Ukradli miliony z internetowych kont bankowych. W pełni automatycznie Strona główna Aktualności22.12.2020 09:41 Udostępnij: O autorze Darek Walach @DWalach Ponad 16 tys. klientów, których mobilne konta bankowe zostały przejęte, padło ofiarą kradzieży. Oszuści używali emulatorów naśladujących telefony. Eksperci z IBM Trusteer odkryli zakrojoną na masową skalę operację oszustw z wykorzystaniem sieci emulatorów urządzeń mobilnych. Umożliwiło im to, w ciągu kilku dni, wyprowadzenie milionów z kont bankowych online. Skala operacji była inna niż wszystko to, co analitycy spotkali w przeszłości. W jednym przypadku oszuści wykorzystali około 20 emulatorów do naśladowania ponad 16 tys. telefonów należących do klientów, których mobilne konta bankowe zostały wcześniej przejęte. W kolejnym przypadku, pojedynczy emulator był w stanie sfałszować ponad 8,1 tys. urządzeń. Następnie oszuści wprowadzali nazwy użytkowników i hasła do aplikacji bankowych działających na emulatorach oraz wykonywali zlecenia fałszywych przelewów, które wyprowadzały środki z zainfekowanych kont. Warto dodać, że emulatory są używane przez programistów i ekspertów testujących działania aplikacji na różnych urządzeniach mobilnych. Aby ominąć zabezpieczenia stosowane przez banki do blokowania takich ataków, złodzieje używali identyfikatorów urządzeń przypisanych właścicielowi przejętego konta i podawali fałszywe lokalizacje GPS. Identyfikatory urządzeń zostały prawdopodobnie pozyskane ze zhakowanych urządzeń właścicieli, choć w niektórych przypadkach oszuści udawali klientów korzystających z nowych telefonów. Przestępcy omijali uwierzytelnianie wieloskładnikowe uzyskując dostęp do wiadomości SMS. Automatyzacja oszustw „Operacja oszustwa bankowego zdołała zautomatyzować proces uzyskiwania dostępu do kont, inicjowania transakcji, a także uzyskania drugiej formy uwierzytelniania (w tym przypadku SMS-a). W wielu przypadkach, użyto kodów SMS do wykonania nielegalnych transakcji”, podkreślili w swoim poście Shachar Gritzman i Limor Kessem, eksperci z IBM Trusteer. „Źródła danych, skrypty i spersonalizowane aplikacje, które stworzyła siatka przestępcza przepływały w jednym zautomatyzowanym procesie. Proces zapewnił im szybkość pozwalającą ukraść miliony z każdego banku, który padł ofiarą tego przestępstwa”. Za każdym razem, gdy oszuzści pomyślnie opróżnili konto, usuwali odpowiedzialny za ten proceder emulator i zastępowali go nowym urządzeniem. Z biegiem czasu, eksperci z IBM Trusteer dostrzegli, w jaki sposób przestępcy inicjują ataki. Po zakończeniu jednej z nich, napastnicy przerywali operację, usuwali ślady danych i rozpoczynali kolejną akcję. Eksperci potwierdzili, że konta bankowe zostały przejęte przy użyciu złośliwego oprogramowania lub ataków phishingowych. Raport IBM Trusteer nie wyjaśnia, w jaki sposób oszustom udało się pozyskać dostęp do wiadomości SMS i identyfikacji urządzeń. Zaatakowano banki zarówno w USA, jak i Europie. Oszuści, przechwytując komunikację pomiędzy sfałszowanymi urządzeniami a serwerami aplikacji banku, monitorowali postęp operacji w czasie rzeczywistym. Dodatkowo wykorzystywali również logi i zrzuty ekranu do śledzenia prowadzonych operacji. W miarę postępów w śledztwie, eksperci zauważyli, że techniki ataku ewoluowały, a oszuści uczyli się na podstawie popełnionych wcześniej błędów. Lekcja na przyszłość Przy okazji warto przypomnieć użytkownikom bankowości elektronicznej o zachowaniu bezpieczeństwa, które wymaga używania silnych haseł, poznania metod jak wykrywać oszustwa phishingowe oraz metod ochrony urządzeń mobilnych przed złośliwym oprogramowaniem. Nie bez winy pozostają także banki. Może w przypadku tych ostatnich, warto wdrożyć uwierzytelnianie wieloskładnikowe za pośrednictwem innego medium niż SMS, lecz robi to niewiele instytucji finansowych. Dodatkowo, posiadacze kont elektronicznych powinni przeglądać wyciągi bankowe co najmniej raz w miesiąc poszukując śladów fałszywych transakcji. Internet Biznes Bezpieczeństwo Udostępnij: © dobreprogramy Zgłoś błąd w publikacji Zobacz także IBM porzuca technologię rozpoznawania twarzy: jest niemoralna i narusza prawa człowieka 9 cze 2020 Jakub Krawczyński Bezpieczeństwo 30 Oszustwo na DPD. Uważajcie, bo łatwo się nabrać 10 cze 2020 Patryk Korzeniecki Internet Bezpieczeństwo 67 Oszustwo "na tarczę antykryzysową". Uwaga na SMS-y z obietnicą bezzwrotnej gotówki 25 kwi 2020 Oskar Ziomek Bezpieczeństwo Koronawirus 48 Oszustwo "na darowiznę". Nigeryjski książę zamienił się w Unię Europejską 28 kwi 2020 Arkadiusz Stando Internet Bezpieczeństwo Koronawirus 35
