r   e   k   l   a   m   a
r   e   k   l   a   m   a

Bankowy trojan GozNym nie taki groźny, czyli jak IBM polskie media postraszył

Strona główna AktualnościBEZPIECZEŃSTWO

Prawdziwa panika w popularnych serwisach internetowych: oto nadciąga straszliwy atak hakerów, który wyciągnie wszystkie pieniądze z polskich banków (o ile jeszcze jakieś pieniądze tam pozostały, po tych wszystkich wydatkach budżetowych). Wystarczyło, że IBM rozesłał prasówkę, ostrzegającą przed nowym trojanem GozNym, by przedstawiciel Związku Banków Polskich musiał zapewniać, że pieniądze klientów są bezpieczne.

Deklaracje ekspertów faktycznie mogą zaniepokoić, szczególnie laików. Atak, który obecnie obserwujemy w Polsce z wykorzystaniem malware o nazwie GozNym, jest pod pewnymi względami szczególny i oznacza, że Polska dołączyła do niespecjalnie elitarnego klubu krajów, które będą najczęściej atakowane przez cyberprzestępców – ostrzegał Marcin Spychała z zespołu IBM X-force w wywiadzie dla Polskiej Agencji Prasowej. GoZnym miał być otóż wyposażony w schematy ataku na 17 banków komercyjnych i ponad 200 banków spółdzielczych – a wcześniej działając w USA poradził sobie z 24 bankami amerykańskimi, z których wykradł 4 mln dolarów.

Co gorsze, szkodnikiem sterowano z samej Moskwy, a klientów banków nie ratowała nawet słynna „zielona kłódeczka” – otóż GoZnym miał przekierowywać połączenia na stronę phishingową już po zweryfikowaniu certyfikatu z oryginalnej strony, tak że komunikacja była kontynuowana pomiędzy komputerem witryny a stroną cyberprzestępców. Jak więc zabezpieczyć się przed utratą oszczędności, które jakże roztropnie przechowujemy na koncie w banku?

r   e   k   l   a   m   a

Przede wszystkim nie panikować. Nie wiemy, dlaczego IBM X-force zdecydował się na taką formę ostrzeżenia, ale wiemy, że GoZnym został w pewnym sensie wymyślony na potrzeby publikacji na oficjalnym blogu SecurityIntelligence. Innowacyjny mechanizm przekierowania znany był już od kilku miesięcy. Ekspert cyberbezpieczeństwa Pablo de la Riva Ferrezuelo z należącego do konsorcjum Deloitte startupu buguroo, twierdził, że GozNym to połączenie dobrze już znanych trojanów Nymaim i Gozi, z wykorzystaniem elementów wcześniejszej wersji słynnego bankowego rabusia, Vawtraka. Swoboda wymiany kodu wśród twórców malware sprawia, że rzadko kiedy pojawia się coś naprawdę nowego, w większości wypadków mamy z rekombinacjami dobrze znanych zagrożeń.

Scenariusz ataku z bliska

Z przedstawionych przez zespół IBM informacji wynika, że atak przekierowujący tego trojana składa się z dwóch etapów. Pierwszy z nich to wstępne przekierowanie z wyświetleniem maskującej warstwy. Rozpoczyna się on w momencie wejścia na stronę jednego z zagrożonych banków – trojan wysyła wówczas użytkownikowi odpowiednią sfałszowaną stroną. Wygląda ona całkiem dobrze, ma swoje kłódeczki i prawdziwy adres. Jednocześnie do banku wysyłana jest sekwencja wywołań empty/idle, mająca podtrzymać połączenie SSL.

Wyświetlona na komputerze ofiary fałszywa strona pokryta jest pustą nakładką. To stara sztuczka z pustym elementem div rozciągniętym na całą stronę, której celem jest ukrycie złośliwego kodu przed tymi, którzy chcieliby podejrzeć kod strony w przeglądarce. Skrypt przekierowujący, sfałszowana strona i jej nakładka pobierane były z serwerów dowodzenia i kontroli.

