Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Jak zabezpieczyć się przed wirtualnymi złodziejami

Tagi:



Możliwość dokonywania transakcji finansowych za pośrednictwem internetu znacznie ułatwiła nasze życie. Teraz praktycznie każdy rodzaj produktu czy usługi można kupić, siedząc w zaciszu własnego domu, a dzięki usługom bankowości internetowej nie trzeba stać w kolejce w banku. Jednak rosnąca popularność płatności online to również „woda na młyn” cyberprzestępców, którzy ochoczo wykorzystują zaawansowane technologie: im więcej osób wybiera zdalne zarządzanie finansami, tym więcej z nich może potencjalnie stać się ofiarą cyberprzestępców. Kradzież informacji finansowych i przelewanie zasobów użytkowników na konta kontrolowane przez cyberprzestępców stanowi obecnie wysoce efektywny sposób zarabiania pieniędzy, stosowany przez szkodliwych użytkowników na całym świecie.           

Teoretycznie, dla cyberprzestępców, którzy próbują ukraść informacje finansowe, korzystniej jest zaatakować „serwerową stronę” przetwarzania płatności (w tym infrastrukturę bankową, serwery systemu płatności itd.), ponieważ znajduje się tam ogromna ilość danych, które mogą zostać wykorzystane do celów przestępczych lub sprzedane. W praktyce jednak, uzyskanie takiego dostępu jest równie trudne jak włamanie się do fizycznego sejfu banku, ponieważ serwery korporacyjne są bardzo dobrze zabezpieczone. Dlatego też cyberprzestępcy wolą atakować użytkowników systemów bankowości online i płatności – którzy często nie są odpowiednio chronieni. W jednym ataku cyberprzestępcy mogą zainfekować dziesiątki tysięcy komputerów domowych – a infekcja na dużą skalę może przynieść im upragnione zyski.

W jaki sposób cyberprzestępcy kradną dane użytkowników

Cyberprzestępcy są uzbrojeni w cały arsenał metod, za pomocą których mogą uzyskać dostęp do poufnych informacji użytkowników. Podstawowym elementem większości ataków, których celem są dane finansowe, jest socjotechnika. Może być wykorzystywana do rozprzestrzeniania szkodliwego oprogramowania lub bezpośredniej kradzieży danych uwierzytelniających użytkownika.      

Phishing to klasyczny przykład wykorzystania socjotechniki w celu wyłudzenia od użytkowników informacji finansowych. Użytkownik jest podstępnie nakłaniany do przekazania cyberprzestępcom swoich poufnych informacji. Potencjalna ofiara może otrzymać „oficjalny” list w imieniu znanego banku (systemu płatności, sklepu internetowego itd.), w którym zostaje poinformowana, że w związku z awarią na serwerze organizacji wszyscy klienci muszą pilnie dostarczyć swoje dane osobowe w celu weryfikacji. Pretekst może się różnić w zależności od ataku, jednak w każdym przypadku klient jest namawiany do wysłania w odpowiedzi na e-mail swoich danych uwierzytelniających logowanie, wpisania ich w załączonym formularzu internetowym lub na „oficjalnej” stronie internetowej banku, klikając zawarty w e-mailu odsyłacz. Wszystkie informacje dostarczone przez użytkownika wpadną w ręce cyberprzestępców.            

Phisherzy wykorzystują fałszywe strony internetowe, które stanowią imitację ich oryginalnych odpowiedników.

trojan-money-1_auto.png

Przykład strony phishingowej

Aby zakamuflować oszustwo, cyberprzestępcy wykorzystują adresy URL, które są podobne do adresów oryginalnych stron internetowych. Stosowane są również różne sposoby fałszowania tekstu wyświetlanego na pasku adresu.  

Fałszerstwa phisherów są często trudne do odróżnienia od oryginalnych stron. Dlatego też eksperci radzą użytkownikom uzyskiwać dostęp do stron finansowych przy pomocy zakładek w swoich przeglądarkach zamiast odsyłaczy zawartych w e-mailach. 