Udostępnij: O autorze Darek Walach @DWalach Ponad 16 tys. klientów, których mobilne konta bankowe zostały przejęte, padło ofiarą kradzieży. Oszuści używali emulatorów naśladujących telefony. Eksperci z IBM Trusteer odkryli zakrojoną na masową skalę operację oszustw z wykorzystaniem sieci emulatorów urządzeń mobilnych. Umożliwiło im to, w ciągu kilku dni, wyprowadzenie milionów z kont bankowych online. Skala operacji była inna niż wszystko to, co analitycy spotkali w przeszłości. W jednym przypadku oszuści wykorzystali około 20 emulatorów do naśladowania ponad 16 tys. telefonów należących do klientów, których mobilne konta bankowe zostały wcześniej przejęte. W kolejnym przypadku, pojedynczy emulator był w stanie sfałszować ponad 8,1 tys. urządzeń. Następnie oszuści wprowadzali nazwy użytkowników i hasła do aplikacji bankowych działających na emulatorach oraz wykonywali zlecenia fałszywych przelewów, które wyprowadzały środki z zainfekowanych kont. Warto dodać, że emulatory są używane przez programistów i ekspertów testujących działania aplikacji na różnych urządzeniach mobilnych. Aby ominąć zabezpieczenia stosowane przez banki do blokowania takich ataków, złodzieje używali identyfikatorów urządzeń przypisanych właścicielowi przejętego konta i podawali fałszywe lokalizacje GPS. Identyfikatory urządzeń zostały prawdopodobnie pozyskane ze zhakowanych urządzeń właścicieli, choć w niektórych przypadkach oszuści udawali klientów korzystających z nowych telefonów. Przestępcy omijali uwierzytelnianie wieloskładnikowe uzyskując dostęp do wiadomości SMS. Automatyzacja oszustw „Operacja oszustwa bankowego zdołała zautomatyzować proces uzyskiwania dostępu do kont, inicjowania transakcji, a także uzyskania drugiej formy uwierzytelniania (w tym przypadku SMS-a). W wielu przypadkach, użyto kodów SMS do wykonania nielegalnych transakcji”, podkreślili w swoim poście Shachar Gritzman i Limor Kessem, eksperci z IBM Trusteer. „Źródła danych, skrypty i spersonalizowane aplikacje, które stworzyła siatka przestępcza przepływały w jednym zautomatyzowanym procesie. Proces zapewnił im szybkość pozwalającą ukraść miliony z każdego banku, który padł ofiarą tego przestępstwa”. Za każdym razem, gdy oszuzści pomyślnie opróżnili konto, usuwali odpowiedzialny za ten proceder emulator i zastępowali go nowym urządzeniem. Z biegiem czasu, eksperci z IBM Trusteer dostrzegli, w jaki sposób przestępcy inicjują ataki. Po zakończeniu jednej z nich, napastnicy przerywali operację, usuwali ślady danych i rozpoczynali kolejną akcję. Eksperci potwierdzili, że konta bankowe zostały przejęte przy użyciu złośliwego oprogramowania lub ataków phishingowych. Raport IBM Trusteer nie wyjaśnia, w jaki sposób oszustom udało się pozyskać dostęp do wiadomości SMS i identyfikacji urządzeń. Zaatakowano banki zarówno w USA, jak i Europie. Oszuści, przechwytując komunikację pomiędzy sfałszowanymi urządzeniami a serwerami aplikacji banku, monitorowali postęp operacji w czasie rzeczywistym. Dodatkowo wykorzystywali również logi i zrzuty ekranu do śledzenia prowadzonych operacji. W miarę postępów w śledztwie, eksperci zauważyli, że techniki ataku ewoluowały, a oszuści uczyli się na podstawie popełnionych wcześniej błędów. Lekcja na przyszłość Przy okazji warto przypomnieć użytkownikom bankowości elektronicznej o zachowaniu bezpieczeństwa, które wymaga używania silnych haseł, poznania metod jak wykrywać oszustwa phishingowe oraz metod ochrony urządzeń mobilnych przed złośliwym oprogramowaniem. Nie bez winy pozostają także banki. Może w przypadku tych ostatnich, warto wdrożyć uwierzytelnianie wieloskładnikowe za pośrednictwem innego medium niż SMS, lecz robi to niewiele instytucji finansowych. Dodatkowo, posiadacze kont elektronicznych powinni przeglądać wyciągi bankowe co najmniej raz w miesiąc poszukując śladów fałszywych transakcji. Internet Biznes Bezpieczeństwo Udostępnij: © dobreprogramy Zgłoś błąd w publikacji