Zobacz, jak nie dać się oskubać!

Systematyczne odkładanie gotówki w banku daje nam coś tylko wtedy, gdy nikt nam jej nie ukradnie. To oczywiste. W artykule, na podstawie aktualnych wydarzeń pokazujemy jednak, że jeśli chodzi o pieniądze, nie możemy ufać ani naszemu bankowi, ani przyjaciołom, ani nawet własnemu pecetowi. Co gorsza, problemem jest w tym przypadku nie tylko niefrasobliwość internautów, którzy nabierają się na phishing, ale także możliwość zhakowania globalnego systemu rozliczeń finansowych, którego zasięg – jak miało to miejsce w styczniu u naszych zachodnich sąsiadów – może objąć cały kraj.

Phishing w serwisach społecznościowych

Jak ważne jest niezawodne oprogramowanie bankowe, pokazują dramatyczne przykłady z życia. Trafiając na coraz lepiej poinformowanych internautów, hakerzy sięgają po zupełnie nowe metody, a one potrafią wyprowadzić w pole nawet doświadczonych użytkowników. Na przykład za pomocą nowego triku na Facebooku. Okazuje się bowiem, że współczesne trojany przechwytują nie tylko loginy i hasła do e-banków oraz kody PIN, ale także informacje dostępowe z Facebooka.

Te ostatnie są często chronione w stopniu o wiele niższym niż informacje bankowe, co pozwala oszustom na więcej niż tylko wgląd w prywatne dane użytkownika, mogą np. łatwo ustalić bezpośrednich znajomych przejętego konta i przesłać im odsyłacze do sfałszowanych czy zainfekowanych stron. Większość adresatów nigdy nie kliknęłaby linku phishingowego w spamowej poczcie – są na to już zbyt wyedukowani – ale z reguły nie mają obiekcji, aby sprawdzić treść odnośnika, który podsyła im użytkownik będący jego znajomym na Facebooku.

Ale to nie wszystko, mając nielegalny dostęp do konta na Facebooku, przestępca może na przykład publikować sfałszowane strony na Allegro i polecać zainfekowane trojanami witryny z darmowym oprogramowaniem albo filmiki na YouTube zawierające złośliwe kody. Przez usługi skracania adresów, np. TinyURL, które na Twitterze i Facebooku są czymś zwykłym, kanciarz może kierować użytkowników tych serwisów do fałszywych domen.

Również sztuczki, na które w wydaniu emailowym nikt się już nie nabiera, w wydaniu serwisów społecznościowych wyglądają całkiem obiecująco. Prosty przykład: po zhakowaniu konta ofiary oszust wysyła do jej przyjaciół bezpośrednią prośbę o wsparcie. Mami ich informacjami, że ich przyjaciel na urlopie jest w kłopotach finansowych (skradziony paszport, wypadek i wysokie koszty leczenia itp.) i pilnie potrzebuje gotówki. Najlepiej w ciągu kilku minut – sytuacja jest krytyczna – przelewem przez pośrednika w transferach pieniężnych takich jak Western Union. Skutek: pieniądze trafiają w ręce złodzieja.

Przechytrzony przez system

E-banki nie zawsze są skłonne do płacenia za straty, jakie ponoszą ich klienci, stając się ofiarami hakerskich ataków. Pokazuje to przypadek Tomasza Zabielskiego (imię i nazwisko zmienione przez redakcję) – jednego z czytelników CHIP-a będącego obecnie na emigracji w Niemczech, który zreferował nam to, co go spotkało.

Tuż po przyjeździe do Berlina, gdzie znalazł pracę jako administrator sieci korporacyjnej w dużej filmie handlowej, musiał założyć konto bankowe. Zdecydował się na jedną z bardziej szacownych instytucji – duży niemiecki bank spółdzielczy. Instytucja ta używała do podpisywania zleceń metody eTAN. Jest do niej konieczne urządzenie przypominające token, które generuje po naciśnięciu przycisku numer TAN (Transaction Authentication Number) uwierzytelniający  transakcję.