Istnieją również wyspecjalizowane szkodliwe programy stworzone w celu kradzieży informacji finansowych - trojany bankowe. Programy te zwykle automatycznie gromadzą informacje o płatnościach dokonanych z zainfekowanych komputerów, a czasem przeprowadzają transakcje finansowe w imieniu użytkowników.   

Podczas ataków na klientów banków przy użyciu szkodliwych programów wiadomości phishingowe mogą być również wysyłane w imieniu atakowanego banku. W takich fałszywych e-mailach użytkownicy nie są proszeni o wysłanie informacji, ale o otwarcie załączonego dokumentu pod pewnym pretekstem. W rzeczywistości, załącznik stanowi szkodliwy plik. 

Takie masowe rozprzestrzenianie trojanów bankowych wspomagają exploity wykorzystujące luki w zabezpieczeniach w systemie Windows oraz innych popularnych programach. Exploity te wnikają do systemu bez wiedzy użytkownika za pośrednictwem luk w zabezpieczeniach szkodliwego oprogramowania i pobierają inne szkodliwe programy kradnące informacje finansowe z zainfekowanego komputera. Aby atak był skuteczny, cyberprzestępcy zamiast pojedynczych exploitów wykorzystują tzw. pakiety exploitów na różne luki w zabezpieczeniach. Pakiet exploitów analizuje oprogramowanie zainstalowane na komputerze użytkownika; jeżeli znajdzie lukę w oprogramowaniu, wybierze odpowiedniego exploita w celu zainfekowania komputera.     

Pakiety exploitów są przechowywane na serwerach cyberprzestępców lub na zhakowanych zasobach. Odsyłacze do exploitów są rozprzestrzeniane przez cyberprzestępców za pośrednictwem spamu, portali społecznościowych oraz są zamieszczane na zhakowanych legalnych stronach; w tym celu mogą być nawet wykorzystywane banery i teasery legalnych systemów reklamowych. Exploity, z kolei, pobierają trojany na komputery swoich ofiar. Szczególnie niebezpieczne są zainfekowane popularne strony: takie zasoby są odwiedzane przez wielu użytkowników, a gdy zawierają szkodliwy odsyłacz, komputer każdego użytkownika, który odwiedzi stronę, zostaje zaatakowany przez exploity, które próbują dołączyć do nich szkodliwe oprogramowanie.     

Cyberprzestępcy wykorzystują zarówno wielofunkcyjne trojany bankowe, które potrafią atakować klientów różnych banków lub systemów płatności, jak i trojany jednofunkcyjne, których celem jest atakowanie klientów określonych banków.

W jaki sposób działają trojany

Po znalezieniu się na komputerze użytkownika trojany bankowe zagnieżdżają się w systemie, a następnie zaczynają wykonywać przydzielone im zadanie, którym jest kradzież wszystkich rodzajów informacji finansowych użytkownika.    

Szkodliwe programy stosują następujące techniki:

  • Keylogging. Trojany przechwytują uderzenia klawiszy, gdy użytkownik wpisuje informacje, które mogą zainteresować cyberprzestępców, takie jak dane uwierzytelniające logowanie.
  • Wykonywanie zrzutów ekranu w celu przechwycenia poufnych informacji finansowych wpisywanych przy użyciu standardowej klawiatury. W tym przypadku, cyberprzestępcy widzą tylko informacje widoczne podczas wpisywania, nie mogą jednak uzyskać dostępu do loginów i haseł, ponieważ wpisywane znaki są zastępowane gwiazdkami na ekranie. 
  • Obchodzenie klawiatury wirtualnej: przechwytywanie obrazu obszaru ekranu w pobliżu kursora w momencie kliknięcia przez użytkownika lewego przycisku myszy. W ten sposób cyberprzestępca przechwytuje znaki wpisywane przez użytkownika przy użyciu klawiatury ekranowej, a tym samym zna login i hasło użytkownika.    
  • Modyfikacja pliku hosts. Informacje przechowywane w tym pliku mają pierwszeństwo w stosunku do informacji otrzymywanych przez przeglądarkę internetową z serwera DNS. Trojany dodają do tego pliku adresy URL banków i przydzielają do nich adresy IP serwerów cyberprzestępców. W efekcie, użytkownicy, którzy wpisują w swoje przeglądarki adresy URL takich banków są przekierowywani na oszukańcze strony, mimo że nadal widzą w swojej przeglądarce prawdziwy adres URL banku. Jeżeli użytkownicy wprowadzą na fałszywej stronie dane uwierzytelniające logowanie, informacje te zostaną wysłane cyberprzestępcom.
  • Włamywanie się do uruchomionego procesu przeglądarki. Dzięki temu trojan może kontrolować połączenie przeglądarki z serwerem. W ten sposób cyberprzestępcy mogą uzyskać dane uwierzytelniające logowanie, które użytkownicy podają na stronie banku, jak również zmodyfikować zawartość strony internetowej (za pośrednictwem wstrzykiwania sieciowego), a tym samym uzyskać dalsze poufne informacje.   


