Bankowy trojan GozNym nie taki groźny, czyli jak IBM polskie media postraszył

Bankowy trojan GozNym nie taki groźny, czyli jak IBM polskie media postraszył

Bankowy trojan GozNym nie taki groźny, czyli jak IBM polskie media postraszył
26.04.2016 14:11, aktualizacja: 26.04.2016 15:46

Prawdziwa panika w popularnych serwisach internetowych: otonadciąga straszliwy atak hakerów, który wyciągnie wszystkiepieniądze z polskich banków (o ile jeszcze jakieś pieniądze tampozostały, po tych wszystkich wydatkach budżetowych). Wystarczyło,że IBM rozesłał prasówkę, ostrzegającą przed nowym trojanemGozNym, by przedstawiciel Związku Banków Polskich musiał zapewniać,że pieniądze klientów są bezpieczne.

Deklaracje ekspertów faktycznie mogą zaniepokoić, szczególnielaików. Atak, który obecnie obserwujemy w Polsce z wykorzystaniemmalware o nazwie GozNym, jest pod pewnymi względami szczególny ioznacza, że Polska dołączyła do niespecjalnie elitarnego klubukrajów, które będą najczęściej atakowane przez cyberprzestępców– ostrzegał Marcin Spychała z zespołu IBM X-force w wywiadziedla Polskiej Agencji Prasowej. GoZnym miał być otóż wyposażony wschematy ataku na 17 banków komercyjnych i ponad 200 bankówspółdzielczych – a wcześniej działając w USA poradził sobie z24 bankami amerykańskimi, z których wykradł 4 mln dolarów.

Co gorsze, szkodnikiem sterowano z samej Moskwy, a klientówbanków nie ratowała nawet słynna „zielona kłódeczka” –otóż GoZnym miał przekierowywać połączenia na stronęphishingową już po zweryfikowaniu certyfikatu z oryginalnej strony,tak że komunikacja była kontynuowana pomiędzy komputerem witrynya stroną cyberprzestępców. Jak więc zabezpieczyć się przedutratą oszczędności, które jakże roztropnie przechowujemy nakoncie w banku?

Przede wszystkim nie panikować. Nie wiemy, dlaczego IBM X-forcezdecydował się na taką formę ostrzeżenia, ale wiemy, że GoZnymzostał w pewnym sensie wymyślony na potrzeby publikacjina oficjalnym blogu SecurityIntelligence. Innowacyjny mechanizmprzekierowania znany był już od kilku miesięcy. Ekspertcyberbezpieczeństwa Pablo de la Riva Ferrezuelo z należącego dokonsorcjum Deloitte startupu buguroo, twierdził, że GozNym topołączenie dobrze już znanych trojanów Nymaim i Gozi, zwykorzystaniem elementów wcześniejszej wersji słynnego bankowegorabusia, Vawtraka. Swoboda wymiany kodu wśród twórców malwaresprawia, że rzadko kiedy pojawia się coś naprawdę nowego, wwiększości wypadków mamy z rekombinacjami dobrze znanych zagrożeń.

Scenariusz ataku z bliska

Z przedstawionych przez zespół IBM informacji wynika, że atakprzekierowujący tego trojana składa się z dwóch etapów. Pierwszyz nich to wstępne przekierowanie z wyświetleniem maskującejwarstwy. Rozpoczyna się on w momencie wejścia na stronę jednego zzagrożonych banków – trojan wysyła wówczas użytkownikowiodpowiednią sfałszowaną stroną. Wygląda ona całkiem dobrze, maswoje kłódeczki i prawdziwy adres. Jednocześnie do banku wysyłanajest sekwencja wywołań empty/idle, mająca podtrzymać połączenieSSL.

Wyświetlona na komputerze ofiary fałszywa strona pokryta jestpustą nakładką. To stara sztuczka z pustym elementem divrozciągniętym na całą stronę, której celem jest ukryciezłośliwego kodu przed tymi, którzy chcieliby podejrzeć kod stronyw przeglądarce. Skrypt przekierowujący, sfałszowana strona i jejnakładka pobierane były z serwerów dowodzenia i kontroli.

