PACCA – nowy atak na klientów banków z użyciem fałszywych certyfikatów

Banki w przeznaczonych dla klientów informacjach dotyczących bezpieczeństwa usług internetowych często przedstawiają „zieloną kłódkę” wyświetlaną na pasku adresowym przeglądarek jako gwarancję całkowitego bezpieczeństwa. Wiadomo, że certyfikacja jest kwestią znacznie bardziej złożoną, czego atakujący nie omieszkali wykorzystać w ofensywie wymierzonej przeciwko klientom w Polsce i Rosji.

Jak informuje Zaufana Trzecia Strona, klienci dwóch polskich banków (a także, wcześniej, rosyjskiego Sberbanku) stali się celem atakujących, którzy uzyskali certyfikat SSL dla stworzonych przez siebie falsyfikatów witryn.

Nie jest to skrajnie skomplikowane, jednak takie dopracowanie ataku może poskutkować dużym odsetkiem sukcesu w przeprowadzanych atakach – szczególnie biorąc pod uwagę, że najczęściej banki przedstawiają certyfikację jako pewność, że wyświetlana strona należy do banku.

W praktyce konieczne jest oczywiście zweryfikowanie dodatkowych informacji o certyfikacie. Jak ustaliło firma PreBytes, atakujący sfałszowali urząd wystawiający certyfikaty jako GeoTrust Inc CA i nie ma on wiele wspólnego z danymi SSL z autentycznych witryn banków. Z różnicami można zapoznać się w infografice opublikowanej na stronach Związku Banków Polskich.

Sam atak odbywa się z wykorzystaniem trojana nazwanego PACCA, który dokonuje rekonfiguracji serwerów proxy. W ten sposób po wpisaniu przez użytkownika poprawnego adresu banku, zostaje on przekierowany na fałszywą stronę. Jej autentyczność poświadczona jest dodatkowo przez wystawione rzekomo przez GeoTrust certyfikaty.

Następnie atak przebiega już bez większych zwrotów akcji – użytkownik loguje się do fałszywej usługi udostępniając w ten sposób dane logowania atakującym. Później proszony jest o wprowadzenie kodu jednorazowego, co daje atakującym możliwość autoryzowania transakcji na prawdziwym koncie.