Antihackeři z Izraele
Specializované trojské koně, jako například Citadela, dokážou vybílit mnoho bankovních účtů a stávají se noční můrou finančních institucí. Pro boj proti těmto hrozbám nyní banky najímají bývalé izraelské vojáky.
ULI RIES
Zaváděcí cena: 1 500 dolarů. Tolik musí začínající on-line zločinci zaplatit za Citadelu. Citadela je v současné době nejefektivnějším, ale zároveň nejzrádnějším škodlivým softwarem, který dokáže potrápit uživatele on-line bankovnictví. A jako vždy je malware téměř volně k prodeji: jeho tvůrce doporučuje digitální krádež v „undergroundových“ fórech. Kromě základního malwaru (poslední známá verze je 1.3.4.5) se prodávají také rozšiřující moduly: například nástroj na odstranění jiných bankovních trojských koní z počítače oběti cca za 100 USD nebo modul k zaznamenání stisknutých kláves v rámci internetového bankovnictví či na on-line pokerových stránkách, také přibližně za 100 USD. Kompletní balíček (VIP Extreme Edition) včetně všech rozšíření stojí přibližně 3 000 USD. Investice ale stojí za to. „Každý den vidím, jak pachatelé vydělávají statisíce eur, dolarů nebo liber,“ říká Allesa Koll, která pracuje v RSA Security (IT bezpečnostní firma). Den za dnem prohledává „zločinecké“ vrstvy internetu, neustále sleduje činnost online podvodníků a častokrát je kontaktuje jako „tajný agent“. Většina „misí“ je ale dokončena jen několik kilometrů severně od Tel Avivu v nenápadné kancelářské budově. Zde se totiž nachází centrum pro boj proti podvodům, Anti Fraud Command Center [AFCC] RSA, centrum zvláštní jednotky boje proti mezinárodnímu internetovému zločinu.
V jejím „žoldu“ ale nepracují jen IT experti, ale také například bývalí vojáci izraelské armády. Vedoucí jednotky Daniel Cohen přesně ví, co mohou tito „slídiči“, kteří jsou povětšinou školeni ve vojenské bezpečnostní službě, nabídnout: „Jsou nasazeni především tehdy, pokud je nutné se setkat se zločinci - zde prostě rozhodují zkušenosti.“ Pracovníci Anti Fraud jednotky pracují v utajení jménem známých velikánů mezinárodního finančního světa: jejich zákazníky jsou například Barclays, Charles Schwab, HSBC, ING, Mastercard nebo Visa. Ačkoli jejich loga zdobí vstupní dveře AFCC, zákazníci RSA velmi neradi komentují fakt, proč soukromou firmu pověřili úkoly, které by teoreticky měly vykonávat orgány činné v trestním řízení.
1 000 útoků za den během směny
Pracovní cyklus AFCC specialistů, jako je zmiňovaná Allesa Koll, však jasně ukazuje, proč musí banky hledat další pomoc. Kreativita a aktivita útočníků je fascinující, ale logická - obchod s kradenými přihlašovacími údaji pro on-line bankovnictví nebo s údaji o kreditních kartách prosperuje a útočníci se tak snaží data ukrást neuvěřitelně pestrou škálou metod. Experti z AFCC navíc podotýkají, že v současnosti jsou schopni „blokovat“ přibližně 1 000 útoků na zákazníky. Kdyby se zařadili do „struktur“ mezinárodních trestních žalob, rozhodně by nebyli schopni pracovat tak efektivně.
Spolu se svými 130 kolegy, kteří jsou všichni ve věku do 30 let, monitoruje Allesa Koll čtyřiadvacet hodin denně v práci na směny více než 170 hackerských fór. Tato fóra umožňují zlodějům prodávat všechny druhy zboží: od zbraní přes škodlivý software (jako Citadela) až po léky dostupné pouze na lékařský předpis.
Kromě toho hlídají zaměstnanci AFCC také chatovací IRC kanál, na kterém pochybní obchodníci prodávají kradené údaje o kreditních kartách v „balení“ po stovkách a tisících. Ty většinou pochází z podvodných webových stránek, které jsou natolik podobné originálu, že napálí i dobře informované uživatele internetu, kteří zde zadají své přihlašovací údaje. Ty jsou samozřejmě neprodleně prodány na těchto „podzemních“ hackerských fórech.
Malware nejprve zkontroluje stav účtu
Samozřejmě že trojské koně, proti kterým Daniel Cohen a jeho zaměstnanci bojují, nejsou jedinými nástroji počítačových zločinců. Stavebním kamenem celé řady aktivních malwarů je Zeus, ze kterého se postupně vyvinul jak SpyEye, tak i zmiňovaný malware Citadela. Zvláštním rysem této počítačové „kriminální rodiny“ je speciální útočná funkce, zaměřená na celosvětové on-line bankovní systémy. Jak dobré tyto zločinecké nástroje jsou, to se můžete na internetu dočíst při vyhledání informací o operaci High Roller. V rámci ní byly v polovině roku při útoku na internetové bankovnictví firem použity speciální verze trojského koně Zeus a SpyEye (až 430 neznámých verzí!) a zloději ukradli až 100 000 eur na každý převod.
