Nowy schemat działania bankowych koni trojańskich

Zeno

Bardzo aktywny
Fąfel
Dołączył
25 Grudnia 2012
Posty
3447
Reakcje/Polubienia
1583
Oddajmy głos seoskrybie:
Moi Rodzice padli ostatnio ofiarą cyberprzestępców. Sprawa jest w toku, ale ku przestrodze zamieszczam to, co udało mi się do tej pory ustalić.
Bank – BZ WBK
Opis sytuacji
1. Logowanie do serwisu bankowości BZ WBK:
a. wpisanie w pasku przeglądarki adresu bzwbk24.pl
b. przekierowanie przez Kaspersky Internet Security do okna bezpiecznej przeglądarki w Internet Explorer,
2. Wykonanie przelewu (w tym przypadku rachunek za Internet w Orange):
a. wybór stałego odbiorcy (Orange),
b. wpisanie kwoty przelewu,
c. zatwierdzenie transakcji,
d. odbiór sms kod -> wpisanie -> zatwierdzenie
3. Transakcja została wykonana poprawnie (po późniejszym sprawdzeniu historii, przelew o ządanej wysokości trafił na wskazane konto Orange).
I tutaj zaczynają się działania „niestandardowe”
4. Na stronie pojawia się okno do wpisania kolejnego kodu. Jednocześnie przychodzi sms o treści: „smsCode: 1559368 beneficiary modification 75105018231000009239641583 Orange Polska S.A”,
5. Po wpisaniu i zatwierdzeniu przychodzi kolejny sms (oczywiście na stronie pojawia się okno do wpisania kodu): „smsCode: 15622883 for operation: limit change 05.07.2017 17:22”. Kod zostaje przepisany i zatwierdzony.



RESUME:
Pierwsza operacja, przelew za rachunek z ORANGE, zostaje wykonany poprawnie. To, biorąc pod uwagę wcześniejsze schematy oszustw, na pewno usypia czujność.
Kolejne smsy zawiera w sobie hasło ORANGE POLSKA S.A. Być może imitują wiadomości proszące o ponowne wpisanie kodu.

Efektem jest:
a. wykonanie właściwego przelewu do ORANGE,
b. dodanie w panelu NOWEGO STAŁEGO ODBIORY przelewów z zaznaczeniem opcji „BEZ DODATKOWEGO POTWIERDZENIA SMS KODEM”,
c. zmiana limitu wysokości przelewu,
d. wykonanie dwóch przelewów w wysokości 5900 zł (razem 11 800 zł) na konto NOWEGO STAŁEGO ODBIORCY (bez zatwierdzania transakcji sms kodem).
Analizując opis ataku dochodzimy do następujących wniosków:

  • Komputer, z którego jest przeprowadzana operacja bankowa, musi być zainfekowany złośliwym oprogramowaniem potrafiącym modyfikować zawartość strony wyświetlanej użytkownikowi. Ofiara była na prawdziwej stronie banku – inaczej nie dokonałaby pierwszego przelewu lub nie pojawiłby się on w historii konta. Ostatnio nie brakuje kampanii w których złośliwe oprogramowanie jest rozsyłane użytkownikom (tylko dzisiaj faktury i DPD).
  • Narzędzie przestępców czeka, aż ofiara zaloguje się do banku i wykona jakikolwiek przelew.
  • Następnie tworzy w serwisie bankowym przelew zdefiniowany/zaufany, gdzie jako nazwę odbiorcy podaje nazwę odbiorcy poprzedniego, zleconego przez ofiarę przelewu (zabieg psychologiczny by zdezorientować ofiarę).
  • Zapewne wyświetla na ekranie przekonujący komunikat (np. „przelew nie został zrealizowany, przepisz kod jeszcze raz”) i wyłudza nowy kod jednorazowy, przepisany grzecznie przez ofiarę.
  • W kolejnym kroku ustawia maksymalny dobowy limit transakcji i po raz trzeci i ostatni prosi o przepisanie kodu (zapewne pod podobnym pretekstem).
  • Na koncie jest już zdefiniowany przelew zaufany, zatem przelewa maksymalną możliwą kwotę na konto słupa, z którego albo przelewa środki na giełdę BTC, albo słup wypłaca w bankomacie (najpopularniejsze scenariusze).
Do tej pory nie spotkaliśmy się z atakiem, gdzie złośliwe oprogramowanie wykorzystuje wcześniej wykonywany przelew do uprawdopodobnienia potrzeby przepisania kolejnych kodów jednorazowych
źr.:
Zaloguj lub Zarejestruj się aby zobaczyć!
 
Do góry