Do przeprowadzenia ogromnej większości operacji finansowych online użytkownicy potrzebują przeglądarki internetowej. Techniki stosowane przez współczesne trojany bankowe są w ten czy inny sposób związane z tym oprogramowaniem.

Wstrzykiwanie sieciowe, lub modyfikowanie zawartości strony HTML, to popularna metoda wśród cyberprzestępców. Szkodliwy program dodaje dodatkowe pola, gdy w przeglądarce wyświetlana jest strona internetowa banku, przekonując użytkownika, aby wprowadził poufne informacje. Na przykład, trojan Carberp wykorzystuje wstrzykiwanie sieciowe w celu zamieszczenia dodatkowych pól na stronie serwisu bankowości online, na której zachęca użytkownika do podania numeru swojej karty kredytowej, nazwiska posiadacza, daty wygaśnięcia, kodów CVV, CVC itd. Jeżeli użytkownik nie poda takich danych, trojan wyświetli komunikat o błędzie i zablokuje sesję bankową.     

trojan-money-2_auto.png 

Informacje, jakich żąda Carberp na zmodyfikowanej stronie sytemu bankowości online (zaznaczone czerwonymi ramkami)

Takie dodatkowe informacje podawane przez użytkownika nie trafiają do banku, ale wpadają w ręce cyberprzestępców, ponieważ są przechwytywane w momencie przesyłania danych do serwera bankowego. W efekcie, zarówno ofiara jak i bank nie są świadomi oszustwa. 

W większości przypadków, cyberprzestępcy wolą stosować kombinację różnych technik – w ten sposób zwiększają szanse skutecznej infekcji i efektywność szkodliwego programu. Jednym z najbardziej zaawansowanych trojanów wykorzystywanych przez cyberprzestępców jest trojan bankowy ZeuS (Zbot). Na całym świecie znajduje się wiele wariantów tego szkodliwego oprogramowania; co więcej, powstał jego klon pod względem funkcjonalności – trojan SpyEye.   

Oto niektóre cechy trojana ZeuS:

  • Trojan kradnie wszystkie informacje, które użytkownik „zapamiętał na komputerze”, np. zaznaczając opcję „Zapisz hasło”.
  • Szkodnik śledzi wciskane przez użytkownika klawisze. Jeżeli wykorzystywana jest klawiatura wirtualna, ZeuS przechwytuje obszar ekranu w pobliżu kursora w momencie kliknięcia przez użytkownika lewym przyciskiem myszki. W efekcie, cyberprzestępca wie, które klawisze zostały wciśnięte na klawiaturze ekranowej, a tym samym zna dane uwierzytelniające logowanie.
  • ZeuS wykorzystuje wstrzykiwania sieciowe. Gdy użytkownik otworzy stronę internetową wymienioną w pliku konfiguracyjnym ZeuSa, trojan dodaje nowe pola, w których użytkownik jest proszony o podanie poufnych informacji finansowych, którymi mogą zainteresować się cyberprzestępcy.   
  • ZeuS potrafi obejść najbardziej zaawansowane systemy bezpieczeństwa bankowego (zobacz dyskusję poniżej).


