» »

Nov, tehnično dovršen napad na nemške spletne banke

Nov, tehnično dovršen napad na nemške spletne banke

SMS sporočilo s skritim in digitalno podpisanim mobilnim trojancem

Slo-Tech -

Raziskovalci pri podjetju F-Secure poročajo o novem, tehnično dovršenem napadu na uporabnike spletnega bančništva. V normalnih okoliščinah se uporabnik prijavi v spletno banko kar z uporabniškim imenom in geslom, ko pa želi opraviti transakcijo, jo rabi posebej avtorizirati z vpisom posebne številke (mTAN), ki jo v ta namen obliki SMS-a prejme na svoj mobilni telefon. Ta sistem dvojnega preverjanja preprečuje, da bi napadalec zgolj z prestrezanjem uporabniškega imena in gesla (npr. s keyloggerjem) spraznil račun.

Napad poteka v več fazah. Najprej rabijo lopovi na spletno stran banke nastaviti opozorilo, da je uporabnikovo digitalno potrdilo poteklo in da rabi dobiti novega (nič od tega seveda ni res). Opozorilo vstavijo s predhodno nameščenim trojancem SpyEye. Ko uporabnik klikne na opozorilo, pride na napadalčev strežnik, kjer je povprašan po svoji mobilni številki in IMEI kodi mobitela. Ko ju vnese, dobi poseben SMS s številko novega certifikata (na sliki); v resnici pa je SMS-u priložena zahteva za namestitev mobilnega trojanca za okolje Symbian. Trojanec se namesti samodejno in brez vprašanj, to pa so uspeli narediti tako, da so ga podpisali z ukradenimi razvijalskimi ključi kitajskega mobilnega operaterja OPDA. Programi, podpisani z razvijalskimi ključi, so omejeni na specifičen telefon (IMEI kodo), to pa je uporabnik napadalcem posredoval v prejšnjem koraku. S tem se prva faza zaključi.

Naslednja faza nastopi, ko se uporabnik dejansko odloči plačati kakšen račun. Prijavi se v spletno banko, pri čemer mu trojanec SpyEye pokrade upurabniško ime in geslo ter ju sporoči napadalcu. Zatem uporabnik vnese podrobnosti transakcije. Banka mu na telefon pošlje potrditveno kodo, to pa prestreže mobilni trojanec in jo prav tako posreduje napadalcu. Zatem trojanec zamenja kodo v sms sporočilu z neveljavno, s čimer prepreči, da bi bil uporabnik sam potrdil transakcijo in s tem izčrpal veljavnost potrditvene kode.

Ob tretji priložnosti se napadalec prijavi v spletno banko z ukradenim uporabniškim imenom in geslom, ter vnese podatke za nakazilo na svoj bančni račun. Kot potrditveno kodo vnese tisto, ki jo je v drugi fazi pridobil z mobilnim trojancem. Sistem jo mirno sprejme, ker koda ni enkratna in vezana na vsakokratni poskus transakcije, ampak preprosto vzeta in seznama vnaprej pripravljenih enkratnih kod.

Kraja je s tem zaključena.

Južnoafriška verzija napada se ne obremenjuje z namestitvijo mobilnega trojanca; napadalci namesto tega v svoj mobilni telefon vstavijo ponarejeno SIM kartico z isto številko, kot jo ima žrtev, in s tem preprosto prestrežejo potrditveno kodo.

Opisani primer kaže izjemno voljo in trud, ki so ga zlikovci pripravljeni vložiti za krajo denarja, ter še enkrat potrjuje, da glede varnosti ne kaže jemati bližnjic in upati, da jih nihče ne bo našel.

23 komentarjev

WhiteAngel ::

Vse lepo in prav. AMPAK, SpyEye se pa namesti kako točno?

bond007 ::

Kako pa pride napadalec do digitalnega potrdila?

poweroff ::

Novega ti zgenerira, ker ti je "staro poteklo". V ozadju pa klasičen MITM napad. Kar je zanimivo je to, da tukaj MITM poteka v dveh fazah oz. na dveh ločenih kanalih.
sudo poweroff

Matko ::

resnici pa je SMS-u priložena zahteva za namestitev mobilnega trojanca za okolje Symbian. Trojanec se namesti samodejno in brez vprašanj, to pa so uspeli narediti tako, da so ga podpisali z ukradenimi razvijalskimi ključi

Lahko kdo napiše še kaj več o tem?

