Mészáros Csaba, 2015. március 6.

 biztonság bank malware cwprint támadás zeus

Jelentősen megváltoztak a bankhasználati szokások az utóbbi években, egyre többen intézik átutalásaikat online hozzáférésen keresztül. Jóformán csak azok végzik ezeket a műveleteket bankfiókban, akik vagy nem rendelkeznek interneteléréssel, vagy a sajtóban nap mint nap olvasható rossz hírek hatására nem tartják biztonságosnak az internetes átutalást.

Az online pénzmozgások tömegessé válása kiváló alkalmat kínál a pénzlopásra a banki csalásokra szakosodott kiberbűnözőknek. A legkorszerűbb biztonsági rendszerekkel felszerelt pénzintézetek ellen sokkal nehezebben boldogulnak, ezért inkább a gyenge láncszemnek tekinthető banki ügyfeleket célozzák meg. (Bár éppen e cikk írása idején derült ki, hogy egy 2013 óta tartó kibertámadás során 30 ország több mint száz bankjának informatikai rendszerét törték fel igen kifinomult módszerekkel hackerek, és összesen 300 millió dollár körüli összeget zsebeltek be.) Sokan ugyanis nincsenek tisztában az internetezés veszélyeivel, nem telepítik az általuk használt szoftverek biztonsági frissítéseit vagy nem használnak megbízható fejlesztőtől származó védelmi szoftvert, így könnyen áldozatául eshetnek a hackerek egyre ravaszabb trükkjeinek.

Válogatott fertőzési módszerek
A kiberbűnözők rosszindulatú programok (vírusok, férgek, trójaiak) segítségével próbálnak meg bevételekhez jutni, amelyekkel többféle módon fertőzhetik meg potenciális áldozataik számítógépét. Egyik legfőbb módszerük a spamküldés, nap mint nap több milliárdnyi kéretlen üzenet árasztja el az internetet, amelyeknek csupán kis hányada jut át a szűrőkön, de ez is óriási mennyiségű e-mailt jelent.

Ezekben a levelekben vírust tartalmazó mellékleteket vagy rosszindulatú weboldalakra mutató hivatkozásokat helyeznek el. A banki csalásoknál komoly szerep jut az adathalászatnak is, melynek során a hackerek a címzett pénzintézetének nevében küldenek hamis e-mailt, vagy a bank weboldalát meglátogatni kívánó ügyfelet az általuk létrehozott hamis weboldalra irányítják át, így próbálva meg kicsalni tőle online banki bejelentkezési adatait. Ugyancsak népszerű a kiberbűnözők körében a spamüzenetek közösségi oldalakon való terjesztése. Ehhez ellenőrzést szereznek közösségi fiókok felett, majd azok nevében publikálnak bejegyzéseket, amelyek szintén fertőzött weboldalakhoz vezető hivatkozásokat tartalmaznak.

A közösségi oldalak használói ugyanis sokkal szívesebben kattintanak külső hivatkozásokra, ha azok barátaiktól, ismerőseiktől érkeznek. A csalók illegális keresőoptimalizálási trükkökkel igyekeznek manipulálni a keresési eredményeket, amelyek közé becsempésznek rosszindulatú és adathalász oldalakra mutatót hivatkozásokat. Ezen módszerekkel rengeteg, a rosszindulatú hivatkozásokra kattintó, óvatlan internetezőt csalnak olyan webhelyekre, amelyek funkciója nem más, mint az áldozat által futatott különféle szoftverekben, operációs rendszerekben, alkalmazásokban, böngészőkben, bedolgozókban lévő kijavítatlan sérülékenységek kihasználásával feltörni az illető számítógépét, illetve telepíteni rá a kívánt rosszindulatú programot.