Szkodnik ten jest rozprzestrzeniany za pomocą socjotechniki oraz poprzez wykorzystywanie luk w zabezpieczeniach popularnego oprogramowania firmy Microsoft, Oracle, Adobe itd., gdy użytkownicy odwiedzają zhakowane strony internetowe. Odsyłacze do tych stron są w większości rozprzestrzeniane w spamie. 

ZeuS potrafi kraść poufne informacje w celu uzyskania nieautoryzowanego dostępu do kont w największych na świecie bankach. W 2012 r. zarejestrowaliśmy 3 524 572 prób zainstalowania tego szkodliwego oprogramowania na zlokalizowanych w różnych państwach 896 620 komputerów posiadających produkty firmy Kaspersky Lab.       

trojan-money-3_auto.png

 Mapa obrazująca rozkład prób infekcji ZeuSa/Zbota w 2012 r. (statystyki systemu KSN)

Obchodzenie drugiego czynnika

Jak już wyżej wspomniano, banki wkładają dużo wysiłku w zapewnienie ochrony swoim klientom. Trojany bankowe okazały się tak skuteczne, że banki musiały wprowadzić dodatkowy poziom ochrony – narzędzia identyfikacji użytkownika; wraz ze standardowymi danymi uwierzytelniającymi logowanie tworzą one tzw. uwierzytelnienie dwuskładnikowe. W przypadku uwierzytelnienia dwuskładnikowego, nie wystarczy poznać login i hasło użytkownika, aby uzyskać kontrolę nad kontem bankowym. 

Jednak cyberprzestępcy postrzegają wzmocnioną ochronę jako nowe wyzwanie i szukają nowych sposobów na jej obejście.

W przypadku uwierzytelnienia dwuskładnikowego banki stosują jednorazowe hasła (tzw. TAN-y, ang. Transaction Authentication Number). W praktyce może to być wydruk z bankomatu zawierający kody; wiadomości SMS z jednorazowymi hasłami, które bank wysyła na numer komórkowy użytkownika (mTAN) lub nawet specjalistyczne urządzenie (chipTAN).   

Aby obejść powyższe systemy bezpieczeństwa, cyberprzestępcy stworzyli nowe metody kradzieży danych i zmodyfikowali metody socjotechniki.

Hasła jednorazowe (TAN)

Trojan bankowy ZeuS posiada w swoim arsenale zestaw narzędzi, przy pomocy których może obejść różne rodzaje uwierzytelnienia dwuskładnikowego. ZeuS wykorzystuje interesujące narzędzie do gromadzenia haseł jednorazowych, które użytkownicy drukują w bankomacie. 

  1. Jak tylko użytkownik zarejestruje się w systemie bankowości online i poda swoje jednorazowe hasło, ZeuS kradnie dane uwierzytelniające, wyświetla fałszywy komunikat informujący, że aktualna lista jednorazowych haseł jest nieważna i nakłania użytkownika do pobrania nowej listy haseł.
  2. W celu otrzymania „nowej listy” użytkownicy muszą wprowadzić aktualne kody TAN, rzekomo w celu zablokowania ich, w odpowiednie pola formularza stworzonego przez ZeuSa przy użyciu metod wstrzykiwania sieciowego.
  3. Wszystkie wpisywane dane logowania są wysyłane do cyberprzestępców, którzy natychmiast wykorzystują je w celu przelania zasobów ofiary na swoje konta.

trojan-money-4_auto.png

  Przykład fałszywego powiadomienia stworzonego przez trojana ZeuS

mTAN

We współpracy z trojanem mobilnym ZeuS-in-the-Mobile (ZitMo) ZeuS potrafi kraść jednorazowe hasła użytkowników, które przychodzą na ich telefony komórkowe.