Glede na opisano so očitno zaenkrat ranljivi samo Symbian telefoni?

BigWhale ::

"Najprej rabijo lopovi na spletno"

Hmm.

poweroff ::

Zakaj sklepaš, da so ranljivi samo Symbian telefoni? Ker trenutni ni bil še javno odkrit napad na kakšno drugo platformo?
sudo poweroff

FireSnake ::

Ena beseda: prebrisano :D
Poglej in se nasmej: vicmaher.si

Han ::

BigWhale je izjavil:

"Najprej rabijo lopovi na spletno"

Hmm.


"...in da rabi dobiti novega..."

"...SpyEye pokrade upurabniško ime..."

Tile S-T Pisuni ™ so res fenomeni. :))

Matko ::

The so-called certificate, the Symbian component of the malware, is detected as Trojan:SymbOS/Spitmo.A.

Spitmo.A contains the malicious executable (sms.exe) and another installer which contains an executable named SmsControl.exe. SmsControl.exe will just display the message "Die Seriennummer des Zertifikats: Ü88689-1299F" to fool the user into thinking that the installer was indeed a certificate.

The name SmsControl.exe is quite a co-incidence as a variant of ZeusMitmo used the same filename for the file containing the actual trojan. Faking the trojan to be a certificate is also a trick that ZeusMitmo has used.


Tukaj NE piše, da se inštalacija trojanca na telefonu zgodi prikrito!

Zgodovina sprememb…

  • spremenil: Matko ()

KoKi ::

Ko sem to bral, sem se počutil kot v kakšnem ameriškem filmu.
# hackable

masterpsi ::

KoKi je izjavil:

Ko sem to bral, sem se počutil kot v kakšnem ameriškem filmu.


tudi jaz.

A nekdo s takim znanjem nima dovolj svoje plače??
Poleg tega je treba skrit še transakcijo po prenosu. Torej ko se uporabnik pritoži, predvidevam, da bo banka sledila denarju... do Paname...

phenom ::

Ma to sploh ni tk težko skrit, medtem ko lastnik računa opazi da nekaj ni v redu in sporoči to banki da začne pregledovart nakazila, jih je lahko med tem narjeno že sto prenakazil na račune v katere niti policija nima v pogleda, saj velja bančna tajnost.

Golden eye ::

tiskarska napaka v članku:
....ampak preprosto vzeta IZ seznama vnaprej pripravljenih enkratnih kod.

Fave ::

Južnoafriška verzija napada se ne obremenjuje z namestitvijo mobilnega trojanca; napadalci namesto tega v svoj mobilni telefon vstavijo ponarejeno SIM kartico z isto številko, kot jo ima žrtev, in s tem preprosto prestrežejo potrditveno kodo.


Kako se mobilno omrežje odzove na dve enaki SIM kartici?
My mind's a hyper tool that fixes everything.

fiore ::

Han je izjavil:

BigWhale je izjavil:

"Najprej rabijo lopovi na spletno"

Hmm.


"...in da rabi dobiti novega..."

"...SpyEye pokrade upurabniško ime..."

Tile S-T Pisuni ™ so res fenomeni. :))

"...jo rabi posebej avtorizirati..."
geez, včasih se mi zdi kot da sem šel na balkan-tech.com....

gzibret ::

Meni pa ni jasno nekaj... Kako lahko zlobni programer naloži neko aplikacijo na tvoj telefon ZGOLJ s tem, da pošlje SMS?
Vse je za neki dobr!

CaqKa ::

pa kako lahko imajo gesla za potrjevanje transakcije nekje harcdodana in veljavna dalj časa. pri secure ID morš v roku ene minute vpisat, drugače si pečen...

poweroff ::

Berite in se čudite - tole sem pisal že pred dobrim letom ali dvema, tako da je ziher še kakšen nov napad: https://svn.berlin.ccc.de/projects/airp...

