Zloraba spletnega bančništva s pomočjo prenosa mobilne številke
Mandi
6. dec 2011 ob 09:59:06
Domiselnost tatov kar noče poznati meja. Skupina avstralskih nepridipravov je potem, ko so s trojancem uspešno pridobili prijavne podatke za spletno banko lokalnega poslovneža, z malo socialnega inženiringa dobila njegovo mobilno številko in jo po krajšem telefonskem klicu na avstralski Vodafone prenesla na svoj telefonski aparat. Nato so si naklikali 45 tisoč avstralskih dolarjev preko nakupa v trgovini s pohištvom. Banka je transakcijo sicer zaznala kot sumljivo, vendar imetnika računa niso uspeli priklicati, ker je med kontaktnimi podatki navedel (ironija) svojo mobilno številko.
Napad se je zgodil letos junija, poslovnež pa je zanj zvedel šele nekoliko kasneje, ko so ga uspeli dobiti na stacionarno linijo. Po dosegljivih podatkih so nepridipravi uspeli okužiti njegov prenosnik s trojasnkim konjem, ker pač ni bil pretirano pazljiv, to pa zato, ker se je zanašal na dodatni varnostni mehanizem za potrditev transakcije s SMS potrditveno kodo (TAN oz. mTAN). Nepridipravi je ta ovira upočasnila, a ne zaustavila. Par dni pred krajo so poklicali njegovo pisarno, se predstavili kot dacarji in od tajnice dobili nekaj osnovnih podatkov o direktorju. Naslednji dan dopoldne (ko je bil gospod v službi), so poklicali še njegovo domačo številko kot "poslovni partner" in od hčere dobili njegovo telefonsko številko. Zadnji klic je bil na Vodafonovo pomoč uporabnikov, kjer so se predstavili kot on in prosili za prenos številke na drug telefonski aparat (menjava operaterja pa to). Vodafonov zastopnik je vprašal le za osnovne podatke, se pravi ime, rojstni datum in mobilno številko, kar so vse izvohali s prejšnjimi klici. Nalog za prenos številke je šel naprej. Med čakanjem so poslovnežu še poslali SMS v imenu operaterja, da "načrtujejo vzdrževalna dela na njegovem območju, zato zna biti sprejem na njegovem telefonu v naslednjih 24 urah moten". Seveda je bil, ker čez par ur mu je Vodafone odklopil SIMko. Nepridipravi so počakali, da se je njihov telefon zbudil, se prijavili v poslovneževo spletno banko, naročili za 45 tisočakov opreme in vse skupaj povsem veljavno potrdili z SMS kodo. Banka je transakcijo zaradi višine sicer označila kot sumljivo, vendar kot rečeno, njeni predstavniki niso uspeli dobiti gospoda na mobilni telefon, ker je bila številka tega v rokah nepridipravov.
Zlorabe spletnega bančništva s katerim od številnih namenskih trojanskih konjev so dober posel in banke se na vse kripeže trudijo, da bi 1) odgovornost prevalile na malomarnega klienta 2) zadevo čimbolj poceni omejile. SMS kode so priljubljena opcija, vendar se jo da zaobiti, bodisi z namenskimi mobilnimi trojanci bodisi s socialnim inženiringom. Nasveti za varno poslovanje sicer tudi tukaj veljajo. Najbolje je spletno bančništvo izvajati z bootom v alternativni operacijski sistem (live cd ali usb plošček z zaščito proti pisanju) ali vsaj z dvofaktorsko potrditvijo, ker ta še vedno zahteva precej več truda s strani tatov. Tudi SMS obveščanje o prilivih / odlivih z računa ni slaba ideja, če je na voljo, ker vam omogoča hitrejšo blokado računa. Pri spletnem nakupovanju pa lahko pomaga zlasti Visa Electron, ki je debetna in ne kreditna kartica in zato rabi takojšnje kritje na računu, vendar jo sprejmejo praktično povsod. Še bolje deluje Visa Electron na ločenem računu, na katerega se pred nakupom pač nakaže dovolj sredstev, limita pa ni. Seveda je to precej več dela in vsakomur ne bo všeč.