Ataki na polskie banki – prawda czy nieudana akcja marketingowa IBM?

Adrian Wilczek
Adrian Wilczek
26.04.2016

Wczoraj po południu polskie media aż huczały na wieść o rzekomym ataku na banki. GozNym, czyli malware który odpowiada za to poruszenie, w gruncie rzeczy wcale nie jest nowy ani groźny jak opisują to polskie portale.

IBM zajmujący się analizą tego typu malware, a dokładniej izraelski zespół badający sprawę nie ogłosił jeszcze żadnego stanowiska, które by potwierdziło, że „zaatakowane 17 banków komercyjnych i 230 polskich banków spółdzielczych” faktycznie zostały zarażone. Problem ten dotyczy bardziej klientów banku niż samych oddziałów.

Wszystko zaczyna się podczas wysłania wiadomości e-mail wraz z załącznikiem, w którym zawarty jest takowy malware, po czym otworzenie załącznika umożliwi wirusowi wtargnięcie do naszego laptopa lub stacjonarnego komputera. Zasada jego działania oparta jest na podmianie stron internetowych, które z zasady wyglądają tak samo, lecz naprawdę otwiera się tylko strona stworzona przez hakerów, która przesyła nazwę użytkownika oraz hasło do konta bankowego, a dobrze wiemy, że polskie banki nie są odpowiednio zabezpieczone, także wszystko się może zdarzyć. Informacja na angielskim blogu IBM z grubsza przybliża zasadę działania GozNyma:

The fake page is designed to appear legitimate, carrying the bank’s URL and SSL certificate in the address bar to make sure the victims do not suspect they are on the wrong site. The attack manages to achieve this by sending empty/idle requests to the bank to keep the SSL connection alive. So far, it’s similar to other redirection schemes.But this is where the differences kick in. When the fake page is delivered to the victim’s browser, it comes covered with a blank overlay screen on top of it. The blank page is a simple CSS trick known as an empty div element, which is plastered over the entire screen. This curtain does not delete anything from the fake page’s source code; it only covers up the malicious content of the phishing page, making it look empty to prevent unintended parties such as security researchers from examining its content.
The second stage of the redirection attack is designed to remove the overlay screen; it displays the malicious site’s content to the victim. To carry out this second step, GozNym imports external JavaScript to the fake page. The scripts manipulate the Document Object Model (DOM) — an approach that enables malware to access and change the internal data of targeted Web pages — and remove the div element from the page. In most cases the fake page looks like the bank’s login page, allowing victims to enter their username and password. After that initial fake login, the malware displays a delay screen via webinjection asking the victim to wait. While the victim is on hold, the fraudster queries the C&C server for additional webinjections to trick users to divulge further information about their accounts.

Każdym razie nie ma żadnych informacji, czy ktoś już padł ofiarą GozNyma, a w związku z tym czy zostały poniesione jakieś większe straty finansowe. IBM informuje jedynie o wykryciu zmian configu złośliwego oprogramowania, czyli dodanie adresów 17-stu komercyjnych i 230 spółdzielczych polskich banków. Nie wykluczone jednak, że GozNym jest na tyle dobrze przygotowany, by w polskim systemie finansów zrobić większe zamieszanie, które dopiero nadejdzie.

Dlaczego IBM opublikowało mało konkretną analizę?

Big Blue jako jedyny oferuje zabezpieczenie się przed tym malware w formie „przyjaznego trojana” o nazwie Trusteer, który może wykryć tego rodzaju atak i ostrzec użytkowników, lecz nie każdy polski bank zdecydował się na to rozwiązanie w przekonaniu, że nie zawsze takie rozwiązanie zadziała.

Jakkolwiek sprawa zostałaby zweryfikowana, czas na mobilizację ze strony użytkowników jak i banków, by wszyscy zostali przynajmniej poinformowani o takim ataku.  Poprawa zabezpieczeń, a dokładniej weryfikacji przelewów, gdyż nie każdy bank posiada token potrzebny do wykonania operacji, będzie dobrym posunięciem. Natomiast klientom polecam (jeśli taka opcja jest domyślnie wykonywana przez dany bank) sprawdzenie danych przed wysłaniem przelewu, między innymi numeru konta, danych odbiorcy oraz kwoty jak również cykliczną zmianę haseł, gdyż „zdrowy rozsądek powinien towarzyszyć na co dzień nie tylko klientom bankowości elektronicznej, ale także osobom odpowiedzialnym za przekaz marketingowy dostawców oprogramowania antywirusowego.” – cytat z oświadczenia Łukasza Dajnowicza z Komisji Nadzoru Finansowego dla portalu Niebezpiecznik.pl

Źródło: niebezpiecznik Foto: securityintelligence.com