Strona używa cookies (ciasteczek). Dowiedz się więcej o celu ich używania i zmianach ustawień. Korzystając ze strony wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.    X

Witamy w erze "złośliwych" smartfonów

W moim poprzednim wpisie, w którym zastanawiałem się czy smartfon nie jest największą dziurą w osobistym bezpieczeństwie sieciowym jaką w chwili obecnej można wykorzystać.

Minął tydzień i okazało się, że życie napisało własny scenariusz. W sumie dużo prostszy niż to przed czym przestrzegałem. Kiedy dziś logowałem się na moje konto internetowe w ING Bank Online zobaczyłem komunikat-ostrzeżenie o nowej wersji "Trojana Zeus/Zbot", w której zastosowano mechanizm pozwalający na wykonanie ataku na Klientów bankowości internetowej, którzy korzystają z kodów SMS-owych. Taki atak został nazwany Man-in-the-Mobile.

W telegraficznym skrócie: taki atak polega na tym, że ktoś kto już wcześniej pozyskał nasz login i hasło do banku, tym razem podstawia nam fałszywą stronę, na której zwyczajnie wyłudza od nas informacje o naszym telefonie a następnie proponuje zainstalować na nim specjalną aplikację, która ma zabezpieczyć telefon. W rzeczywistości jest to złośliwe oprogramowanie przechwytujące hasła jednorazowe wysyłane sms-em.

Na stronie banku jest prezentacja jak wygląda taki atak. Możecie ją zobaczyć tutaj.

Po chwili googlania w Sieci, dotarło do mnie, że bank nie ma zbyt dużego refleksu, bo podana wyżej metoda ataku została opisana w TYM, TYM i TYM artykułach na blogu S21sec już pół roku temu.

 

Komentarze

0 nowych
pow3r_shell   7 #1 11.02.2011 18:35

jak ktoś ma login i hasło do banku to może sobie sam zmienić numer do SMS :P

januszek   19 #2 11.02.2011 19:04

@pow3r_shell: W jakim banku? Bo na pewno nie w ING, gdzie taką zmianę trzeba przeprowadzić osobiście, w oddziale banku.

roobal   15 #3 11.02.2011 19:27

Dlatego właśnie ja wolę zabezpieczenie sprzętowe, o którym pisałem niedawno na moim blogu :)

@pow3r_shell

Dokładnie, jak pisze januszek, żeby zmienić numer do sms to trzeba zrobić to osobiście w banku i trzeba jeszcze podpisać papierek, że się zmienia numer.

Pozdrawiam!

paxer   5 #4 11.02.2011 20:05

@ roobal:
niestety nie wszystkie banki takie są. Ja ostatnio zmieniałem operatora, więc udałem się do placówki swojego banku. Powiedziano mi, że mogę to zrobić przez internet bez żadnych podpisów, jeśli posiadam jeszcze poprzedni numer, na który przyjdzie smsem kod weryfikacji operacji... Czyli na dobrą sprawę żadne zabezpieczenie, gdy haker zdobędzie mój login i hasło i jeszcze dostanie się do komórki...

januszek   19 #5 11.02.2011 20:29

@roobal: no nie wiem bo noszenie ze sobą czytnika karty płatniczej jakoś do mnie nie przemawia ;) w sumie bankomat też można za sobą ciągnąć na jakiejś taczce albo innym wózku i wypłacać sobie gotówkę w razie nagłej potrzeby ;P

IMO bardziej wygodne rozwiązanie to karta z pin padem - zobacz tu: http://prnews.pl/michal-krynski/tajna-bron-mc-w-wojnie-z-gotowka-52531.html

roobal   15 #6 11.02.2011 22:45

Narzekacie na ten czytnik, o którym pisałem jakby ważył kilogramy, w kieszeni nawet nie czuć, że się go ma, miejsca wiele więcej jak telefon nie zajmuje :)

Pozdrawiam!

roobal   15 #7 11.02.2011 22:49

Dodać jeszcze można, że w telefonie może wyładować się bateria i nici z transakcji, a te urządzonko tak szybko nie padnie, działa tylko w momencie włożenia karty i po 5 sekundach się wyłącza, zresztą używałem go dwa lata i przez dwa lata ani razu mnie nie zawiodło :)

Pozdrawiam!

roobal   15 #8 11.02.2011 22:51

Oczywiście każdy woli inne rozwiązania i oczywiście, żeby nie było, nie upieram się, że to zabezpieczenie sprzętowe jest najlepsze, bo są inne równie dobre zabezpieczenia, które innym mogą bardziej odpowiadać.

Pozdrawiam!

bart86   10 #9 12.02.2011 08:34

ja mam nadzieje że lepsze antywiry sobie z wirusami typu zeus radzą zaus nie jest nowy i powinny ale kto wie sam mam nortona i jestem raczej dobrej myśli ale wiadomo to użytkownik jest najsłabszym ogniwem

Extraordinarykid   6 #10 12.02.2011 12:51

Na czym polega w ogóle centrum powodzenia takiego ataku ?
Tyle lat korzystam z bankowości elektronicznej, a mimo tego nigdy nikt mi nic nie ukradł.

Co trzeba zrobić, aby paść ofiarą ataku ?
Mam jedno konto, na którym są bardzo niskie wpływy, głównie z allegro. Może tam wypróbuję zrobienie z siebie ofiary, hmm ?

Więc jak ?

januszek   19 #11 14.02.2011 09:55

@Extraordinarykid: Hmm, potencjanie to świetny pomysł: Zarazić się trojanem, podstawić mu prawdziwe konto. Wszystko monitorować i udokumentować a potem rzetelnie opisać. Powodzenia ;)

  #12 14.02.2011 10:13

Jak cię załapią dresiarze z czytnikiem w kieszeni, to jak myślisz, co ci każą zrobić - tylko nie mów, że nie masz konta, skoro masz czytnik. A komórka - stracisz, trudno ale konto jest bezpieczne.

  #13 09.03.2011 14:41

Po pierwsze żeby zmienić numer telefonu do potwierdzeń trzeba odebrać przynajmniej jeden SMS potwierdzający tą zmianę. Po drugie jak ktoś zainstaluje już nam coś na komórce to nie ma potrzeby zmieniać telefonu ;-). Jeśli chodzi o sprzętowe zabezpieczenia to niczego tu nie zmieniają, nie wiem czy wiesz jak działa taki trojan ale potrafi zmienić całkowicie stronę, na przykład zamienić numer rachunku i kwotę w momencie gdy robisz przelew i sam sobie potwierdzisz swoim urządzeniem, potem jeszcze mogą zmodyfikować wyświetlane saldo i historię rachunku żeby nie było widać tej transakcji. Wbrew pozorom nie jest to takie trudne więc to twoje większe bezpieczeństwo jest tylko pozorne.
Przy okazji takiej aplikacji na telefonie mogą jeszcze trochę podzwonić na płatne numery ;-)