Drugi etap polegał na usunięciu nakładki i pokazaniu ofierzezawartości sfałszowanej strony. W tym celu usuwano za pomocą koduw JavaScripcie pobranego z serwera wspomniany element div,odsłaniając ofierze panel logowania. Po zalogowaniu do fałszywejwitryny, trojan wstrzykiwał na stronę adekwatny komunikat zinformacją o konieczności czekania, a jednocześnie odpytywałserwer dowodzenia i kontroli o dodatkowe skrypty, pozwalającewydobyć kolejne informacje od użytkownika. Najczęściej chodziłotu o podanie kodu jednorazowego, aby np. otrzymać darmoweubezpieczenie. Gdy klient przepisywał kod z SMS-a, nie czytającjego opisu, szkodnik robił przelew na inne konto lub definiowałprzelew zaufany.

Jak to się roznosi?

Tego właśnie nie wiemy. Jeszcze bardziej nie wiemy, dlaczego IBMX-force, który przecież miał dokładnie zbadać trojana GozNy, nieprzedstawił w swojej publikacji wykorzystywanych schematówwyłudzenia kodów jednorazowych – grafiki ostrzegłybyużytkowników znacznie skuteczniej, niż słowa ekspertów.

Wiele wskazuje na to, że wektorem infekcji są jak zwykle głupiee-maile od rzekomej poczty czy komornika, zawierające bądź toprzekierowania na strony z malware, bądź załączniki. Kilka dnitemu dostaliśmy od „poczty polskiej” taki załącznik zip zukrytym w środku .exe, który po uruchomieniu dziś w maszyniewirtualnej faktycznie coś zaczął robić po wejściu na stronęjednego z większych polskich banków – ale nie ukończyłładowania fałszywej strony (niewykluczone, że już coś się stałoz serwerem dowodzenia i kontroli).

GoZnym nie jest to więc szczególnie groźny. Na pewno zaś nienależy bić piany o „zaatakowanie przez hakerów ponad dwustupolskich banków”.

Jak bezpiecznie e-bankować?

Zabezpieczyć się przed tym, i przed innymi bankowymi trojanamijest dość łatwo. Zasady są trzy:

  1. Do banku logujcie się z komputera, który ma zaktualizowany system operacyjny. To jednak nie wystarczy. Należy mieć też aktualną wersję programu antywirusowego. To jednak wbrew pozorom też dziś już nie wystarczy. Co można więcej? Wygląda na to, że przed współczesnymi trojanami bankowymi dobrze chronią wyłącznie izolowane od reszty systemu specjalne przeglądarki internetowe. Taką przeglądarkę o nazwie SafeZone znajdziecie w pakiecie antywirusowym Avast. Ma ona tę zaletę, że od niedawna dostępna jest za darmo. Możecie pobrać ją z naszej bazy oprogramowania.
  1. Czytajcie treść powiadomień od banków wysyłanych SMS-ami.Oprócz kodów jednorazowych zawierają one też odbiorcę i końcówkęnumeru konta. To powinno wystarczyć do zweryfikowania transakcji.
  1. Na telefonie służącym do odbierania kodów jednorazowych nieinstalujcie zbytecznego oprogramowania, nawet w Google Play mogą sięznaleźć trojany. Na pewno zaś nie instalujcie tam niczego zchińskich sklepów – szkodników wykradających informacje jesttam całe zatrzęsienie.
  1. Zaawansowani technicznie użytkownicy mogą zastanowić się nad stworzeniem maszyny wirtualnej z Linuksem (np. Ubuntu), wykorzystywanej wyłącznie do celów bankowości elektronicznej. Darmowy hiperwizor VirtualBox pozwoli na uruchomienie takiego bezpiecznego systemu w okienku Windowsów, ale w całkowitej izolacji od nich. Wówczas nawet jeśli komputer zostanie zainfekowany, w niczym to nie zagrozi linuksowej przeglądarce internetowej, w której otwieramy stronę banku.

Programy

Zobacz więcej
Źródło artykułu:www.dobreprogramy.pl
Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Wybrane dla Ciebie
Komentarze (18)