Современные технологии банковских атак. Атака на iToken

В данном обзоре мы рассмотрим последние тенденции в реализации атак на пользователей Интернет банкинга. Мы рассмотрим наиболее популярные виды атак, а также проанализируем троянскую программы банкер, атакующую iToken клиента.

Анализ недавно задетектированного троянца Trojan-Banker.Win32.Delf.bz позволяет говорить о том, что злоумышленники и здесь не прочь применить технологии социальной инженерии для кражи данных аутентификации и получения доступа к банковскому счету.

Суть атаки заключается в том, что клиенту банка предлагается в обязательном порядке обновить iToken ПО при этом, как ни странно, требуется ввести свои данные аутентификации, а в завершении еще и одноразовые пароли с iToken брелока.

Таким образом, бразильские банкеры уже не атакуют напрямую сайты систем онлайн банкинга, защищенные специальными утилитами (атака Man-in-the-Browser (MitB ) ), а используют доверчивость пользователей и сложную систему двухфакторной аутентификации.

Напомню, что атака Man-in-the-Browser является частным случаем атаки Man-in-the-Middle (MitM) и подразумевает заражение браузера либо системы в целом на стороне клиента, при котором имеется возможность модифицировать страницы, содержание банковских транзакций или добавлять несанкционированные пользователем транзакции. Таким образом, злоумышленник при помощи троянской программы может изменить номер счета получателя и перенаправить денежные средства по своему усмотрению. При этом данная транзакция будет осуществлена с использованием данных аутентификации пользователя, в той же сессии и с того же компьютера, что затруднит банку отслеживание такого рода транзакций.

Для защиты от подобного рода мошенничества, используется процесс верификации банковских транзакций путем отправления пользователю уведомления о снятых со счета средствах. Однако, использование браузера под управлением троянца не гарантирует достоверность такой проверки, так как вредоносная программа может изменить отображаемые данные. Здесь весьма полезной опцией будет являться верификация out-of-band (OOB ), когда уведомление присылается через альтернативный канал без использования браузера или зараженной системы в целом. Одним из способов OOB верификации является подключение к услуге SMS-банкинга и использование мобильного телефона для получения уведомлений по операциям со счетом. В таком случае, вероятность компрометации обоих каналов одновременно практически равна нулю.

О других технологиях двухфакторной аутентификации подробно было написано в статье «Оборонные технологии онлайн-банкинга». Напомню только, что iToken брелок генерирует одноразовые пароли по определенному алгоритму, заданному банком. Для защиты от кражи или потери токена, многие модели генерируют очередной пароль только после ввода в них ПИН-кода.

Рассмотрим пример осуществления атаки на iToken, суть которой заключается в отображении фейкового запроса на обновление ПО. При запуске троянец отображает окно поддельной утилиты для обновления iToken Itau программного обеспечения:

Перевод сообщения на русский язык выглядит следующим образом:

Цитата:

Для вашей безопасности iToken Itau обновляет программу до версии 2.5

Обновление устранит возможные сбои в программе.

Для полной реализации процедуры обновления необходимо предоставить запрашиваемые данные.

Помните, что данное обновление является обязательным!

После чего предлагает ввести данные для аутентификации.

Затем отображается виртуальная клавиатура и пользователю предлагается ввести личный пароль.

Выбираем тип карты.

И наконец, требует ввести код c iToken.

В завершение, троянец имитирует процесс загрузки файлов с сервера itau.com.br.

В это время собранную информацию троянец рассылает на почтовые адреса злоумышленника. При этом процесс запроса одноразовых паролей с брелока повторяется неоднократно, что позволяет злоумышленнику насобирать некоторое их количество для проведения транзакций от имени пользователя.

Отметим, что «гонка вооружений» между киберворами и банками продолжается принимая все более необычные формы. Если раньше троянцы банкеры пытались противодействовать модулям защиты для Интернет браузеров, предлагаемые прямо на сайтах банков, то теперь мошенники перешли к использованию методов социальной инженерии. Примером тому является создание фейк утилит обновлений для сервисов Интернет банкинга.

Похожая ситуация происходит и в антивирусной индустрии. Об этом свидетельствует небывалый рост поддельных антивирусов, находящих вредоносный код в «чистой» системе и требующие оплаты за «лечение».

Следовательно невозможно создать 100% защиты пользователей систем, использующих многофакторную аутентификацию, потому как в данном случае слабым звеном выступает сам пользователь, поддаваясь хитроумным уловкам мошенников, либо интерфейс пользователь-компьютер, где данные вводятся и отображаются в открытой форме. Во втором случае банковские троянцы используют для сбора данных либо подставные элементы управления и формы на веб странице банка, либо устанавливают хуки на API вызовов на уровне операционной системы. Это может быть перехват данных, передаваемых криптопровайдеру (Encrypt/Decrypt), Windows сокетам в виде HTTP запросов (send/ WSASend/HttpSendRequest) и классический перехват клавиатурного ввода в формы банка (н-р, GetWindowText).

В итоге, единственный способ защитить клиента банка – гарантировать отсутствие троянских программ на системе пользователя. Этого можно достичь либо полной изоляцией системы от внешних каналов данных, либо установкой надежного антивирусного комплекса, хотя и здесь не все просто - многие банкеры уже снабжены инструментами отключения популярных антивирусов.