Poniżej przedstawiamy, w jaki sposób dwa trojany wchodzą w interakcję z użytkownikami:

trojan-money-5_auto.png

  

  1. Gdy użytkownicy odwiedzają stronę logowania do systemu bankowego, ZeuS wykorzystuje wstrzykiwania sieciowe w celu stworzenia na tej stronie dodatkowego pola, w które użytkownicy mają wpisać numeru telefonu, rzekomo w celu otrzymania aktualizacji certyfikatu.    
  2. Gdy użytkownicy wprowadzą dane uwierzytelniające logowanie wymagane do uwierzytelnienia oraz numer telefonu, trojan ukradnie te informacje i wyśle je do swoich właścicieli. Po pewnym czasie na telefon użytkownika przyjdzie SMS zawierający odsyłacz do „nowego certyfikatu bezpieczeństwa”. Gdy użytkownicy spróbują zainstalować taki fałszywy certyfikat, smartfon zostanie zainfekowany.  
  3. W ten sposób cyberprzestępcy uzyskują dostęp do wszystkich danych, które są niezbędne do zdalnej obsługi konta bankowego użytkownika, i kradną z niego pieniądze.

chipTAN

chipTAN to kolejna metoda uwierzytelniania dwuskładnikowego. Jest stosowana przez niektóre banki i wymaga, aby każdy klient posiadał specjalne urządzenie generujące kody TAN. Po zdefiniowaniu transakcji na stronie bankowej użytkownicy wkładają swoje karty kredytowe do urządzenia chipTAN i wprowadzają kod PIN.

trojan-money-6_auto.jpg

 

Następnie, użytkownicy umieszczają urządzenie w pobliżu monitora swojego komputera w celu sprawdzenia szczegółów dotyczących trwającej transakcji. Po sprawdzeniu takich szczegółów z danymi wyświetlonymi na ekranie urządzenia użytkownicy wprowadzają dodatkowy kod z urządzenia w celu potwierdzenia transakcji. 

trojan-money-7_auto.png

Strona chipTAN na niemieckiej stronie bankowej

chipTAN jest obecnie najbardziej zaawansowanym i najskuteczniejszym narzędziem bezpieczeństwa transakcji bankowych. Niestety, twórcy trojana bankowego SpyEye nauczyli się obchodzić również takie zaawansowane narzędzie bezpieczeństwa.

  1. Przy użyciu wstrzykiwania sieciowego trojan modyfikuje listę transakcji bankowych użytkownika. W efekcie, gdy użytkownik loguje się w systemie bankowości online, widzi, że przyszedł przelew bankowy na dużą sumę i saldo na rachunku zostało odpowiednio zmienione. 
  2. SpyEye, w imieniu systemu bankowości online, powiadamia użytkownika, że operacja ta została wykonana przez pomyłkę i jego konto zostanie zablokowane do czasu, gdy zwróci sumę, którą rzekomo otrzymał. 
  3. Aby nie dopuścić do zablokowania konta, użytkownik inicjuje nową operację płatności w celu zwrócenia pieniędzy. SpyEye prosi użytkownika o podanie wymaganego konta bankowego i kwoty. Trojan nie musi kraść wygenerowanego kodu chipTAN, ponieważ użytkownik wprowadza go ręcznie, a następnie potwierdza transakcję.  

trojan-money-8.png

 

  1. Następnie, trojan majstruje przy stronie internetowej, tak by wyświetlała pierwotne saldo na koncie bankowym, podczas gdy pieniądze zostają przelane cyberprzestępcom.     

trojan-money-9_auto.png

  Niemiecki bank ostrzegający swoich klientów przed powiadomieniami o błędnym przelewie pieniężnym

Jak widać, metoda ta nie wymaga nawet dodatkowych sztuczek technicznych ze strony cyberprzestępców; atak opiera się na wstrzykiwaniu sieciowym i socjotechnice. 

