Je vaše internetové bankovnictví v ohrožení?

Programy nechtěně instalované pomocí vyskakujících pop-up oken s využitím nezáplatovaných bezpečnostních chyb (na něž mnohdy již dávno existuje oprava) mohou způsobit mnoho potenciálních problémů o kterých spousta lidí ani netuší. Problém může být ještě daleko hlubší, pokud do hry přijde i získávání citlivých informací.

V posledních dnech odborníci na internetovou bezpečnost začali upozorňovat před novým nebezpečím – programem, který se automaticky nainstaluje pomocí pop-up okna a dokáže snímat provoz na klávesnici vašeho počítače. Pomocí tohoto mechanizmu dokáže program vysledovat heslo své „oběti“ pro přístup na stránky zhruba 50 cílových bank. Mezi ohrožená webové sídla finančních institucí patří například Citibank, Barclays Bank a Deutsche Bank.

„Pokud program rozezná, že jste právě na jedné z daných stránek finančních institucí, začne ukládat stisky kláves na vaší klávesnici,“ říká Marcus Sachs, ředitel Internet Storm Centre. I přesto, že všechny bankovní domy používají vestavěné šifrování v prohlížeči pro zabezpečení komunikace, program ve formě trojského koně tyto citlivé informace nasnímá ještě před tím, než je prohlížeč zašifruje a připraví k odeslání. Vysvětlení je jednoduché – trojský kůň zachytí data mezi klávesnici a prohlížečem a data jsou šifrována teprve při odesílání z prohlížeče.

Nákaza ve většině případů přichází pomocí bezpečnostních chyb v produktech – v tomto případě pomocí samo-vyskakujícího okna (pop-up), kdy se pomocí bezpečnostních chyb trojský kůň nejen dostane do počítače, ale zároveň se i aktivuje a nainstaluje. Na světě totiž stále existuje velké množství počítačů, které nedisponují již existujícími bezpečnostními záplatami operačních systémů a jejich obsluha celé toto riziko bere na lehkou váhu.

Podobně byly v tomto měsíci masově zneužity i dva jiné již opravené bezpečnostní problémy v Internet Exploreru. První z nich byl využit k napadení některých webových portálů a druhý instaloval do Internet Exploreru toolbar třetí strany, který uměl blokovat pop-up okna. Těžko říct, co vše kromě jedné pozitivní věci – blokování pop-up oken – ještě dělal.

Pomocí metody reverzního inženýrství byl nebezpečný trojský kůň zanalyzován odborníky z Internet Storm Centre a byla poodhalena jeho funkčnost. „Jakmile trojský kůň nějaká data získá, zašifruje je a odešle zpět útočníkům, kteří jsou zřejmě někde jižní Americe,“ říká Sachs. Zde je získaný seznam bank, které jsou v ohrožení. Zatím mezi nimi není žádná česká, nicméně může být jen otázkou času, kdy se program podobného ražení objeví i pro české prostředí.

  • .commbank.com.au | .citibank.com | .stgeorge.com.au | .bendigobank.com.au | .anz.com | national.com.au | westpac.com.au | .hsbc.com.au | barclays.co.uk | lloydstsb.co.uk | citibank.com.au | .online-banking.standardchartered.com.hk | www.ebank.iba.com.hk | www.dahsing.com www.citibank.com.hk | .hsbc.com.hk | .deutsche-bank.de | .citibank.de | .sparkasse-banking.de | banking.lbbw.de | dit-online.de | .dab-bank.com | www1.bmo.com | www.scotiaonline.scotiabank.com | cibconline.cibc.com | www1.royalbank.com | easyweb.tdcanadatrust.com | suncorpmetway.com.au | cd.citibank.co.ae | ebank.uae.hsbc.com | banknetpower.net | nbd.ae | online-banking.standardchartered.ae | standardchartered.com | www.cbdonline.ae | www.arabi-online.com | banking.mashreqbank.com | www.unb.com | online.nbad.com | pbg1.edc.citiaccess.com | www.privatebank.citibank.com.sg | ekocbank.kocbank.com.tr | internetsube.akbank.com.tr | hercules.pamukbank.com.tr | www.alahlionline.com | www.samba.com | www.almubasher.com.sa | www.sabbnet.com | .e-gold.com

Celý trojský kůň se na první pohled tváří jako GIF obrázek (img1big.gif) ve zkomprimovaném formátu. Jedná se však o zamaskovaný spustitelný Win32 soubor, který má velikost 27 648 bajtů a je komprimovaný pomocí Open Source kompresoru UPX. V dekomprimovaném tvaru má 81 920 bajtů a obsahuje dva spustitelné soubory: „browser helper“, který tajně snímá uživatelská jména a hesla a „file dropper“, který instaluje celek včetně monitoru klávesnice na počítači budoucí oběti. Oba soubory jsou uloženy jako náhodně pojmenovaná DLL knihovna v adresáři SYSTEM32 operačního systému. „Browser helper“ je registrovaný jako "Browser Helper Object" (BHO) v Internet Exploreru.

“Browser Helper Object” je DLL knihovna, která umožňuje vývojářům přizpůsobit a ovládat Internet Explorer. Ve chvíli, kdy IE 4.x a vyšší startují, dojde k přečtení záznamů o BHO v registrech a Internet Explorer následně nahraje BHO do paměti. V našem případě BHO sleduje HTTPS přístupy a kontroluje, zda se zadávaná URL shodují s URL monitorovaných bank. Ve chvíli kdy je vytvořeno odchozí HTTPS spojení na definovaná URL, BHO sejme odchozí POST/GET data ještě před zašifrováním pomocí SSL.

Kompletní popis funkčnosti včetně ukázek můžete najít zde.

Zdroj: ZDNet

Diskuze (82) Další článek: nVidia nabídne technologii SLI pro rychlejší hraní

Témata článku: , , , , , , , , , , , , , , , , , , , ,