdy nie należy wchodzić na link do strony logowania się podesłany np. e-mailem, nawet jeśli wygląda on na wiadomość przesłaną przez bank – przestępcy często fałszują wygląd e-maili, by upodobnić je do oficjalnych wiadomości przesłanych przez bank.

4. Nie ufaj SMSom. Banki nigdy nie wysyłają SMSów z linkami do plików instalacyjnych. Dodatkowo zawsze należy sprawdzić, czy otrzymany link kieruje do domeny internetowej banku – w przypadku prób oszustwa przestępcy często wykorzystują adresy bliźniaczo podobne do domen banków, jednak różniące się od nich (czasami tylko jednym znakiem, więc należy zachować szczególną czujność!).

5. Włącz sprawdzanie certyfikatu online w telefonie. Większość nowoczesnych telefonów posiada funkcję sprawdzania certyfikatu online, którym podpisywana jest większość tworzonych aplikacji. Nieaktualny certyfikat programu wyklucza możliwość jego instalacji, a większość wariantów ZeuSa jest podpisana wycofanymi już certyfikatami.

W większości telefonów ta funkcja jest z definicji wyłączona, ale można ją łatwo aktywować w ustawieniach aparatu. Należy się skontaktować z producentem telefonu (np. dzwoniąc na infolinię), by dowiedzieć się, jak włączyć sprawdzanie certyfikatu online w danym modelu.

­- Stosowanie powyższych zasad w codziennym korzystaniu z komputera i telefonu powinno uchronić nas przed atakiem. Pamiętajmy jednak o aktualizacji oprogramowania zabezpieczającego, bo inwencja złodziei działających w Internecie powoduje coraz to nowe zagrożenia. Jeżeli mimo wszystko padniemy ofiarą ataku internetowego, należy bezzwłocznie zgłosić ten fakt na policję, a także do producenta programu antywirusowego – dzięki takiemu działaniu będzie łatwiej znaleźć „szczepionkę” na nowe zagrożenie i efektywniej chronić innych użytkowników – dodaje na koniec Michał Iwan.