Badacze z IBM Trusteer opisali masową próbę kradzieży pieniędzy z kont bankowych w Europie i USA. Atak bazował na wykorzystaniu emulatorów mobilnych aplikacji bankowych. Za ich pośrednictwem hakerzy chcieli przejąć miliony dolarów od około 16 tysięcy użytkowników.
W trakcie ataku złodzieje wykorzystali loginy użytkowników, hasła oraz identyfikatory telefonów, skradzione w ramach innych akcji phishingowych oraz dzięki złośliwemu oprogramowaniu. Zdobyte nielegalnie dane wprowadzono do ponad 20 urządzeń emulujących pracę aplikacji bankowych. W finalnym kroku, za pomocą skryptu automatyzującego, hakerzy oceniali salda bankowe swoich ofiar oraz wykonywali setki przelewów na własne konta.
Kulisy ataku poprzez aplikacje bankowe
Wspomniane emulatory to skomplikowane programy, które w normalnych warunkach pozwalają np. testować działanie programów na emulowanych wirtualnie urządzeniach. Hakerzy starali się, by owe emulatory przypominały normalne smartfony. Uzupełniali je więc o istotne informacje o systemie operacyjnym czy np. lokalizacji GPS emulatora, która odpowiadałaby krajowi zamieszkania właściciela konta bankowego.
Aby obejść bankowe zabezpieczenia, hakerzy posługiwali się także identyfikatorem przypisanym do telefonu właściciela konta lub takimi, które udawały nowe urządzenia. Złodzieje uważali również, aby nie przekroczyć kwot weryfikowanych przez bank w trakcie przelewu. Byli także w stanie obejść dwustopniową weryfikację SMS.
Udana kradzież za pośrednictwem emulatora lub jego odrzucenie przez system zabezpieczeń banku, powodował jego wyłączenie i uruchomienie kolejnego. Hakerzy wiedzieli o postępie kradzieży dzięki monitorowaniu komunikacji między „emulatorem” a systemem bankowym. Po zakończeniu operacji złodzieje starali się wyczyścić jej ślady i przygotować do kolejnego ataku. IBM zdecydowało się upublicznić analizę tej kradzieży, aby przestrzec inne instytucje finansowe przed podobnymi zagrożeniami.
Wnioski z tej historii?
Dla zwykłych użytkowników wniosek z tej historii jest prosty: pilnujmy swoich danych do logowania jak oka w głowie, bo to właśnie one stanowiły dla hakerów główną furtkę do kradzieży pieniędzy. Pozostałe zastosowane przez nich procedury to już próba oszukania zabezpieczeń banku. Unikajmy więc podejrzanych aplikacji mobilnych (szczególnie tych pochodzących z innych źródeł niż oficjalne sklepy z aplikacjami), phishingowych e-maili, aktualizujmy systemy operacyjne i zabezpieczenia.
Źródła: securityintelligence.com
Via: Ars Technica.com