Ten sposób przez wiele lat uważany był za bezpieczny, ponieważ TAN jest mocno związany z danymi adresata przelewu. Jeśli oszust próbuje przekierować przekaz pieniędzy na inne konto, numer TAN staje się nieważny dla tej transakcji. Luki tej metody udowodniła jednak firma RedTeam Pentesting zajmująca się zabezpieczeniami komputerowymi, której w 2009 r. za pomocą specjalnego trojana udało się obejść mechanizm eTAN.

Ale Zabielski już kilka miesięcy wcześniej odczuł na własnej skórze, że metoda eTAN nie jest tak pewna, jak to się powszechnie uważa – dokonał dwóch przelewów, które po realizacji wyświetlały się prawidłowo w online’owym systemie transakcyjnym banku. Zabielski nie był nowicjuszem w branży komputerowej – zawód admina wykonywał już od ponad 10 lat. Nie padł też ofiarą phishingu, a jego pecet był wystarczająco zabezpieczony. Gdy jednak zalogował się do banku kilka dni później, dostrzegł, że druga transakcja trafiła nie tam, gdzie trzeba – podmieniony odbiorca okazał się hurtownią sprzętu komputerowego, o której Zabielski nigdy nie słyszał. Wcześniej firma ta otrzymała zwykłe zamówienie od domniemanych oszustów i po wpłynięciu pieniędzy wysłała im towary o wartości 1000 euro.

Lecz przedsiębiorstwo odmówiło podania Zabielskiemu danych klientów podejrzanych o malwersacje. Powód? Ochrona danych osobowych wzmocniona dodatkowo faktem, że nie miał obywatelstwa niemieckiego. Poszkodowany zadzwonił więc na infolinię banku, gdzie został poinformowany, że z numerami TAN należy się obchodzić ostrożnie. Poza tym truizmem ofiara dowiedziała się, że odzyskanie pieniędzy jest już niemożliwe, gdyż od zajścia minęła ponad doba, a bankowe dochodzenie kosztuje 16 euro płatne z góry. Ostatecznie bank zaproponował, by zwrócił się o pomoc do policji. Zabielski złożył doniesienie o popełnieniu przestępstwa. Od swego banku nie usłyszał już nic więcej – do czasu aż napisał do zarządu.

Odpowiedź instytucji finansowej, której powierzył przecież swoje środki, była lakoniczna: „Metoda eTAN jest bezpieczne, zatem to on musiał popełnić błąd. Jednakże ze względu na dobre stosunki handlowe bank zwróci mu utraconą kwotę”. Dzięki temu, że nie dał się spławić, Zabielski dostał z powrotem swoje pieniądze. Nie udowodnił jednak, że zabezpieczenia banku są niewystarczające.

W jaki sposób kanciarze zdołali ostatecznie obrabować ofiarę, nie jest już do końca zrozumiałe – mimo intensywnego poszukiwania śladów na swoim pececie, Zabielski nie odnalazł na nim malware’u.

A musimy założyć, że chodziło o trojana, który został zamaskowany przez rootkita i ukrył się w systemie w sposób niemożliwy do wytropienia. Gdy ofiara weszła przez przeglądarkę na strony banku, trojan przekierował ją na fałszywkę. Zabielski nie zauważył ani drobnych różnic w wyglądzie stron, ani tych wynikających z podrobionego certyfikatu, nie był więc świadomy, że to, co bierze za witrynę banku, jest w rzeczywistości jej podróbką. Od tej pory wymiana danych odbywała się pomiędzy podrobioną witryną a nieświadomym niczego Zabielskim. Po wygenerowaniu i wprowadzeniu numeru TAN przestępcy przejęli go i uwierzytelnili nim własną transakcję – w tym przypadku był to przelew na konto firmy komputerowej. Z punktu widzenia Zabielskiego wszystko wyglądało jednak tak, jakby faktycznie składał dyspozycję przez system trakcyjny swojego banku.