Koncept potvrzování transakcí v internetovém bankovnictví, který je založen na přepisování jednorázových kódů, které banky zasílají svým klientům ve formě SMS na mobilní telefony, již není bezpečný a útoky z posledních týdnů to jasně potvrzují.
Pro přihlášení do internetového bankovnictví nebo potvrzení transakce požadují mnohé banky po svém klientovi zadání čísla mTAN (mobile Transaction Authentication Number), které mu zasílají přes síť mobilního operátora ve formě SMS na jeho mobilní telefon.
Neudržitelnost SMS konceptu potvrzena
O tom, že tento koncept postavený na SMS je dlouhodobě neudržitelný, jsme již psali v článku: Je smartbanking bezpečnější než internetbanking? A útoky, ke kterým následně došlo, tuto skutečnost jen potvrdily. Vždyť při posledním největším útoku z minulého roku označovaným jako Eurograbber bylo postiženo několik desítek tisíc klientů a z jejich účtů bylo odčerpáno několik desítek miliónů EUR. Útoky ale probíhaly i mimo EU, zasaženi byli i klienti větších bank v zemích bývalého SSSR, dále pak USA a Austrálie.
A bankovní škůdci to nevzdají
Rodina bankovního malwaru pro smartphony se nám totiž neutěšeně rozrůstá a aktivita malwaru jako je ZitMo, SpitMo, CitMo, Carberp nepolevuje. Situaci nahrává i únik zdrojových kódů tohoto malwaru, kdy případný zájemce o tvorbu bankovního malwaru již nemusí platit několik tisíc dolarů za jejich získání. Lze očekávat, že nové varianty na sebe nenechají dlouho čekat.
Současná ochrana internetového bankovnictví a prováděných transakcí
Klient se do internetového bankovnictví musí zpravidla dvoufaktorově autentizovat, to znamená, že nejprve zadá své uživatelské jméno a heslo (faktor z kategorie „něco ví“) a poté jednorázové heslo, které mu přijde na mobil (faktor z kategorie „něco má“). Tím je splněn požadavek na dvoufaktorovou autentizaci, tak jak ho definuje ve svém doporučení FFIEC.
Podobně je tomu i u autorizace transakce, kdy je klientovi zaslána SMS obsahující číslo cílového účtu, částku a mTAN, který klient musí přepsat do formuláře a transakci tak potvrdit. Vzhledem k tomu, že mTAN se ke klientovi dostává jiným kanálem, je splněna i další podmínka uvedena v dodatku FFIEC, a to aby autorizace transakce proběhla nezávislým kanálem, tzv. out-of-band.
Zloději museli vyřešit, jak se dostat k mTAN
Do nedávna se jevil tento způsob zabezpečení jako dostatečný, protože v okamžiku, kdy byl počítač klienta napaden nějakým škodlivým kódem a útočník získal jeho přihlašovací údaje a pokusil se transakci provést, nemohl ji dokončit, protože nebyl schopen zadat mTAN. Jednoduše proto, že neměl přístup k telefonu klienta, na který přišla SMS, a prakticky jedinou možností jak mTAN získat, byl Vishing, nepočítáme-li případ, kdy došlo k přenesení čísla k jinému operátorovi.
Novější malware dokázal změnit telefonní číslo pro zasílání mTAN
Brzy se však ukázalo, že tento způsob, jak se k mTAN dostat, je neefektivní. A tak se záhy objevila nová verze bankovního malwaru, která poté, co se klient do internetového bankovnictví přihlásil, změnila telefonní číslo, na které banka mTAN zasílá. Asi již tušíte, že se jednalo o SpitMo. Útočníci využívali skutečnosti, že banky ve svých SMS neuváděly, k jaké operaci se daný kód vztahuje, anebo po změně telefonního čísla ani žádnou SMS neposílaly.
Druhá generace malwaru už dokázala pracovat přímo v počítači klienta
Banky, které dvoufaktorovou autentizaci nezavedly, nasadily FDS a byly tak schopny poměrně spolehlivě určit, zda požadavek na realizaci transakce přišel od klienta nebo od útočníka. Jenže bankovní malware se vyvíjel dál a poměrně brzy se objevila druhá generace tohoto škodlivého kódu, která již byla schopna transakci provádět přímo z počítače klienta, a to tak, že škodlivý kód pozměnil před odesláním cílový účet a částku. Vzhledem k tomu, že požadavek přišel z počítače klienta v obvyklou dobu, mnohé FDS spoléhající až příliš na identifikaci stroje, nedetekovaly transakci jako podezřelou.