Token

Token to urządzenie USB wykorzystywane jako dodatkowe narzędzie bezpieczeństwa i zawierające unikatowy klucz, który jest wymagany przez system za każdym razem, gdy użytkownik przeprowadza operację płatniczą. Twórcy trojana bankowego Lurk znaleźli dość skuteczny sposób obejścia tej ochrony:

  1. Użytkownicy inicjują operacje płatnicze w systemie bankowości online i podają szczegóły.
  2. Trojan Lurk przechwytuje szczegóły dotyczące płatności i czeka, aż system poprosi o token. 
  3. System bankowości online prosi o token, a użytkownicy podają swoje dane uwierzytelniające, umieszczając token USB w odpowiednim gnieździe komputera.
  4. Trojan przechwytuje to zdarzenie, po czym wyświetla fałszywy „niebieski ekran”, który informuje użytkowników, że tworzona jest kopia pamięci w celu późniejszej analizy, i prosi użytkowników, aby nie wyłączali komputera do czasu zakończenia operacji.     

trojan-money-10_auto.png

  Fałszywy niebieski ekran wyświetlany przez trojana

Podczas gdy użytkownicy czekają, aż „operacja” zostanie zakończona (i w czasie, gdy ich tokeny znajdują się w porcie USB), cyberprzestępca uzyskuje dostęp do tych kont w celu realizacji zlecenia płatniczego w imieniu użytkowników i przelewa pieniądze na inne konto.

 

Szkodliwe programy z rodziny Trojan-Banker.Win32.BifitAgent wykorzystują inną metodę w celu obejścia tokena USB. Celem tych szkodników jest atakowanie użytkowników oprogramowania bankowości online stworzonego przez rosyjskiego producenta oprogramowania BIFIT. 


Szkodliwy program BifitAgent składa się z dwóch głównych modułów, które działają na komputerze ofiary – pliku wykonywalnego i archiwum Javy. Gdy szkodliwy program zostanie uruchomiony, główny moduł wykonywalny, który umożliwia komunikację z serwerem kontroli (C&C), działa jednocześnie ze szkodliwymi plikami JAR i pozwala osobom atakującym zmodyfikować kod JAVA w momencie dokonywania transakcji bankowych. Główną funkcją zawartego w szkodliwym pliku JAR kodu Javy jest podszywanie się pod dane wykorzystywane w transakcjach bankowych przeprowadzanych na zainfekowanym komputerze, tak aby użytkownik nie zorientował się. Wykorzystanie tokenu USB w transakcji nie stanowi przeszkody dla cyberprzestępcy, ponieważ token podpisuje transakcję dopiero po tym, jak dane zostaną zimitowane. W efekcie, pieniądze użytkowników trafiają na konta cyberprzestępców.   

W jaki sposób mogę się zabezpieczyć?

Banki i systemy płatności wkładają wiele wysiłku w zwiększenie ochrony swoich klientów, to jednak za mało, aby użytkownicy nie musieli przejmować się bezpieczeństwem swoich pieniędzy. Konieczne jest zabezpieczenie komputera użytkownika na wypadek kradzieży przez trojany bankowe oraz inne szkodliwe oprogramowanie danych niezbędnych do dokonania płatności – można to osiągnąć poprzez zabezpieczenie przeglądarki przed szkodliwym kodem, ochronę danych wprowadzanych z klawiatury oraz przy użyciu technologii antywirusowych, które uniemożliwiają wniknięcie szkodliwego oprogramowania do systemu. Jednak nawet ochrona antywirusowa sama w sobie nie wystarczy; musi istnieć metoda sprawdzania legalności zasobu sieciowego (strony banku, systemu płatności, sklepu internetowego itd.) oraz zapewniania bezpiecznego łączenia się z nią.  

Żadna transakcja finansowa nie może być uważana za bezpieczną, jeżeli nie są chronione trzy kluczowe komponenty:

1.    Komputer, z którego użytkownicy uzyskują dostęp do swoich kont bankowości online.

Oprogramowanie antywirusowe chroni cały system przed szkodliwymi programami; wyspecjalizowany komponent w takim oprogramowaniu chroni przeglądarkę wykorzystywaną do uzyskiwania dostępu do systemu bankowości online.

