Bankowy trojan GozNym nie taki groźny, czyli jak IBM polskie media postraszył

Bankowy trojan GozNym nie taki groźny, czyli jak IBM polskie media postraszył26.04.2016 14:11

Prawdziwa panika w popularnych serwisach internetowych: otonadciąga straszliwy atak hakerów, który wyciągnie wszystkiepieniądze z polskich banków (o ile jeszcze jakieś pieniądze tampozostały, po tych wszystkich wydatkach budżetowych). Wystarczyło,że IBM rozesłał prasówkę, ostrzegającą przed nowym trojanemGozNym, by przedstawiciel Związku Banków Polskich musiał zapewniać,że pieniądze klientów są bezpieczne.

Deklaracje ekspertów faktycznie mogą zaniepokoić, szczególnielaików. Atak, który obecnie obserwujemy w Polsce z wykorzystaniemmalware o nazwie GozNym, jest pod pewnymi względami szczególny ioznacza, że Polska dołączyła do niespecjalnie elitarnego klubukrajów, które będą najczęściej atakowane przez cyberprzestępców– ostrzegał Marcin Spychała z zespołu IBM X-force w wywiadziedla Polskiej Agencji Prasowej. GoZnym miał być otóż wyposażony wschematy ataku na 17 banków komercyjnych i ponad 200 bankówspółdzielczych – a wcześniej działając w USA poradził sobie z24 bankami amerykańskimi, z których wykradł 4 mln dolarów.

Co gorsze, szkodnikiem sterowano z samej Moskwy, a klientówbanków nie ratowała nawet słynna „zielona kłódeczka” –otóż GoZnym miał przekierowywać połączenia na stronęphishingową już po zweryfikowaniu certyfikatu z oryginalnej strony,tak że komunikacja była kontynuowana pomiędzy komputerem witrynya stroną cyberprzestępców. Jak więc zabezpieczyć się przedutratą oszczędności, które jakże roztropnie przechowujemy nakoncie w banku?

Przede wszystkim nie panikować. Nie wiemy, dlaczego IBM X-forcezdecydował się na taką formę ostrzeżenia, ale wiemy, że GoZnymzostał w pewnym sensie wymyślony na potrzeby publikacjina oficjalnym blogu SecurityIntelligence. Innowacyjny mechanizmprzekierowania znany był już od kilku miesięcy. Ekspertcyberbezpieczeństwa Pablo de la Riva Ferrezuelo z należącego dokonsorcjum Deloitte startupu buguroo, twierdził, że GozNym topołączenie dobrze już znanych trojanów Nymaim i Gozi, zwykorzystaniem elementów wcześniejszej wersji słynnego bankowegorabusia, Vawtraka. Swoboda wymiany kodu wśród twórców malwaresprawia, że rzadko kiedy pojawia się coś naprawdę nowego, wwiększości wypadków mamy z rekombinacjami dobrze znanych zagrożeń.

Scenariusz ataku z bliska

Z przedstawionych przez zespół IBM informacji wynika, że atakprzekierowujący tego trojana składa się z dwóch etapów. Pierwszyz nich to wstępne przekierowanie z wyświetleniem maskującejwarstwy. Rozpoczyna się on w momencie wejścia na stronę jednego zzagrożonych banków – trojan wysyła wówczas użytkownikowiodpowiednią sfałszowaną stroną. Wygląda ona całkiem dobrze, maswoje kłódeczki i prawdziwy adres. Jednocześnie do banku wysyłanajest sekwencja wywołań empty/idle, mająca podtrzymać połączenieSSL.

Wyświetlona na komputerze ofiary fałszywa strona pokryta jestpustą nakładką. To stara sztuczka z pustym elementem divrozciągniętym na całą stronę, której celem jest ukryciezłośliwego kodu przed tymi, którzy chcieliby podejrzeć kod stronyw przeglądarce. Skrypt przekierowujący, sfałszowana strona i jejnakładka pobierane były z serwerów dowodzenia i kontroli.

