15/03/2016

Jak trojany bankowe omijają uwierzytelnianie dwuetapowe

Zagrożenia

Weryfikacja dwuetapowa przy użyciu SMS-ów jest już chętnie stosowana przez instytucje bankowe. Oczywiście ten środek zabezpieczający działa znacznie lepiej niż zwykłe hasła, ale mimo wszystko nie jest on niemożliwy do zhakowania. 10 lat temu, gdy dopiero zdobywał on popularność, specjaliści zajmujący się zabezpieczeniami sprawdzili, jak można było go oszukać.

banking-trojans-bypass-2fa-FB

Ale tak samo zrobili twórcy szkodliwych programów — to dlatego twórcy trojanów bankowych z łatwością hakują jednorazowe hasła SMS. A działa to tak:

  1. Użytkownik uruchamia na smartfonie oryginalną aplikację bankową.
  2. Trojan wykrywa, która aplikacja jest używana, a następnie nakłada na nią swój oszukańczy interfejs. Fałszywy ekran wygląda identycznie jak prawdziwy.
  3. Ofiara wprowadza login i hasło w interfejsie fałszywej aplikacji.
  4. Trojan wysyła dane uwierzytelniające użytkownika do cyberprzestępców, a ci z kolei logują się przy ich pomocy do aplikacji bankowej użytkownika.
  5. Oszuści przesyłają pieniądze na swoje konto.
  6. Na telefon ofiary wysłany zostaje SMS z hasłem jednorazowym.
  7. Trojan wydobywa hasło z SMS-a i wysyła je cyberprzestępcom.
  8. Ponadto ukrywa wiadomość SMS przed użytkownikiem, więc ofiara nic nie wie o wykonywanych działaniach. Ma szansę zorientować się dopiero wtedy, gdy zobaczy historię transakcji swojego konta bankowego.
  9. Przestępcy używają przechwyconego hasła do potwierdzenia transakcji i odbierają pieniądze.

Stwierdzenie, że każdy nowoczesny trojan bankowy wie, jak oszukać oparty na SMS-ach system weryfikacji dwuetapowej, nie byłoby dużym nadużyciem. Autorzy szkodliwych programów nie mają innego wyjścia: skoro wszystkie banki stosują to zabezpieczenie, trojany musza się dostosować.

Istnieje wiele szkodliwych aplikacji, które potrafią to obejść ten system. Jest ich nawet więcej niż myślisz. Tylko w trakcie ostatnich kilku miesięcy nasi eksperci przygotowali trzy szczegółowe raporty poświęcone trzem różnym rodzinom szkodliwego oprogramowania. A jeden jest bardziej przerażający od drugiego:

  1. Asacub— aplikacja szpiegująca, która ewoluowała w kierunku trojana i otrzymała funkcję kradzieży pieniędzy z banków mobilnych.
  2. Acecard— potężny trojan, który potrafi nakładać swoje warstwy na interfejs prawie 30 różnych aplikacji bankowych. Nawiasem mówiąc, trend ten staje się coraz popularniejszy wśród mobilnego szkodliwego oprogramowania: początkowo trojany atakowały aplikacje określonych banków lub systemy płatności, lecz teraz mogą podrobić kilka aplikacji naraz.
  3. Banloader— wieloplatformowy trojan pochodzenia brazylijskiego, który potrafi uruchomić się na komputerach i urządzeniach mobilnych równocześnie.

Wynika z tego, że dwuetapowe uwierzytelnianie nie chroni przed trojanami bankowymi. Tak jest od dawna, a sytuacja wcale nie idzie w lepszym kierunku. Z tego powodu potrzebujmy dodatkowych środków zabezpieczających.

Podstawowa zasada, która mimo wszystko nie chroni w 100%, jest taka, aby nie instalować aplikacji pochodzących spoza oficjalnych sklepów. Trojany wiele razy przedostały się już do Sklepu Play, a nawet sklepu App Store.

Dobrze jest wybrać solidnego antywirusa mobilnego. Poznaj podstawową wersję programu Kaspersky Internet Security. Jest darmowy, więc skanowanie trzeba w nim uruchamiać ręcznie. Pełna wersja jest lepsza, bo zatrzymuje wirusy w czasie rzeczywistym, ale jest płatna.