Oprogramowanie antywirusowe wykorzystuje różne mechanizmy ochrony, które utrudniają lub uniemożliwiają przeniknięcie szkodliwego kodu do systemu i uruchomienie go na komputerze. Te mechanizmy ochrony działają na wszystkich etapach operacji bankowej.

Jeżeli nieznany szkodliwy program zdoła przeniknąć do systemu, głównym zadaniem wszechstronnego rozwiązania antywirusowego będzie ochrona danych. W tym celu produkt musi monitorować procesy uruchomione w przeglądarce i chronić ją przed manipulacją ze strony innych aplikacji. Dodatkową ochronę zapewnia wirtualna klawiatura, przy użyciu której użytkownicy mogą bezpiecznie wpisać do przeglądarki szczegóły dotyczące dowolnej operacji płatniczej (numer karty kredytowej, kod CVV2/CVC2, dane osobowe itd.).  

2.    Kanał komunikacji między klientem a serwerem.

Bezpieczne połączenie uniemożliwia przechwycenie danych transmitowanych z klienta do serwera. Kanał komunikacyjny jest chroniony poprzez stosowanie specjalnych protokołów (TLS/SSL), co gwarantuje szyfrowanie transmitowanych danych. Z pomocą certyfikatu identyfikowana jest strona, z którą ustanawiane jest połączenie.  

Strony banków i systemów płatności posiadają certyfikaty cyfrowe, które są wydawane i podpisywane przez centra certyfikacji. Certyfikaty weryfikują autentyczność strony i legalność jego właściciela.

Fałszywe strony nie posiadają certyfikatów lub wykorzystują ich fałszywe odpowiedniki. Możemy jednak mieć do czynienia z bardziej złożoną sytuacją. Na przykład trojan, który zagnieździł się w systemie, może zmodyfikować plik hosts i przekierować użytkowników na stronę, która stanowi dokładną replikę oryginalnej witryny. Ten sam trojan może zainstalować na komputerze ofiary dodatkowy certyfikat, który zweryfikuje legalność fałszywego certyfikatu na stronie internetowej cyberprzestępców podczas sprawdzania jej przez przeglądarkę. W ten sposób cyberprzestępcy mogą odszyfrować wszystkie dane przesyłane przez przeglądarkę z fałszywej strony.     

Rozwiązanie antywirusowe powinno niezależnie sprawdzić autentyczność certyfikatu bezpieczeństwa zamiast zdawać się w tym celu na system operacyjny oraz przeglądarkę. Jeżeli certyfikat nie jest legalny, użytkownicy otrzymują ostrzeżenie.  

3. Strona organizacji finansowej.

Cyberprzestępcy tworzą swoje strony w taki sposób, aby przypominały oficjalne serwisy banków i systemów płatności. Sprawdzanie legalności certyfikatu jest skuteczne tylko wtedy, gdy użytkownicy wprowadzają poprawny adres URL strony banku. Jeżeli użytkownicy wejdą na stronę banku poprzez kliknięcie fałszywego odsyłacza w wiadomości phishingowej, na portalu społecznościowym lub w wynikach wyszukiwania, muszą zainterweniować komponenty antyphishingowe. Odsyłacze zostaną porównane z bazą zasobów sieciowych, które nie są godne zaufania. Jeżeli użytkownicy będą próbowali odwiedzić nielegalną stronę, otrzymają ostrzeżenie o zagrożeniu. Aby nie paść ofiarą phisherów, użytkownicy powinni odwiedzać strony bankowe, wykorzystując odpowiednią listę z produktu antywirusowego.   

Na koniec warto powiedzieć, że wysoki poziom autoochrony jest nieodzownym komponentem dobrego rozwiązania bezpieczeństwa. Jeżeli szkodliwy program zakłóci działanie rozwiązania antywirusowego, stworzy „wyłom” w systemie ochrony i naruszy bezpieczeństwo przyszłych transakcji.

trojan-money-11_auto.png  
Kluczowe elementy bezpiecznej transakcji

Opisywana koncepcja zabezpieczania transakcji online jest zaimplementowana w module Bezpieczne pieniądze rozwiązania antywirusowego firmy Kaspersky Lab. 

