Arhiva

Bankarski zloćudni programi

U posljednjih nekoliko godina uočen je porast cyber-napada na banke. To je napad na računalni resurs ili sustav upotrebom neke od tehnika zlouporabe ranjivosti tog sustava ili korištenje korisnika računala kao posrednika za uspješno izvođenje napada. Neke od metoda koje napadači koriste kako bi opljačkali banku su krađa identiteta i/ili brojeva kreditnih kartica te korištenje keyloggera, trojanskih konja, crva, virusa i drugih zloćudnih programa. Očit motiv napada na banke je novac, odnosno ilegalno preuzimanje novca iz banke.

Keyloggeri su zapravo špijunski programi koji prate i bilježe svaku tipku koju korisnik pritisne. Dijele se u dvije skupine,  alate u obliku programskih paketa i uređaje koji se ugrađuju u sklopovlje računala. Napadači koriste takve programe kako bi preuzeli osjetljive informacije kao što su brojevi kreditnih kartica, PIN-ovi, korisnički podaci i slično. Programi za praćenje unosa znakova s tipkovnice prikupljaju podatke i dostavljaju ih na posebna računala za odlaganje takvih podataka (eng. dropzones) s kojih ih napadač lako može dohvatiti.

Trojanski konji jedni su od najjednostavnijih i vrlo raširenih oblika zloćudnih programa. Oni sadrže neku korisnu funkcionalnost i time privlače korisnika da ih preuzme na svoje računalo i pokrene. Tom akcijom korisnik omogućuje napadaču pokretanje zlonamjernog programskog koda, odnosno pristup određenim podacima na računalu ili čak preuzimanje kontrole nad cijelim računalom (ovisno o namjeni trojanskog konja). Posebno opasna vrsta trojanskih konja su bankarski trojanski konji koji napadaju banke, ali i burze dionica koje se oslanjaju na Internet za prijenos podataka. Osnovna funkcija spomenutih trojanskih konja je krađa osobnih podataka žrtve, kao što su brojevi kreditnih kartica i PIN-ovi (eng. Personal Identification Number), te preuzimanje potpune ili djelomične kontrole nad računalom korisnika.

Uobičajeno je da postoji mnogo podataka dobivenih praćenjem unosa znakova preko tipkovnice i krađom korisničkih računa i sličnih osjetljivih podataka. Kako bi pronašli korisni podaci u gomili prikupljenih podataka napadači koriste napredne tehnike traženja podataka (eng. data mining). Filtriranjem beskorisnih podataka prilikom njihovog preuzimanja čini pljačkaše banaka mnogo učinkovitijima. Podaci se obično filtriraju na razini URL-ova (eng. Unified Resource Locator) koje korisnik koristi za pristup Internet bankarstvu. Kako bi se usredotočili na određene web stranice, bankarski trojanski konji tipično sadrže ili preuzimaju sa upravljačkog poslužitelja popis nizova znakova koji se koriste prilikom filtriranja. Spomenuti nizovi znakova su vezani uz banke, kao što je na primjer dio URL-a jedne banke, www.citibank.com, „/TAN/“ broj (TAN - Transaction Number) ili nazivi prozora s porukama na web stranici (na primjer „Dobro došli u Citi banku“ i slično).

Mnogi bankarski trojanski konji kradu korisničke podatke, transakcijske brojeve (TAN) ili jednokratne lozinke (OTP – one-time passwords) i šalju ih poslužiteljima kojima upravljaju napadači. Napadač se može prijaviti na Internet bankarstvo i prebaciti novac na račun koji mu pripada ili vjerojatnije prebaciti na račun kojeg nije moguće nadzirati. Banke mogu spriječiti ovakve napade upotrebom popisa lozinki, praćenjem nepravilnosti kod pristupa stranici i slično. Sve više banaka počinje koristiti poboljšane i sigurnije načine autentikacije, kao što je dvokoračna autentikacija, pa se napadači sve više usredotočuju na banke koje još uvijek nisu poboljšale svoje sigurnosne mehanizme.

Neki bankarski trojanski konji preusmjeruju korisnika prilikom prijave na Internet bankarstvo na lažnu web stranicu. Ova metoda napada naziva se pharming. Napadač oblikuje stranicu tako da ona oponaša web stranicu banke. Takva stranica također može služiti za napad s čovjekom u sredini, mijenjajući sadržaj prometa koji se prenosi između bankarske stranice i korisnikovog web preglednika.

Trojanski konji se mogu podijeliti u nekoliko obitelji. Razlikuju se prema bankarskim institucijama koje napadaju, alatima za sažimanje koje koriste te prema ponašanju na sustavu zaraženog korisnika. Dvije poznate obitelji trojanskih konja koji su rašireni Internetom su Limbo/Nethell i ZeuS/Zbot/Wsnpoem.

Phishing napadi podrazumijevaju aktivnosti kojima napadači upotrebom lažiranih poruka elektroničke pošte i lažnih web stranica financijskih organizacija (najčešće banaka) pokušavaju korisnika navesti na otkrivanje osjetljivih osobnih podataka. Pri tome se misli na podatke kao što su brojevi kreditnih kartica, korisnička imena, lozinke, PIN-ovi i slično.

Na području proizvodnje zloćudnih programa stvorilo se crno tržište. Cyber-kriminalci ne trebaju stvarati svoje zloćudne programe, već ih mogu kupiti na forumima namijenjenim upravo prodaji i kupnji takvih programa. Danas se na  raznim forumima mogu kupiti posebno oblikovane zlonamjerni programi ili unajmiti posebni poslužitelji na kojima su pokrenute zlonamjerne web aplikacije.

Opasnosti stalno vrebaju na Internetu i milijuni ljudi su svakodnevno žrtve krađa identiteta, financijskih prijevara i pljački. Zbog toga je važno dobro se zaštititi. Banke sa svoje strane primjenjuju nove mehanizme zaštite od napada, kao što je upotreba virtualnih tipkovnica, no i trojanski konji se prilagođuju novim sigurnosnim mjerama. Kao mjere zaštite korisnicima se savjetuje obrazovanje o računalima, tehnikama napada te mjerama zaštite jer ne postoji apsolutno rješenje koje će sto postotno štititi korisnika od napada.

Izradu dokumenta "Bankarski zloćudni programi" financirao je Nacionalni CERT, i možete ga pročitati na službenim stranicama CERT-a.

© Laboratorij za sustave i signale - Copyright 2008 - 2013. www.LSS.hr