Princip útoku byl relativně jednoduchý. Prvním krokem byl útok typu „spear phishing“ na počítače zaměstnanců. V rámci tohoto útoku je phishingová zpráva odeslána pouze na malý počet e-mailových účtů, v krajním případě pouze na jediný. Zásadním rozdílem mezi touto zprávou a klasickým phishingem (známé prodeje viagry a levného softwaru) je jeho zacílení. Spearphishingové zprávy jsou vytvořeny speciálně tak, aby cíl nepojal nejmenší podezření a klikl na odkaz ve zprávě. Jejich unikátnost navíc téměř znemožňuje, aby je detekovaly běžné bezpečnostní mechanismy (například phishingové filtry). Poté, co oběť na zmiňovaný link ve zprávě klikne a otevře infikovaný web, je na počítač pomocí exploitu propašován malware. Ten obsahuje moduly s webovými stránkami známých bank (okopírované do nejmenšího detailu) a dokáže i vytvářet formuláře pro přihlášení.
Pokud se oběť na infikovaném systému poprvé přihlásí přes internetové bankovnictví ke svému kontu, specializovaný malware sleduje stav jeho účtu. To je možné i díky tomu, že SpyEye už je integrován jako komponenta v prohlížeči a dokáže měnit datový provoz z a na server banky. Obvyklé SSL (Secure Socket Layer) šifrování je zrušeno, takže malware může bez problémů přistupovat k datům v prohlížeči.
„Kreativita podvodníků je fascinující.“
ALLESA KOLL, bezpečnostní expertka Anti Fraud Command Center RSA
Během dalšího přihlášení už malware začne úřadovat a převádí peníze na speciální konta tzv. „peněžních mul“. Většinou jde o anonymní osoby najaté pomocí e-mailové kampaně, které posléze peníze přepošlou dále jinými způsoby, které prakticky nejde vystopovat.
V případě „High Roller“ bylo odcizení financí z účtu ještě sofistikovanější. U něj totiž majitel účtu na popředí zadával korektní údaje a malware na pozadí vše měnil ve prospěch podvodníků. Výhodou bylo, že sám majitel pomohl podvodníkům „obejít“ všechny bezpečnostní mechanismy…
Návod na trestný čin nepřichází v úvahu
Allesa Koll samozřejmě zdůrazňuje, že soukromí slídiči při obchodování na trhu zločince „neprovokují“: „Nikdy je nevyzýváme, aby pro nás kradli údaje o účtech a kreditních kartách. Informace, které předáváme bankám ke zmrazení účtů a karet, pocházejí ze zkušebních dodávek. Podvodník totiž vždy před uskutečněním prodeje pošle,zkušební balíček dat‡, ukazující kvalitu dat, která zloději ukradli,“ říká Allesa Koll. AFCC doposud vystopovala více než milion čísel kreditních karet.
Poté, co AFCC začne bít na poplach, by mělo být povinností příslušné banky, aby informovala své zákazníky o tom, že jejich počítače jsou pravděpodobně napadeny nebezpečným softwarem. Samozřejmě že cílem podvodníků nejsou jen počítače. Vzhledem k tomu, že stále více bank používá k zabezpečení účtů zákazníků mTan (ověření transakce pomocí SMS), stávají se cílem útočníků i smartphony. Tento útok také začíná na infikovaných stránkách, kde pomocí kombinace připraveného exploitu a útoku „man in the browser“ hacker propašuje do smartphonu oběti speciální malware, nebo dokonce falešný certifikát. V současné době jsou známy „smartphone verze“ malwaru pro platformy Android, Windows Mobile, Symbian a BlackBerry - iPhone verzí podle informací AFCC zatím hackeři nedisponují.
Zmiňované certifikáty, které by měly zvyšovat bezpečnost, si obvykle musí uživatel nainstalovat sám přes příslušný odkaz nebo zasláním speciální MMS na svůj smartphone. Dalším trikem hackerů tak je, že na stránkách banky oběť zadá číslo svého vlastního mobilního telefonu do místa připraveného malwarem a místo pravého certifikátu obdrží certifikát podvodníků. Ti mají díky tomu jistotu, že při návštěvě jejich podvodného webu bude stránka „banky“ vypadat jako pravá. Jakmile je malware na smartphonu funkční, může předávat TAN kódy pocházející z banky hackerům. Ti pak mohou převod zahájený z PC odklonit směrem na připravené účty, a to pomocí skutečných odcizených kódů. To ale není všechno. Za účelem lstivého skrytí debetní položky dokáže malware také nakonec zmanipulovat seznam transakcí a svůj převod tak skrýt. Jediným způsobem, jak podvod odhalit, je tedy přihlášení z neinfikovaného počítače.
