Raz jeszcze o ataku Eurograbber czyli mobilnym skoku na banki

By | 11/03/2013

Raz jeszcze Terry Greer-King, główny dyrektor Check Point w Wielkiej Brytanii, który wraz z Versafe wykrył fałszerstwo Eurograbbera opisuje w jaki sposób skomplikowane złośliwe oprogramowanie działające zarówno na PC jak i urządzeniach mobilnych dokonało największego i najbardziej spektakularnego ataku w historii oraz jakie konsekwencje wywołał ten atak na płaszczyźnie bezpieczeństwa banków i ich klientów?

Atak wykonany za pomocą Eurograbbera, szacowany na 30 milionów funtów (47 milionów dolarów), został uznany za jeden z największych na świecie w całej historii „napadów” na bank. Biorąc pod uwagę, że suma ta została skradziona z 30 000 kont klientów 30 europejskich banków za pomocą złośliwego oprogramowania dedykowanego na komputery PC i urządzenia przenośne, z pewnością należy go uznać za jeden z najbardziej skomplikowanych ataków wszechczasów, które udało się wykryć.

Jednak najbardziej niepokojącym aspektem ataku Eurograbber było to, że potrafił on złamać zabezpieczenia banków polegające na dwuetapowym uwierzytelnianiu, co sprawiło, że z punktu widzenia banków wszystkie transakcje wyglądały w pełni legalnie. Dzięki temu Eurograbber pozostawał aktywny i niewidoczny przez długie miesiące, co pozwalało przestępcom wykradać coraz więcej pieniędzy. W jaki sposób Eurograbber był w stanie tego dokonać? I w jaki sposób banki i ich klienci mogą chronić się przed podobnymi atakami w przyszłości?

Kluczem do sukcesu Erograbbera było to, że hakerzy przeprowadzający atak mieli doskonałą wiedzę na temat tego, jak działają systemy bankowe dla kont firmowych i indywidualnych. Atak został wymierzony przeciwko dwuetapowemu procesowi uwierzytelniania, wykorzystującemu jednorazowe hasła przesyłane za pośrednictwem wiadomości SMS na urządzenia mobilne. Wirus przechwytywał te wiadomości i mógł wykorzystywać je do dokonywania transakcji.

Atak na dwa fronty

Hakerzy zaprojektowali dwuetapowy atak. Pierwszy etap polegał na zainfekowaniu komputera PC klienta banku i pozyskaniu danych za pomocą phishingu. Dokonywano tego za pośrednictwem e-maila ze złośliwym linkiem lub przez nakłonienie ofiary do kliknięcia w link podczas użytkowania przeglądarki internetowej. Przejście do adresu wskazanego przez odnośnik powodowało ściągnięcie i zainstalowanie na komputerze specjalnie dostosowanej do ataku wersji popularnego trojana Zeus. Wirus początkowo pozostawał uśpiony.

Gdy klient banku logował się do swojego konta bankowego, trojan przechodził w stan aktywny i uruchamiał fałszywą stronę internetową banku, zawierającą instrukcję do „aktualizacji” systemu bankowości online. Poza prośbą o podanie numeru konta oraz innych szczegółów, wirus wymagał podania danych związanych z urządzeniem przenośnym. Następnie strona informowała użytkownika, że w celu ukończenia procesu aktualizacji, kolejne instrukcje zostaną przesłane na urządzenie przenośne za pomocą wiadomości tekstowej.

Tutaj rozpoczynał się drugi etap ataku. Po otrzymaniu wiadomości tekstowej, która wyglądała tak, jakby została wysłana z banku klienta, użytkownik był proszony o kliknięcie w link w celu ukończenia „aktualizacji”. Powodowało to jednak ściągnięcie mobilnej wersji Zeusa (ZITMO) na urządzenie przenośne. Jeżeli użytkownik posiadał odpowiedni typ urządzenia – telefon Blackberry, Android lub Symbian – sprzęt zostawał zainfekowany.

Bez potrzeby fabrykowania numeru TAN

W ten sposób zamykał się proces infekowania komputera PC i urządzenia przenośnego użytkownika. Od tej pory za każdym razem gdy klient logował się do systemu bankowości online, wirus inicjował transakcję wykradającą pieniądze z konta. Trojan zainstalowany na PC rozpoznawał aktywność użytkownika logującego się do systemu i w niewidoczny sposób wysyłał żądanie do banku o przelew pewnej kwoty na  tajne konta hakerów.