Drugi etap polegał na usunięciu nakładki i pokazaniu ofierzezawartości sfałszowanej strony. W tym celu usuwano za pomocą koduw JavaScripcie pobranego z serwera wspomniany element div,odsłaniając ofierze panel logowania. Po zalogowaniu do fałszywejwitryny, trojan wstrzykiwał na stronę adekwatny komunikat zinformacją o konieczności czekania, a jednocześnie odpytywałserwer dowodzenia i kontroli o dodatkowe skrypty, pozwalającewydobyć kolejne informacje od użytkownika. Najczęściej chodziłotu o podanie kodu jednorazowego, aby np. otrzymać darmoweubezpieczenie. Gdy klient przepisywał kod z SMS-a, nie czytającjego opisu, szkodnik robił przelew na inne konto lub definiowałprzelew zaufany.

Jak to się roznosi?

Tego właśnie nie wiemy. Jeszcze bardziej nie wiemy, dlaczego IBMX-force, który przecież miał dokładnie zbadać trojana GozNy, nieprzedstawił w swojej publikacji wykorzystywanych schematówwyłudzenia kodów jednorazowych – grafiki ostrzegłybyużytkowników znacznie skuteczniej, niż słowa ekspertów.

Wiele wskazuje na to, że wektorem infekcji są jak zwykle głupiee-maile od rzekomej poczty czy komornika, zawierające bądź toprzekierowania na strony z malware, bądź załączniki. Kilka dnitemu dostaliśmy od „poczty polskiej” taki załącznik zip zukrytym w środku .exe, który po uruchomieniu dziś w maszyniewirtualnej faktycznie coś zaczął robić po wejściu na stronęjednego z większych polskich banków – ale nie ukończyłładowania fałszywej strony (niewykluczone, że już coś się stałoz serwerem dowodzenia i kontroli).

GoZnym nie jest to więc szczególnie groźny. Na pewno zaś nienależy bić piany o „zaatakowanie przez hakerów ponad dwustupolskich banków”.

Jak bezpiecznie e-bankować?

Zabezpieczyć się przed tym, i przed innymi bankowymi trojanamijest dość łatwo. Zasady są trzy:

  1. Do banku logujcie się z komputera, który ma zaktualizowany system operacyjny. To jednak nie wystarczy. Należy mieć też aktualną wersję programu antywirusowego. To jednak wbrew pozorom też dziś już nie wystarczy. Co można więcej? Wygląda na to, że przed współczesnymi trojanami bankowymi dobrze chronią wyłącznie izolowane od reszty systemu specjalne przeglądarki internetowe. Taką przeglądarkę o nazwie SafeZone znajdziecie w pakiecie antywirusowym Avast. Ma ona tę zaletę, że od niedawna dostępna jest za darmo. Możecie pobrać ją z naszej bazy oprogramowania.
  1. Czytajcie treść powiadomień od banków wysyłanych SMS-ami.Oprócz kodów jednorazowych zawierają one też odbiorcę i końcówkęnumeru konta. To powinno wystarczyć do zweryfikowania transakcji.
  1. Na telefonie służącym do odbierania kodów jednorazowych nieinstalujcie zbytecznego oprogramowania, nawet w Google Play mogą sięznaleźć trojany. Na pewno zaś nie instalujcie tam niczego zchińskich sklepów – szkodników wykradających informacje jesttam całe zatrzęsienie.
  1. Zaawansowani technicznie użytkownicy mogą zastanowić się nad stworzeniem maszyny wirtualnej z Linuksem (np. Ubuntu), wykorzystywanej wyłącznie do celów bankowości elektronicznej. Darmowy hiperwizor VirtualBox pozwoli na uruchomienie takiego bezpiecznego systemu w okienku Windowsów, ale w całkowitej izolacji od nich. Wówczas nawet jeśli komputer zostanie zainfekowany, w niczym to nie zagrozi linuksowej przeglądarce internetowej, w której otwieramy stronę banku.
Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na