Útočníci využívali nepozornosti a důvěry klienta. Medializace dočasně pomohla
Úspěšnost tohoto útoku hodně záležela také na tom, zda banka v SMS zprávě kromě mTAN zobrazovala i cílový účet a částku a pokud ano, tak zda si klient tyto údaje před přepsáním mTAN zkontroloval. Pokud klient mTAN jen bezmyšlenkovitě přepsal, tak transakci potvrdil. Tato generace bankovního malwaru již byla úspěšnější, nicméně pořád musela spoléhat na nepozornost klienta.
Poté, co proběhla první vlna tohoto útoku, se úspěšnost útoků výrazně snížila. Přispěla k tomu především medializace tohoto útoku a osvěta ze strany bankovních institucí, které o tomto útoku informovaly své klienty, a ti již byli obezřetnější. Také mnohé banky, které v SMS doposud uváděly jen mTAN, přidaly do SMS též číslo cílového účtu a částku.
Nejnovější generace už ani nepotřebuje součinnost klienta pro získání mTAN
Třetí a zatím poslední generace bankovního malwaru, která na sebe nenechala dlouho čekat, zcela eliminovala výše zmíněný nedostatek a k dokončení transakce již v podstatě nepotřebuje téměř žádnou součinnost ze strany klienta. Rozuměj, klient již nemusí žádný mTAN přepisovat, neboť škodlivý kód si ho obstará sám. Jediné, co musí klient udělat, je nainstalovat si do svého smartphonu aplikaci, která bude číst obsah zpráv a přeposílat je útočníkovi.
Stačí, když si klient na počítač nainstaluje škodlivou aplikaci
Způsobů, jak k tomu klienta donutit, je několik. Útočníci zatím zvolili poměrně přímočarý způsob. Poté, co se jim podaří nakazit počítač klienta internetového bankovnictví škodlivým kódem, vloží do stránek internetového bankovnictví vlastní kód s odkazem na stažení aplikace pro smartphone, včetně zdůvodnění, proč by si měl klient tuto aplikaci nainstalovat.
Opět je ve hře důvěra či nepozornost
Vzhledem k tomu, že klient se nachází na stránce banky, což si může snadno ověřit kontrolou certifikátu, tak celkem logicky důvěřuje všemu, co je na stránkách banky uvedeno. Pokud se zde např. píše, že si má za účelem zvýšení své bezpečnosti do svého smartphone, na který mu jsou zasílány SMS, nainstalovat aplikaci, která ho ochrání, tak to udělá. Je otázka, proč se klient nepozastaví nad tím, že výzva je psána lámanou češtinou, a aplikaci si opravdu nainstaluje.
A nepozastaví se ani nad tím, že v mnoha případech je pro instalaci aplikace nutné povolit instalaci aplikace z jiných trhů, než je Google Play. Proč by se také pozastavoval, když je na stránkách internetového bankovnictví jasně vysvětleno, že to musí povolit právě proto, že se jedná o aplikaci od banky, a je zde uveden i návod, jak to udělat. Ovšem pokaždé to není nutné, neboť v některých případech byla tato aplikace umístěna delší dobu i na Google Play a na stránkách banky se nacházel QR kód umožňující její stažení.
Nakažený počítač, nakažený smartphone, pak už se stačí jen přihlásit
V okamžiku, kdy má klient nakažen počítač i smartphone, tak mu již není pomoci, protože škodlivý kód počká, až se klient přihlásí, a poté na pozadí vygeneruje transakci a odešle ji do banky. Banka vygeneruje SMS s mTAN, která přijde na smartphone klienta. Zde ji odchytí nainstalovaná aplikace, která jednorázový kód přepošle na server útočníka, kde se mTAN uloží do databáze. Škodlivý kód na počítači klienta provede dotaz do DB, stáhne si mTAN a transakci dokončí. Netřeba snad dodávat, že malware ve smartphone potlačí i akustické oznámení o přijetí zprávy.
Vykradači kont nepřestanou, budou se ještě lépe maskovat
Nyní již můžeme pomalu očekávat čtvrtou generaci bankovního malwaru, která bude víceméně jen zdokonalovat výše uvedený koncept. Lze očekávat silně polymorfní zašifrovaný kód využívající asymetrické kryptografie, který se bude v napadeném systému maskovat a bránit se odhalení. Je jisté, že C&C servery budou běžně navštěvované servery, a stejně tak i server sloužící jako drop zóna. K uložení příslušných údajů bude nepochybně využita steganografie. Samozřejmostí pak bude i perfektní čeština.
Jak se v současnosti bránit?
Obrana před stávajícím i novým bankovním malwarem je naštěstí poměrně snadná, stačí např. nasadit kalkulátor pracující na principu challenge-response, kde do výpočtu OTP vstupuje číslo účtu, částka a měna a na straně banky pak používat nějaký lepší FDS.
Originální znění článku naleznete zde.