Scenariusze bezpiecznych transakcji

Przyjrzyjmy się, w jaki sposób zostaje przeprowadzona bezpieczna transakcja przy użyciu modułu Bezpieczne pieniądze. 

  1. Wszechstronna ochrona antywirusowa uniemożliwia szkodliwemu oprogramowaniu przeniknięcie do komputera. W szczególności, rozwiązanie bezpieczeństwa sprawdza system pod kątem luk w zabezpieczeniach systemu operacyjnego lub aplikacji. Jeżeli użytkownik nie aktualizuje regularnie systemu i jeśli system zawiera luki w zabezpieczeniu, które zostały załatane przez jego twórcę, rozwiązanie bezpieczeństwa ostrzega użytkownika o potencjalnym niebezpieczeństwie i proponuje uaktualnienie dziurawego oprogramowania.
  2. Jeżeli użytkownicy ręcznie wpiszą adres URL lub klikną odsyłacze znajdujące się w wiadomościach e-mail lub na portalach społecznościowych, moduł antyphishingowy sprawdzi taki adres URL z bazą zasobów sieciowych, które nie są godne zaufania. Jeżeli będzie to adres phishingowy lub szkodliwy, użytkownicy otrzymają ostrzeżenia. Jeżeli adres URL strony zostanie znaleziony w bazie danych, użytkownicy zostaną zachęceni do otwarcia tej strony w chronionej przeglądarce.
  3. Oprogramowanie antywirusowe sprawdzi certyfikat stosowany do ustanowienia bezpiecznego połączenia. Zostanie wysłane zapytanie do opartego na chmurze serwisu weryfikacji certyfikatów.
  4. Jeżeli certyfikat nie będzie legalny, użytkownicy otrzymają powiadomienie, że połączenie nie może zostać nawiązane. Moduł Bezpieczne pieniądze wyjaśni, dlaczego połączenie jest uznawane za niegodne zaufania. Jeżeli certyfikat jest godny zaufania, chroniona przeglądarka nawiązuje zaszyfrowane połączenie ze stroną banku.
  5. Bardziej bezpieczne jest skorzystać z listy banków zawartej w rozwiązaniu bezpieczeństwa, aby otworzyć stronę uwierzytelnienia systemu bankowości online lub wprowadzić stronę klienta w systemie płatności. W tym przypadku ustanawiane jest bezpieczne połączenie i legalna strona banku zostaje natychmiast otworzona w chronionej przeglądarce.
  6. W aktywnym trybie Bezpieczne pieniądze dane wprowadzane na stronie bankowej, przy pomocy zwykłej klawiatury lub wirtualnej, są chronione za pomocą specjalnego sterownika, który uniemożliwia przechwycenie ich przez cyberprzestępców.

 

A zatem transakcja płatnicza jest zabezpieczona przed trojanami bankowymi przy użyciu oprogramowania antywirusowego, chronionej przeglądarki i poprzez wprowadzanie znaków przy pomocy bezpiecznej klawiatury. Autentyczność systemu płatności lub strony bankowości online jest potwierdzana poprzez sprawdzanie odsyłaczy i certyfikatu cyfrowego.    

Skuteczność rozwiązania opartego na koncepcji bezpiecznych transakcji online została potwierdzona przez niezależne laboratoria testowe.

Podsumowanie

Banki, systemy płatności oraz inne organizacje finansowe dokładają wiele starań, aby zabezpieczyć swoje infrastruktury i klientów przed cyberprzestępcami. Jednak cyberprzestępcy często nie ustają w wysiłkach rozwijania szkodliwego oprogramowania, wymyślając nowe sposoby na obejście narzędzi bezpieczeństwa i kradzież informacji bankowych użytkowników. Na tym etapie informacje bankowe użytkowników są najlepiej chronione przy użyciu produktów antywirusowych i wyspecjalizowanych narzędzi, które potrafią ostrzegać przed niebezpieczeństwem, w porę zapobiec infekcji, nie pozostawiając żadnej luki dla nowych trojanów bankowych.