Over-the-air napad


Vir: http://www.riscure.com/contact/article-...
sudo poweroff

Zgodovina sprememb…

  • spremenilo: poweroff ()

cegu ::

Fave je izjavil:

Južnoafriška verzija napada se ne obremenjuje z namestitvijo mobilnega trojanca; napadalci namesto tega v svoj mobilni telefon vstavijo ponarejeno SIM kartico z isto številko, kot jo ima žrtev, in s tem preprosto prestrežejo potrditveno kodo.


Kako se mobilno omrežje odzove na dve enaki SIM kartici?


Omrežje vé, v kateri coni si. Tako da, če sta oba mobitela v isti coni (npr če sta oba v okolici Kranja), potem se omrežje ne zaveda, da gre za 2 mobilca in SMS sprejmeta oba. (Tudi oba telefona bi zvonila, če bi ju klical).

Če pa nista v isti coni:
Ukraden telefon resetiraš, ta bo od omrežja zahteval cono, omrežje pa si bo to cono zapisalo v sistem (in s tem prepisalo cono originalnega telefona). SMS bo v tem primeru sprejel ukraden telefon, dokler spet ne pride do sinhronizacije orginalnega telefona. Ko nekakšen pink-ponk bi si podajala dosegljivost.

Toliko sem pobral od 3urnega predavanja o GSM.

Fave ::

cegu je izjavil:

Fave je izjavil:

Južnoafriška verzija napada se ne obremenjuje z namestitvijo mobilnega trojanca; napadalci namesto tega v svoj mobilni telefon vstavijo ponarejeno SIM kartico z isto številko, kot jo ima žrtev, in s tem preprosto prestrežejo potrditveno kodo.


Kako se mobilno omrežje odzove na dve enaki SIM kartici?


Omrežje vé, v kateri coni si. Tako da, če sta oba mobitela v isti coni (npr če sta oba v okolici Kranja), potem se omrežje ne zaveda, da gre za 2 mobilca in SMS sprejmeta oba. (Tudi oba telefona bi zvonila, če bi ju klical).

Če pa nista v isti coni:
Ukraden telefon resetiraš, ta bo od omrežja zahteval cono, omrežje pa si bo to cono zapisalo v sistem (in s tem prepisalo cono originalnega telefona). SMS bo v tem primeru sprejel ukraden telefon, dokler spet ne pride do sinhronizacije orginalnega telefona. Ko nekakšen pink-ponk bi si podajala dosegljivost.

Toliko sem pobral od 3urnega predavanja o GSM.


Zanimivo. In dost slabo IMHO.
My mind's a hyper tool that fixes everything.

poweroff ::

cegu je izjavil:

Omrežje vé, v kateri coni si.

S tem, da sta coni v Sloveniji dve.
sudo poweroff

Fave ::

poweroff je izjavil:

cegu je izjavil:

Omrežje vé, v kateri coni si.

S tem, da sta coni v Sloveniji dve.


Kakšni coni to?
My mind's a hyper tool that fixes everything.

poweroff ::

Bazno področje.

V bistvu ko se ti prijaviš v bazno področje, se pošlje tvoj IMSI v omrežje in se ti dodeli TMSI. Ob prehodu ali če telefon ugasneš in spet prižgeš (ali po par dneh ob refreshu) spet prileti IMSI en clear.

Kar zna biti v določenih okoliščinah... hmmm... uporabno. 8-)
sudo poweroff

Zgodovina sprememb…

  • spremenilo: poweroff ()


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Twitter dobiva izboljšane varnostne ukrepe

Oddelek: Novice / Varnost
53630 (3118) Mavrik
»

Zloraba spletnega bančništva s pomočjo prenosa mobilne številke

Oddelek: Novice / Varnost
184478 (2906) poweroff
»

SpyEye e-bančni trojanec na voljo za Androida

Oddelek: Novice / Varnost
3210845 (9353) SkipEU
»

Nov, tehnično dovršen napad na nemške spletne banke

Oddelek: Novice / Varnost
239161 (7820) poweroff
»

Novi varnostni mehanizmi slovenskih bank (strani: 1 2 )

Oddelek: Novice / Varnost
7112075 (8566) CaqKa

Več podobnih tem