Niemal co chwilę słyszymy o „atakach cyberprzestępców na banki”. Spośród największych polskich instytucji nie ma już prawie żadnej, która nie zetknęłaby się z tym problemem. Ale jak oceniają eksperci bankowi od cyberbezpieczeństwa, ataków na same banki raczej się nie przeprowadza, gdyż jest to zbyt kosztowne. O wiele taniej i łatwiej zaatakować nieświadomych klientów.

Ostatnio szerzej opisywaliśmy próby wyłudzenia danych od klientów BZ WBK. Firma ESET ostrzegała przed falą wiadomości phishingowych, których celem byli klienci Banku Zachodniego WBK. Pułapka miała za zadanie przechwycenie danych potrzebnych do logowania w serwisie bankowości internetowej BZ WBK - Numeru Identyfikacyjnego Klienta i jego hasła.

Pierwsze wiadomości phishingowe laboratorium antywirusowe ESET przechwyciło 3 września br. Wiadomości sugerowały, że dostęp do konta został zablokowany z powodu nieautoryzowanego dostępu. W wiadomości-pułapce znajdował się link, po kliknięciu w który, ofiara została przeniesiona na fałszywą stronę, podszywającą się pod tę, służącą do logowania do bankowości internetowej w BZ WBK. Następnie internauta proszony był o podanie loginu (numeru NIK) i hasła. Po podaniu tych danych, internauta informowany był, że trwa weryfikacja wprowadzonych danych. Twórcy pułapki wprowadzili taki element prawdopodobnie po to, by uśpić czujność ofiary podczas przesyłania informacji na swój serwer.

Oczywiście phishing, to nie jedyny sposób ataku na klientów banków. Bardzo groźny może sam spam rozsyłany na ślepo po całej sieci, zawierający linki do zawirusowanych stron lub wirusy zawarte w plikach. Dlatego eksperci przestrzegają przed jakimkolwiek otwieraniem nieznanych maili z zawartością.

Ale jednym z największych zagrożeń są zdaniem ekspertów exploity – programy mające na celu wykorzystanie błędów w oprogramowaniu, tak aby przejąć kontrolę nad systemem komputerowym i jego procesami. Dzięki temu bez wiedzy użytkownika hakerzy mogą pozyskac wszelkie dane, w tym dane logowania do banku i wszelkie hasła. Exploity mogą być m. in. zaszyte w bannerach reklamowych., legalnie wykupionych przez przestępców. Firmy sprzedające takie usługi nie sprawdzają nawet, co to za reklamy.

Nadal niebezpieczny pozostaje Android. W dniu 6 października eksperci z Kaspersky Lab poinformowali, o wykryciu modyfikacji trojana bankowego Gugi, który potrafi obejść funkcje bezpieczeństwa systemu Android 6 służące do blokowania ataków phishingowych i oprogramowania ransomware.

Zmodyfikowany trojan zmusza użytkowników do przekazania mu prawa nakładania się na rzeczywiste aplikacje, wysyłania i przeglądania wiadomości SMS, wykonywania połączeń i innych czynności. Szkodnik rozprzestrzenia się przy użyciu socjotechniki, a jego wykorzystywanie przez cyberprzestępców szybko wzrasta: od kwietnia do początku sierpnia 2016 r. liczba ataków wzrosła dziesięciokrotnie.

Celem trojana Gugi jest kradzież danych uwierzytelniających transakcje bankowości mobilnej poprzez nakładanie narzędzi phishingowych na rzeczywiste aplikacje bankowe oraz przechwytywanie danych dotyczących kart płatniczych przez nakładanie się na Sklep Play firmy Google. Pod koniec 2015 r. pojawiła się 6 wersja systemu Android z nowymi funkcjami bezpieczeństwa, które zostały stworzone z myślą o blokowaniu takich ataków. Obecnie programy wymagają zgody użytkownika, aby nałożyć się na inne aplikacje, i muszą prosić o zezwolenie w przypadku takich działań jak wysyłanie SMS-ów oraz wykonywanie połączeń, gdy po raz pierwszy chcą uzyskać do nich dostęp.

Eksperci z Kaspersky Lab wykryli modyfikację trojana Gugi, która potrafi skutecznie obejść te dwie nowe funkcje.

Pierwotna infekcja przy użyciu tego zmodyfikowanego trojana odbywa się za pośrednictwem socjotechniki, zwykle przy pomocy SMS-a, który zachęca użytkowników do kliknięcia szkodliwego odsyłacza. Po instalacji na urządzeniu trojan dąży do uzyskania potrzebnych mu praw dostępu. Gdy jest gotowy, wyświetla następujący komunikat na ekranie użytkownika: „Potrzebne są dodatkowe prawa w celu pracy z grafiką i oknami”. Istnieje tylko jeden przycisk: „Zezwól”.

Gdy użytkownik kliknie ten przycisk, pojawia się ekran z prośbą o autoryzowanie nałożenia się na aplikację. Po otrzymaniu zgody trojan zablokuje ekran urządzenia, wyświetlając na nim komunikat z prośbą o udzielenie praw „administratora urządzenia”, a następnie poprosi o pozwolenie na wysyłanie i przeglądanie SMS-ów oraz wykonywanie połączeń telefonicznych.

Jeśli trojan nie uzyska wszystkich potrzebnych zezwoleń, całkowicie zablokuje zainfekowane urządzenie. W takiej sytuacji jedyną opcją użytkownika jest ponowne uruchomienie urządzenia w bezpiecznym trybie i próba odinstalowania trojana – działanie, które będzie utrudnione, jeśli szkodnik zdobył już prawa „administratora urządzenia”.

Poza opisanymi możliwościami obejścia zabezpieczeń oraz kilkoma innymi funkcjami Gugi to typowy trojan bankowy, który kradnie finansowe dane uwierzytelniające, SMS-y oraz kontakty, wysyła żądania USSD i SMS-y zgodnie z poleceniami serwera kontrolowanego przez cyberprzestępców. 93% użytkowników zaatakowanych przez trojana Gugi znajduje się w Rosji, jednak liczba jego ofiar wzrasta – w pierwszej połowie sierpnia 2016 r. była ona dziesięciokrotnie wyższa niż w kwietniu 2016 r.

Porady bezpieczeństwa
Eksperci z Kaspersky Lab zalecają użytkownikom systemu Android, aby podjęli następujące działania w celu zabezpieczenia się przed trojanem Gugi oraz innymi podobnymi zagrożeniami:
- Nie zgadzaj się natychmiast na przekazanie praw ani udzielenie zezwoleń, gdy poprosi Cię o to aplikacja – zastanów się, o co zostałeś poproszony i dlaczego.
- Zainstaluj rozwiązanie do ochrony przed szkodliwym oprogramowaniem na wszystkich urządzeniach i dopilnuj, aby system operacyjny był tak aktualny, jak to tylko możliwe.
- Nie klikaj odsyłaczy zawartych w wiadomościach pochodzących od nieznajomych lub w nieoczekiwanych wiadomościach od osób, które znasz.
- Zawsze zachowuj ostrożność podczas odwiedzania stron internetowych: jeśli coś wydaje się nawet trochę podejrzane, prawdopodobnie takie jest.

Mat. prasowe, własne

Oprac. T.J.