החשבון מאובטח? תחשבו שוב

חברת טרנד מיקרו פרסמה תחקיר אודות קמפיין סייבר נגד בנקאות מקוונת בשם Operation Emmental. במקרה זה ההאקרים הצליחו לעקוף מנגנון אימות דו שלבי וגם את זה של הסיסמא החד פעמית. הקמפיין כנראה התנהל ב-34 מדינות

פושעי אינטרנט מצליחים לעקוף את אמצעי האבטחה לגישה לחשבונות באינטרנט ב-34 בנקים בשווייץ, שוודיה, אוסטריה ויפן. ותוך כדי כך, אומרים מומחים, ההאקרים מנצחים את מה שלעתים קרובות מוגדר בתור אחד מפרוטוקולי האבטחה המקוונים היעילים יותר. כך לפי פרסום
בבלוג של חברת טרנד מיקרו/>.

ההתקפה יכולה לעקוף את האימות הדו שלבי (two-factor authentication) שמחייבת את הלקוחות להקליד קוד שנשלח לטלפון הסלולרי או לתיבת הדואר שלהם כדי לוודא שהמשתמש הוא מי שהוא טוען שהוא. זו התקפה המשלבת פישינג ו-MiTM ומתבצעת על מגוון פלטפורמות, כולל PC והתקנים ניידים, והיא משכנעת לקוחות להוריד אפליקציה זדונית. טכניקה זו הופכת גם את מנגנון הסיסמא החד פעמית (OTP) ללא רלוונטי בגלל שהתוכנה המותקנת על התקן המשתמש מיירטת את הסיסמא.

החוקרים נתנו להתקפה את הכינוי "אמנטל" (Operation Emmental) - כמו הגבינה השוויצרית - כי הם אומרים שזה מראה את פגמי האבטחה בבנקאות מקוונת. בנקים מנסים למנוע גישה מנוכלים לחשבונות מקוונים בכל מיני דרכים - סיסמאות, מספרי זיהוי, תיאום כרטיסים, מספר טרנזקציה (TAN) ו-session tokens - כל אלה נוצרו כדי לסייע במניעת הונאות בנקאיות. אנחנו נתקלנו באחרונה בפעולה פלילית שמטרתו להביס את אחד הכלים האלה: session tokens.

הכנופיה הפלילית הזו ממוקדת בבנקים המשתמשים ב-session tokens שנשלחו באמצעות . זוהי שיטת אימות דו שלבית שמנצלת טלפונים של המשתמשים כערוץ משני. המשתמש מנסה להתחבר לאתר הבנק ומקבל מספר ב-SMS. המשתמש צריך להזין את המספר כי יחד עם שם המשתמש והסיסמה הרגילים על מנת להיכנס לבנק. שימוש כזה נעשה כברירת מחדל על ידי כמה בנקים באוסטריה, שבדיה, שוויץ, ובמדינות אחרות באירופה.

פושעי האינטרנט שולחים דואר זבל למשתמש מאותן המדינות עם מיילים מזוייפים לכאורה מחנויות מקוונות ידועות, המשתמש לוחץ על קישור או הקובץ המצורף הזדוני ומכאן והלאה, המחשב שלו נגוע בתוכנה זדונית. עד כה, וקטור תקיפה אופייני למדי ומנקודת מבט איום, קצת משעמם.

אבל כאן זה נהיה מעניין. המחשבים של המשתמשים לא ממש הופכים להיות נגועים עם תוכנות זדוניות של בנקאות הרגילות, בכל מקרה. התוכנה הזדונית משנה רק את התצורה של המחשבים שלהם ואז מסירה את עצמו. איך זה בתור זיהום בלתי ניתן לגילוי? השינויים הם קטנים .... אבל יש להם השלכות גדולות.

הנה איך זה עובד: הגדרות ה-DNS של 'מחשבי' המשתמשים עוברות שינוי להצביע על שרת חוץ שנשלט על ידי פושעי האינטרנט. התוכנה הזדונית מתקינה אישורי SSL בסיסיים של הנוכלים במערכות שלהם, כך ששרתי HTTPS זדוניים הופכים להיות מהימנים כברירת מחדל, ומחשב המשתמש לא רואה שולח שום אזהרת אבטחה.

כעת, כאשר משתמש עם מחשב נגוע מנסה לגשת לאתר האינטרנט של הבנק, הוא יצביע על אתר זדוני שנראה כמו זה של הבנק שלו. עד כה, זה רק התקפת פישינג מוצלחת. אבל הפושעים הרבה יותר ערמומיים מזה. ברגע שהמשתמש מזין את האישור שלו, הוא מונחה להתקין יישום בטלפון החכם.

זו למעשה אפליקציית אנדרואיד זדונית במסווה של session token generator של הבנק. במציאות, היא תיירט הודעות SMS מהבנק ותעביר אותן לשרת פיקוד ושליטה (C & C) או למספר טלפון אחר. המשמעות בדבר היא כי פושעי רשת לא רק מקבלים את אישורי הבנקאות המקוונות של הקורבנות דרך אתר פישינג, אלא גם את ה-session token הנדרשים לבנקאות המקוונת. איך זה בתור פעולה זדונית גדולה? שליחת דואר זבל, תוכנות זדוניות חד פעמיות, שרתי DNS זדוניים, עמודי פישינג, תוכנות זדוניות באנדרואיד, C & C, ושרתי 'חדר אחורי' אמיתיים.

הפושעים התמקדו במשתמשים בשוויץ, אוסטריה ושוודיה. רק בחודש מאי שנה, הם הוסיפו משתמשי אינטרנט יפניים לרשימה שלהם של קורבנות פוטנציאליים. בטרנד מיקרו הצליחו לאתר את המפעילים באינטרנט: =FreeMan= ו-Northwinds. שחקנים אלה פועלים מאז 2011. הם מפיצים תוכנות זדוניות כמו SpyEye ו-Hermes. כאשר מסתכלים על הקבצים בינאריים שנתפסו, רואים שהשחקנים עשו שימוש בלפחות שני שירותי הצפנה שונים. אחד מנוהל על ידי אדם מאוזבקיסטן. שירות ההצפנה האחר לא זוהה.

מידע נוסף על התקפה זו ניתן למצוא בדו"ח טכני מפורט באתר של טרנד מיקרו.

You might be interested also

F-35B fighters on the deck of the aircraft carrier HMS Queen Elizabeth in May. Photo: REUTERS/Bart Biesemans

British F-35s to launch operation against Islamic State targets 

The planes from the 617th Squadron of the Royal Air Force will operate from the aircraft carrier HMS Queen Elizabeth to help prevent the terrorist organization from regaining a foothold in Iraq