A Trusteer cég kutatói nemrég a hírhedt SpyEye kártevő egy újabb, veszélyes változatát fedezték fel. A legfrissebb, lopakodó e-banki fertőzést a cég által üzemeltetett Rapport védelmi rendszer leplezte le és az ott begyűjtött kódminták segítségével sikerült visszafejteni a két lépcsőből álló, sms-alapú támadás működési elvét.
Az új SpyEye-variáns különlegessége, hogy a mind több webes banki rendszer által alkalmazott sms-üzenet alapú, ún. egyszer használatos OOTP megerősítő kódok sem jelentenek akadályt a számára – így csak az ügyfelek ébersége, egészséges gyanakvása állíthatja meg a számlák kifosztásán munkálkodó hackereket.
Első körben a SpyEye is, ahogyan más kártevők pl. a Zeus teszi, webes „drive-by-download” letöltés vagy adathalász trójai levél-melléklet segítségével megfertőzik a számítógépet. Ezzel hozzáférést nyernek az esetleg a gépen tárolt érvényes hozzáférési azonosítókhoz és így lehetővé válik, hogy feltűnés nélkül bejelentkezzenek az áldozat e-banki fiókjába.
Az új SpyEye aktivizálódva a webes banki felületen megváltoztatja az sms-értesítésre, a tranzakciók megerősítésére szolgáló telefonszámot – amely innentől az áldozat elérhetősége helyett a hackerek által üzemeltetett néhány mobil valamelyikére mutat. A változás miatt azonban a bank rendszere megerősítést kér az ügyféltől: a régi számra biztonsági kódot tartalmazó üzenet érkezik, amelynek a weben történő beírása nélkül a hívószám-változás érvénytelen.
Ezt az akadályt a SpyEye fertőzés úgy kerüli ki, hogy illetéktelenül egy hamis e-banki oldalt illeszt az áldozat böngészőjébe (a Trusteer kutatói által megtalált kártevő-példány spanyol nyelven kommunikál a felhasználóval). A képernyőn megjelenő, megtévesztő üzenet lényege, hogy a csalások veszélye miatt a megszokott telefonszám helyett ezután egy újat kell használni a megerősítő üzenetek fogadására – az ehhez szükséges SIM-kártyát pedig postai úton fogja megkapni az ügyfél.
Az, aki bedől az átverésnek és önként beírja a banktól sms-ben kapott kódot a hamis oldalon, lehetővé teszi a hackereknek, hogy végleg átírják a megerősítő üzenetekhez használt telefonszámot – vagyis a továbbiakban mind az ügyfél, mind a bank biztonsági rendszere számára észrevétlenül manipulálhatják, leüríthetik, vagy akár hosszabb távon illegális tranzakciók végrehajtására használhatják fel az adott számlát.
Sajnos a hasonló módszerek ellen nehéz védekezni, mert a bankok érdeke, hogy a költséges személyes ügyintézés, illetve a nyomtatott, egyszer használatos kódkártyák kiküldése helyett a kényelmes mobilos és net alapú e-bankolás felé irányítsák az ügyfeleket. A műszaki és humán oldalt is támadó hackerek azonban képesek lehetnek egyszerre uralni a netes és a telefonos csatornát – így kijátszhatják akár az úgynevezett több-faktoros azonosításon alapuló biztonsági módszereket is.
Az e-bűnözést talán azzal lehetne megdrágítani, ha a bankok nem engednék, hogy egy hívószámra egynél több számla értesítései érkezzenek. A kiber-bandáknak így annyi SIM-kártyát kellene beszerezniük és üzemeltetniük, ahány felhasználót támadni próbálnak – egészen addig, amíg meg nem jelennek a fertőzött okostelefonokból álló botnetek, ahol a zombi-mobilok a viselőjük tudta nélkül fogadják és továbbítják majd a bankoktól érkező, eltérített OOBA ellenőrző üzeneteket.
Az ellen-intézkedések azonban a netes bűnözés gyors fejlődése ellenére sem haszontalanok, mert a hackerek egyik erőssége, hogy kevesen is nagyon sok áldozatot tudnak, igen gyorsan elérni. Bármi, ami műszaki vagy menedzsment szempontból bonyolítja, drágítja az alvilági munkát, emiatt hatékony eszköz lehet az e-bűnözés visszaszorítása érdekében – miközben a több tennivaló több hibázási és lebukási lehetőséget is jelent a rosszfiúk számára – tudósít a vírushiradó a The Register cikke nyomán.