Közös jellemzője a banki csalásokhoz kifejlesztett rosszindulatú programoknak, hogy igyekeznek kijátszani az antivírus-programok védelmi rendszerét, rögzítik a billentyűleütéseket, hozzáférést szereznek a böngészőadatokhoz, a számítógépen tárolt állományokhoz és minden olyan információhoz, amelynek segítségével ellenőrzést szerezhetnek áldozatuk bankszámlája felett, és jogosulatlan pénzátutalást kezdeményezhetnek. Tevékenységük immár kiterjed a mobileszközökre is, mivel a tranzakciók jóváhagyásához a bankok sms-ben küldött egyszeri számkódot kérnek, s az illegális műveletek végrehajtásához a számítógépes bűnözőknek ezt a kódot is meg kell szerezniük.

Osztódással szaporodnak
Több notóriusnak nevezhető malware keserítette az utóbbi években az online banki ügyfelek életét. Bizalmas adatok, többek között azonosító-jelszó párosok ellopására tervezték a Carberp nevű trójait, amely a megszerzett információkat egyszerűen elküldte vezérlő szerverének. Felszerelték egy meglehetősen bonyolult rootkit komponenssel is, amely lehetővé tette, hogy észrevétlen maradjon a megfertőzött számítógépeken. Fejlettebb későbbi változatai bedolgozókkal egészültek ki, az egyik a gépen lévő antivírus-szoftvert, a másik az esetlegesen jelen lévő rivális malware-eket távolította el. További fejlett funkciója volt az ellopott adatok titkosított átvitele, méghozzá elsőként a rosszindulatú programok között véletlenszerűen generált kulcs segítségével.

A Citadel nevű trójai a híres-hírhedt Zeus pénzügyi malware egy variánsa, amely azt követően tűnt fel, hogy a Zeus forráskódját 2011-ben közzétették. Különleges funkciói között megtalálható a konfigurációs fájlok és a vezérlőszerverrel való kommunikáció AES rendszerű titkosítása, a biztonsági weboldalak blokkolása a megfertőzött számítógépen, valamint videók rögzítése az áldozatok tevékenységéről. A „nyílt fejlesztésnek” köszönhetően a Citadel egyre gyorsabbá, alkalmazkodóbbá és sikeresebbé vált. Tündöklésének a Microsoft által vezetett akció vetett véget, melynek eredményeképpen a hatóságoknak sikerült megbénítaniuk a programkártevő hátteréül szolgáló csaknem teljes bothálózatot.

A Zeus riválisaként emlegetett SpyEye trójai egyik legnagyobb akciója a Verizon telekomszolgáltató online számlázási oldalának megtámadása volt, melynek során a hackerek több mint egy héten keresztül lopkodták észrevétlenül a felhasználók pénzügyi és bejelentkezési adatait. A nevéhez méltóan a banki malware-ek királyának tekinthető Zeus még 2007-ben lépett a színre, amikor egy azonosítólopási akcióhoz használták az amerikai szállítási minisztériumot támadó hackerek. Miután 2011-ben kiszivárogtatták a forráskódját, szinte valamennyi jelentősebb új banki programkártevő alapjául szolgál.

Az évek során számtalan variánsa jelent meg, több milliónyi számítógépet fertőzött meg és több százmillió dollárnyi kárt okozott. Az áldozatok között egy sor ismert bank, vállalat és kormányzati szervezet található.

Amikor a Zeus-szal megfertőzött gép tulajdonosa meg akarja látogatni bankja weboldalát, a programkártevő észleli, hogy az illető egy, a listáján található webcímet kíván felkeresni. Úgynevezett HTML-beillesztéssel megváltoztatja a weboldalt a böngészőben, így a bejelentkezéshez begépelt azonosító és jelszó nem a bankhoz kerül, hanem a Zeus vezérlőszerveréhez, amely aztán az ügyfél nevében annak számlájáról pénzt emel le.

Mobilra kiterjesztve
Míg kezdetben a banki malware-ek a bejelentkezési információk megszerzésére fókuszáltak, a kétfaktoros azonosítás megjelenésével a fejlesztők létrehozták a rosszindulatú programok mobil változatát is az sms-ben küldött megerősítő kód ellopására, többplatformossá téve ily módon ezeket a programkártevőket. Ha egy felhasználó egy ismeretlen hivatkozásra kattint, az ennek eredményeképpen meglátogatott rosszindulatú weboldal a malware windowsos változatával fertőzi meg a gépét, ha Windows-alapú böngészőt használ.