Ruští podvodníci drží své slovo
Protože tyto útoky by nebylo možné provést bez infekce přes phishingové stránky, AFCC začíná svou záchrannou akci přímo tady. Pokud zaměstnanci poskytovatele bezpečnostních služeb detekují phishingovou stránku, Allesa Koll a její kolegové se v prvním kroku nejprve obrátí na příslušného poskytovatele internetu, na jehož serverech byla stránka instalována.
„Většinou se kolegové u poskytovatelů po celém světě setkají s okamžitou reakcí a tyto stránky jsou ze sítě odstraněny během několika hodin,“ potvrzuje šéf AFCC Daniel Cohen. „Pokud ale naše výzvy ignorují, musíme se nejprve obrátit na internetové krizové týmy odpovědné v jednotlivých zemích, označované jako CERT (Computer Emergency Response Teams). CERT mohou na webech zobrazit varování, v některých případech i koordinovat preventivní opatření. Pokud to nepřinese žádný výsledek, ohlásíme podvod na policii,“ říká Cohen. Tohoto nebezpečí jsou si ale podvodníci vědomi a v některých případech s tímto rizikem počítají již při vývoji svého malwaru.
Zajímavé je, že ruští a ukrajinští zločinci útočí na své oběti po celém světě, jen ne v domovské zemi. Bylo zjištěno, že malware Citadela se nenainstaluje na počítač s ruským či ukrajinským rozložením klávesnice. Tímto způsobem se podvodníci chtějí vyhnout nepříteli, ze kterého mají respekt: ruským bezpečnostním úřadům.
Díky tomu se také hackeři pohybují pod „radarem“ místního státního zástupce tak dlouho, jak je to jen možné. „Spoléhají se na to, že se je zahraniční policii a státním prokurátorům nepodaří při jejich hledání vystopovat až do Ruska,“ vysvětluje Daniel Cohen.
Dokonce i Allesa Koll hodnotí své bývalé krajany s výrazem určitého obdivu: „Ruští podvodníci jsou nejen chytřejší, co se týče invence podvodů, ale dokonce drží své slovo - například na rozdíl od afrických on-line zločinců. Kdyby si moje „podzemní alter ego“ zařídilo na „undergroundovém tržišti“ zkušební dodávky s ruským hackerem, pak vím, že i on dodrží svůj slib. Například Nigerijci se hodně chvástají, ale své sliby s oblibou neplní: chtějí oškubat jiné podvodníky. A to je i v internetovém podsvětí hodně nebezpečná a riskantní hra…“
AUTOR@CHIP.CZ
4
TÉMĚŘ ČTYŘI MILIONY ČECHŮ POUŽÍVAJÍ PRO PŘÍSTUP KE SVÝM FINANCÍM INTERNETOVÉ BANKOVNICTVÍ.
103
103 MILIONŮ TRANSAKCÍ PŘES „INTERNET BANKING“ PROVEDLI V ROCE 2011 KLIENTI ČESKÉ SPOŘITELNY.
POČET MALWARU PRO ANDROID SE RYCHLE ZVYŠUJE
Trojské koně útočí i na smartphony - hlavně na zařízení s OS Android. Například počet trojských koní pro tuto platformu se v období od prvního do druhého čtvrtletí 2012 ztrojnásobil na téměř 15 000.
MONITORING HACKERŮ
RSA pracuje především pro banky a poskytovatele finančních služeb. Narazí-li specialisté na phishingové stránky, zahájí na vhodných místech pokusy o jejich eliminaci. Pokud se data z hackingu a phishingových webů objeví na černém trhu, RSA informuje své zákazníky, například příslušnou banku.
Foto popis| ŽOLDÁCI Z BANK Anti-Fraud Command Center [AFCC] bezpečnostní služby RSA sleduje černé datové trhy jménem poskytovatelů finančních služeb a eliminuje phishingové stránky.
Foto popis| TRŽIŠTĚ V chatovací místnosti Internet Relay Chat [IRC] nabízejí datoví zloději za peníze údaje o kreditních kartách a další bankovní informace.
Foto popis| OPRAVDU SNADNÉ Zákazníci hackerů si mohou pomocí nástroje Citadel Builder vytvořit vlastní vhodnou verzi trojského koně.
Foto popis| VSTŘÍCNÉ Zákazníci mohou v obchodě vývojářů Citadely hlasovat pro vývoj perspektivních funkcí a předávat chybové zprávy.
Foto popis| POHODLNÉ Hackeři mohou komfortně spravovat počítače ovládané trojským koněm pomocí speciálního „Citadela Botnet panelu“.
Foto popis| PROFESIONÁLOVÉ Téměř všichni bezpečnostní experti RSA Anti Fraud Command Center jsou bývalí izraelští vojáci.
Foto popis| OBLÍBENÝ V zákaznické databázi RSA jsou nadnárodní banky a finanční společnosti.
Foto popis| VLASTENECKÉ Trojské koně Citadela nenapadají žádné ruské nebo ukrajinské systémy - odkaz na jejich původ.