Drugi etap polegał na usunięciu nakładki i pokazaniu ofierze zawartości sfałszowanej strony. W tym celu usuwano za pomocą kodu w JavaScripcie pobranego z serwera wspomniany element div, odsłaniając ofierze panel logowania. Po zalogowaniu do fałszywej witryny, trojan wstrzykiwał na stronę adekwatny komunikat z informacją o konieczności czekania, a jednocześnie odpytywał serwer dowodzenia i kontroli o dodatkowe skrypty, pozwalające wydobyć kolejne informacje od użytkownika. Najczęściej chodziło tu o podanie kodu jednorazowego, aby np. otrzymać darmowe ubezpieczenie. Gdy klient przepisywał kod z SMS-a, nie czytając jego opisu, szkodnik robił przelew na inne konto lub definiował przelew zaufany.

Jak to się roznosi?

Tego właśnie nie wiemy. Jeszcze bardziej nie wiemy, dlaczego IBM X-force, który przecież miał dokładnie zbadać trojana GozNy, nie przedstawił w swojej publikacji wykorzystywanych schematów wyłudzenia kodów jednorazowych – grafiki ostrzegłyby użytkowników znacznie skuteczniej, niż słowa ekspertów.

Wiele wskazuje na to, że wektorem infekcji są jak zwykle głupie e-maile od rzekomej poczty czy komornika, zawierające bądź to przekierowania na strony z malware, bądź załączniki. Kilka dni temu dostaliśmy od „poczty polskiej” taki załącznik zip z ukrytym w środku .exe, który po uruchomieniu dziś w maszynie wirtualnej faktycznie coś zaczął robić po wejściu na stronę jednego z większych polskich banków – ale nie ukończył ładowania fałszywej strony (niewykluczone, że już coś się stało z serwerem dowodzenia i kontroli).

GoZnym nie jest to więc szczególnie groźny. Na pewno zaś nie należy bić piany o „zaatakowanie przez hakerów ponad dwustu polskich banków”.

Jak bezpiecznie e-bankować?

Zabezpieczyć się przed tym, i przed innymi bankowymi trojanami jest dość łatwo. Zasady są trzy:

1. Do banku logujcie się z komputera, który ma zaktualizowany system operacyjny. To jednak nie wystarczy. Należy mieć też aktualną wersję programu antywirusowego. To jednak wbrew pozorom też dziś już nie wystarczy. Co można więcej? Wygląda na to, że przed współczesnymi trojanami bankowymi dobrze chronią wyłącznie izolowane od reszty systemu specjalne przeglądarki internetowe. Taką przeglądarkę o nazwie SafeZone znajdziecie w pakiecie antywirusowym Avast. Ma ona tę zaletę, że od niedawna dostępna jest za darmo. Możecie pobrać ją z naszej bazy oprogramowania.

2. Czytajcie treść powiadomień od banków wysyłanych SMS-ami. Oprócz kodów jednorazowych zawierają one też odbiorcę i końcówkę numeru konta. To powinno wystarczyć do zweryfikowania transakcji.

3. Na telefonie służącym do odbierania kodów jednorazowych nie instalujcie zbytecznego oprogramowania, nawet w Google Play mogą się znaleźć trojany. Na pewno zaś nie instalujcie tam niczego z chińskich sklepów – szkodników wykradających informacje jest tam całe zatrzęsienie.

4. Zaawansowani technicznie użytkownicy mogą zastanowić się nad stworzeniem maszyny wirtualnej z Linuksem (np. Ubuntu), wykorzystywanej wyłącznie do celów bankowości elektronicznej. Darmowy hiperwizor VirtualBox pozwoli na uruchomienie takiego bezpiecznego systemu w okienku Windowsów, ale w całkowitej izolacji od nich. Wówczas nawet jeśli komputer zostanie zainfekowany, w niczym to nie zagrozi linuksowej przeglądarce internetowej, w której otwieramy stronę banku.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.