Ha pedig mobileszközről érkezett, a weboldal a Zeus vagy Spyeye mobil változatát (a ZitMo-t vagy a SpitMo-t) telepíti. Az utóbbiakat arra tervezték, hogy ellopja a bank által sms-ben küldött mobiltranzakció-hitelesítési kódot (a tranzakció jóváhagyáshoz szükséges egyszeri jelszót), majd továbbítsa azt a támadó webhelyére vagy mobilszámára. A Zeus azt is lehetővé teszi, hogy a támadó speciális sms-ekkel módosítsa a programkártevő beállításait.

A mobileszközök megfertőzésének egy másik hatásos módszere volt a Zeus részéről, hogy a meghamisított banki oldal a bejelentkezési információk mellett adatokat – típus, gyártó, telefonszám – kért az ügyfél mobiljáról is, azt állítván, hogy szüksége van azokra a „biztonsági tanúsítvány” frissítéséhez. Az információkat megadók ezt követően sms-t kaptak, ebben arra kérték őket, hogy telepítsék az új biztonsági tanúsítványt, amely valójában a ZitMo volt.

További fejlett funkciókkal egészülnek ki a nyilvános forráskódú Zeus újabb és újabb változatai. Így például a tavaly felfedezett Gameover Zeus botnet titkosított peer-to-peer kommunikációs rendszert használt a megfertőzött gépek és a vezérlőszerverek közötti kapcsolattartáshoz, jelentősen megnehezítve ezzel a rá vadászó hatóságok dolgát, amelyek a valaha létezett legfejlettebb és legkártékonyabb bothálózatnak minősítették. További riasztó jellemzője volt, hogy ha nem jutott használható információkhoz, bevetette a Cryptolocker zsaroló programot, amely megbénítja az áldozatok gépét, és váltságdíjat kér a blokkolás feloldásáért.

Védekezés több szinten
Ha meg akarjuk óvni pénzügyi információinkat és bankszámlánkat a Zeus-változatok és más pénzlopásra szakosodott rosszindulatú programok támadásaitól, meg kell akadályoznunk, hogy a kiberbűnözők végrehajthassák azt a műveletsort, amely gépünk megfertőzéséhez vezet. Akár egy lépés kivédése is elegendő ahhoz, hogy kudarcot valljanak, de még jobb, ha mindegyiket blokkoljuk.

Pusztán az általunk használt szoftverekhez kiadott frissítések minél korábbi telepítésével, a szükségtelen alkalmazások eltávolításával és a nem adminisztrátori jogokkal történő használattal kiszűrhető a támadások több mint 90 százaléka. A bűnözők sok próbálkozása azért vezet eredményre, mert a felhasználók nincsenek tisztában a kockázatokkal. Vállalati környezetben megfelelő oktatással elérhető, hogy az alkalmazottak magukévá tegyék a biztonságtudatos számítógép-használatot, míg a szaksajtó és a tömegmédia feladata lehet, hogy ez a szemlélet elterjedjen az otthoni felhasználók körében is.

Ne kattintsunk kíváncsiságból ismeretlen forrásból származó hivatkozásokra e-mailekben vagy közösségi oldalak bejegyzéseiben, ne töltsünk le és nyissunk meg ismeretlen fájlokat. Ne használjunk titkosítás nélküli nyilvános wifi-hotspotokat bankoláshoz, és mindig alaposan ellenőrizzük, hogy valóban pénzintézetünk weboldalán vagyunk-e – nem pedig az eredetire megszólalásig hasonlító, bűnözők által létrehozott adathalász oldalon –, mielőtt megadjuk bejelentkezési adatainkat. Csak titkosított kommunikációjú – https-sel kezdődő című – oldalt használjunk bejelentkezéshez. Futtassunk megbízható fejlesztőtől származó, mindig friss vírusadatbázissal rendelkező biztonsági programot minden általunk használt gépen, beleértve a mobileszközöket (okostelefon, tablet) is.