Po otrzymaniu żądania, bank generował numer uwierzytelniający transakcję (TAN) i przesyłał go na urządzenie przenośne klienta. Wiadomość ta była przechwytywana przez trojana zainstalowanego na telefonie. Wirus następnie odczytywał numer przesłany w wiadomości SMS i odsyłał go z powrotem do banku w celu sfinalizowania nielegalnej transakcji.

Wszystkie te transakcje były całkowicie niewidoczne dla klientów, gdyż nie byli informowani o wiadomości SMS przesyłanej z banku. Z kolei dla banku operacje wyglądały jakby były przeprowadzone legalnie. Hakerzy pokusili się nawet o skonfigurowanie Zeusa tak, aby przesyłał określoną kwotę równą pewnej wartości procentowej salda konta, dzięki czemu atak pozostawał niezauważony przez dłuższy czas.

Bezpieczeństwo ma znaczenie

Jakie wnioski odnośnie bezpieczeństwa możemy zatem wyciągnąć patrząc na atak Eurograbber? Atak ten z pewnością doskonale poradził sobie z ominięciem dodatkowej formy uwierzytelniania polegającej na przesyłaniu haseł jednorazowych, która jest techniką bardzo często wykorzystywaną w Europie.

Mimo tego, że banki korzystające z innych metod uwierzytelniania nie były zagrożone tym atakiem, należy podkreślić, że wirusy mogą być zaprojektowane tak, by łamać konkretne techniki bezpieczeństwa oraz to, że hakerzy mają cierpliwość i zasoby by się tym zajmować. Zaledwie kilka lat temu kod wiodącego na rynku dwuetapowego systemu uwierzytelniania został skradziony, co prowadziło do poważnego ryzyka włamania. Pokazuje to, że żadna z technik uwierzytelniania nie jest w pełni bezpieczna.

Z drugiej strony należy zwrócić uwagę, jak ważną rolę w kontekście bezpieczeństwa bankowości online pełnią sami użytkownicy. Eurograbber w końcu wymierzony był w klientów banków, a nie bezpośrednio w banki. W związku z tym najlepszą ochroną przed możliwymi przyszłymi atakami jest upewnienie się, że klienci banków mają aktualną wersję systemów zabezpieczających dwa obszary – sieć, za pomocą której użytkownicy łączą się do banków, oraz komputery PC, których używają do korzystania z systemów bankowych.

Ochrona użytkowników

Warto powtarzać użytkownikom bankowości internetowej, że ich banki nigdy nie przesyłają emaili, o które wcześniej nie prosili oraz żeby nie odpowiadali na tego typu wiadomości, gdyż najprawdopodobniej jest to próba phishingu. Klienci banków powinni korzystać z aktualnej wersji programów antywirusowych i firewalli. Ceny nie stanowią tutaj problemu – istnieją darmowe rozwiązania, jak ZoneAlarm oraz wiele innych, które radzą sobie równie dobrze jak płatne wersje produktów. Tego typu oprogramowanie potrafi wykryć trojana Zeus zanim komputer użytkownika zostanie zainfekowany. Kolejną kluczową sprawą, o którą powinni zadbać użytkownicy w celu uniknięcia ataku, jest regularne instalowanie aktualizacji oprogramowania aby zachować najwyższą jakość bezpieczeństwa.

Jeżeli już dojdzie do zainfekowania komputera, Eurograbber będzie próbował połączyć się z serwerem kontroli i zarządzania (Command & Control – C&C) w celu dokończenia procesu instalacji wirusa i rozpoczęcia kradzież pieniędzy z konta klienta banku. Zainstalowanie firewalla spowoduje zablokowanie tej komunikacji, a aktualizacja programu antywirusowego i przeprowadzenie skanowania powinno wykryć i usunąć wirusa.

Podsumowując, nie ma idealnego rozwiązania aby chronić się przed atakami typu Eurograbber. Jest to kwestia bycia czujnym i upewnienia się, że rozwiązania dotyczące bezpieczeństwa po stronie banków i ich klientów są spójne i aktualne. Dbając o te dwa aspekty mamy całkiem spore szanse, że następne ataki cyberprzestępców nie odniosą sukcesu.