Ομάδα hackers, με πιθανολογούμενη προέλευση χώρες του εξωτερικού,
έχουν εξαπολύσει από τις αρχές του Δεκεμβρίου 2012, ηλεκτρονική επίθεση
υποκλοπής κωδικών πρόσβασης σε συστήματα Ηλεκτρονικών συναλλαγών μεγάλων
Ελληνικών Τραπεζών!
Σύμφωνα με αποκλειστικό ρεπορτάζ και πληροφορίες του
SecNews.gr,
συμμορίες οργανωμένου έγκληματος που βρίσκονται πίσω από την διάπραξη
της συγκεκριμένης ηλεκτρονικής επίθεσης, προσπαθούν εδώ και αρκετό καιρό
να αποκομίσουν τεράστια κέρδη από ανυποψίαστους Έλληνες χρήστες
συστημάτων e-banking!
Στις αρχές του Δεκεμβρίου 2012, εντοπίστηκε το κακόβουλο λογισμικό
Eurograbber το
οποίο είχε υποκλέψει 36 εκατομμύρια ευρώ από 30 χιλιάδες τραπεζικούς
λογαριασμούς σε ολόκληρη την Ευρώπη. Η διασπορά του κακόβουλου
λογισμικού ξεκίνησε από την Ιταλία, και γρήγορα επεκτάθηκε στην
Γερμανία, την Ολλανδία και την Ισπανία. Οι επιθέσεις στοχοποιούσαν τόσο
προσωπικούς υπολογιστές όσο και κινητές συσκευές.
Η κύρια στοχοποίηση του Eurograbber (μιας βελτιωμένης έκδοσης του
Zeus/Zitmo), όπως ονόμαστηκε από την εταιρεία Versafe που πρώτη εντόπισε
το συγκεκριμένο malware, ήταν κυρίως ανυποψίαστοι πελάτες ηλεκτρονικής
τραπεζικής (e-banking) συστημάτων Τραπεζών.
Οι ηλεκτρονικοί απατεώνες αρχικά «μόλυναν» τους υπολογιστές των
θυμάτων μέσω αλλοιωμένων ηλεκτρονικών μηνυμάτων που προσομοιάζουν με
αυτά των Τραπεζών και μετά κατόρθωναν να παρακάμψουν την ρουτίνα
επιβεβαίωσης της συναλλαγής από την τράπεζα...
Τα τεχνικά χαρακτηριστικά της επίθεσης εναντίον των Ελληνικών Τραπεζών
Φαίνεται όμως ότι μετά την στόχευση σε Γερμανία,Ολλανδία και
Ιταλία σειρά είχε και η χώρα μας. Κάποιοι, πιθανόν εκμεταλλευόμενοι την
“επιτυχία” του κακόβουλου λογισμικού επιδιώκουν να κάνουν το ίδιο και
στην Ελλάδα.
Ως γνωστόν οι περισσότερες Ελληνικές Τράπεζες χρησιμοποιούν
διπλό-παράγοντα πιστοποίησης (two-factor-authentication) κατά την
διενέργεια συναλλαγών.Ο κάθε χρήστης ηλεκτρονικής Τραπεζικής που είναι
επιφορτισμένος με την διαχείριση του τραπεζικού του λογαριασμού, για να
πραγματοποιήσει συναλλαγές, είναι απαραίτητο να εισάγει το username και
τον κωδικό του (password) αλλα επιπρόσθετα διαθέτει και
συσκευή-γεννήτρια ψευδοτυχαίων αριθμών-κωδικών τους οποίους και εισάγει
κατά την διεξαγωγή σχεδόν κάθε συναλλαγής.
Ο ανυποψίαστος χρήστης λαμβάνει συνήθως ηλεκτρονικό μήνυμα ή
σύνδεσμο προς ιστοτόπο που είναι στο έλεγχο των hackers. Με ενα απλό
κλικ στον σύνδεσμο που έχει λάβει ο χρήστης, το κακόβουλο λογισμικό
πραγματοποιεί εγκατάσταση στο τερματικό του χρήστη και παραμένει
ανενεργό (εν υπνώση) μέχρις ότου ο χρήστης να κατευθυνθεί στην
ιστοσελίδα κάποιου χρηματοπιστωτικού ιδρύματος για την διενέργεια μιας
συναλλαγής.
Την στιγμή που ο χρήστης εισάγει το username και τον κωδικό
πρόσβασης, το κακόβουλο λογισμικό εντοπίζει την ακολουθία χαρακτήρων και
την αποστέλει στο ηλεκτρονικό αποθετήριο (deposit) των hackers. Με την
χρήση Java script ενημερώνει τον ανυποψίαστο χρήστη με ψευδές μήνυμα ότι
λόγω αναβαθμίσεων στο σύστημα ασφάλειας της Τράπεζας θα πρέπει να
πραγματοποιήσει μια εικονική συναλλαγή ώστε να αναβαθμίσει την ασφάλεια
του e-banking.
Φυσικά καμία ιδεατή συναλλαγή δεν πρόκειται να πραγματοποιηθεί, ούτε
αυτό είναι σε γνώση της Τράπεζας. Κατά την διάρκεια της διεξαγωγής της
“δοκιμαστικής” συναλλαγής ο χρήστης καλείτε να πληκτρολογήσει των
ψευδοτυχαίο αριθμό από το σύστημα διπλής πιστοποίησης της Τράπεζας.
Ο αριθμός αυτός αυτόματα θα τοποθετηθεί με τη σειρά του στο
αποθετήριο των hackers. Μια αυτοματοποιημένη διαδικασία (script) στη
συνέχεια με χρήση των username/pass και two-factor code πραγματοποιεί
άμεσα συναλλαγή για λογαριασμό των hackers.
Ο τύπος της επίθεσης (man-in-the-browser) επιτρέπει στον επιτιθέμενο
να αποκρύπτει και να τροποποιεί το περιεχόμενο που βλέπει ο χρήστης στον
browser και κατ’επεκταση διαθέτει την δυνατότητα να αποκρύπτει
συναλλαγές, ή λεπτομέρειες πληρωμών κλπ.