Skok na kasę

Możliwość dokonywania płatności online to wygoda nie tylko dla nas – klientów, ale też okazja do zarobku dla cyberprzestępców. I choć złośliwe oprogramowanie może siać spustoszenie na naszych komputerach, tabletach i smartfonach na wiele różnych sposobów, to jedno zagrożenie budzi w nas strach szczególny – trojany bankowe. Tak przynajmniej wynika z badania przeprowadzonego przez firmę GDATA, w którym 73 proc. rodzimych internautów przyznało temu rodzajowi złośliwców maksymalną notę 5. Jest się czego bać. Skala ataków rośnie lawinowo, a hakerzy stosują coraz bardziej skuteczne techniki, aby zwabić nas w pułapkę.

Na początek krótki wieczorek zapoznawczy – warto przecież zaznajomić się z tak groźnym przeciwnikiem. Koń trojański, choć wywodzi się z wielkiej rodziny wirusów komputerowych, wirusem nie jest. Przynajmniej w klasycznym znaczeniu – trojany nie infekują bowiem innych plików. Zasada ich działania jest inna – po zagnieżdżeniu się na komputerze, podszywają się pod jakiś użytkowy program, który po uruchomieniu wykonuje pozornie swoją normalną pracę, jednak w tle sieje zniszczenie.

Jego działanie możemy porównać do mitologicznego konia trojańskiego – wielkiego konia z drewna, w którym ukryli się wojownicy greccy w czasie zdobywania Troi, pozorując w ten sposób odstąpienie od oblężenia. Dokładnie tak działają trojany: instalują się podstępem, więc zagrożenie jest niewidoczne. I bardzo duże.

Gdy pod koniec lat 90. banki ruszyły z usługami w wersji internetowej, było tylko kwestią czasu, kiedy cyberprzestępcy zaczną obrabiać to intratne poletko, wykorzystując wyjątkowy styl działania koni trojańskich. Gdy jednak przeciwnik okazał się trudny – instytucje finansowe stosowały bowiem jedne z najbardziej solidnych zabezpieczeń – hakerzy zmienili cel ataku na bardziej realny: klientów korzystających z bankowości elektronicznej. I tu poszło o wiele lepiej.

Wczesne trojany finansowe, czyli szkodliwe programy wyspecjalizowane w kradzieży danych potrzebnych do uzyskania dostępu do systemów bankowych online, pojawiły się w połowie 2000 r. Jednym z pierwszych, a na pewno najsłynniejszych, był ZeuS. Historia tego malware’u to scenariusz na niezły film sensacyjny. ZeuS zstąpił z panteonu bogów w 2007 r., by zaprezentować światu wyjątkowo perfidną metodę polegającą na wstrzykiwaniu dodatkowego kodu HTML do stron internetowych otwartych w przeglądarce. Dzięki temu trojan mógł zastąpić oryginalną witrynę banku fałszywką, a tym samym zyskać dostęp do poufnych danych i możliwość wykonywania operacji finansowych. ZeuS działał przez cztery lata, stając się prawdziwym utrapieniem banków, korporacji i instytucji rządowych, umożliwiając cyberprzestępcom kradzieże setek milionów dolarów.

Specjaliści od bezpieczeństwa cyfrowego twierdzą, że obecnie każdy ze szkodników włamujących się do serwisów finansowych online zawiera w sobie fragmenty jądra oryginalnego kodu króla trojanów. W 2010 roku ZeuS stworzył zgrany duet z Zitmo (Zeus-in-the-mobile), pierwszym trojanem wyspecjalizowanym w atakach na urządzenia mobilne, którego zadaniem było przechwytywanie SMS-ów zawierających kody jednorazowe do przelewów bankowych. Współpracowali sprawnie: ZeuS w wersji klasycznej infekował pecety, aby wykraść dane niezbędne do uzyskania dostępu do kont bankowych online i numery telefonów komórkowych, zaś Zitmo kradł kody SMS-ów. W ten sposób hakerzy dysponowali kompletem informacji potrzebnych do włamania, dzięki czemu w samych tylko Stanach Zjednoczonych udało im się zaatakować ponad 3,5 miliona urządzeń.

Cyberprzestępcy mają do wyboru wachlarz sposobów, za pomocą których mogą uzyskać dostęp do kont bankowych i serwisów finansowych online. A podstawą większości ataków jest socjotechnika, która ma skłonić nas do podjęcia określonych działań, a w konsekwencji przeniknięcia szkodliwych trojanów do pecetów i urządzeń mobilnych. Podstawowym orężem jest metoda wyłudzania danych zwana phishingiem. Dwa najpopularniejsze sposoby to wysyłanie fałszywych e-maili lub przekierowania na fałszywe strony internetowe.

Trick e-mailowy to klasyka: wiadomość, którą otrzymujemy może do złudzenia przypominać tę pochodzącą z naszego banku lub innego znanego nam nadawcy. Jesteśmy uprzejmie proszeni o aktualizację czy informowani o fakturze do zapłacenia – to oczywiście tylko pretekst do tego, byśmy kliknęli załącznik. Uruchamia to niebezpieczny plik, który po instalacji w komputerze czyni swą powinność: może np. przechwytywać uderzenia klawiszy, gdy wpisujemy dane uwierzytelniające logowanie w banku lub też wykradać dane, które zapamiętał nasz komputer w momencie zaznaczenia pola „zapamiętaj hasło”. Wreszcie – może podmienić oryginalną witrynę na fałszywą i w ten sposób uzyskać wszystkie wpisywane przez nas „na stronie banku” informacje.

Cyberprzestępcy nieustannie opracowują nowe warianty szkodliwych programów i wyposażają je w coraz bardziej wyrafinowane mechanizmy – wszystko po to, aby przechytrzyć stosowane przez użytkowników zabezpieczenia. W efekcie trojany bankowe grasują na coraz większą skalę, powiększa się też zasięg ataków. W ubiegłym roku wystarczyły szkodnikom tylko cztery miesiące, aby zwiększyły swoją aktywność o połowę! Mimo, że zagrożenie tego rodzaju złośliwym oprogramowaniem rośnie w zawrotnym tempie, polscy internauci i tak są na uprzywilejowanej pozycji. Z raportu Global Threat Index opracowanego przez firmę Check Point wynika, że pod względem szkodników finansowych nasz kraj w 2018 r. należał do najbardziej bezpiecznych miejsc na świecie.

Niestety, nie można tego powiedzieć o zagrożeniach mobilnymi koniami trojańskimi. W kategorii trojanów atakujących urządzenia jesteśmy w samej czołówce – w towarzystwie Stanów Zjednoczonych oraz Rosji. Działanie mobilnych trojanów bankowych również bazuje na socjotechnice: szkodniki te potrzebują bowiem naszej zgody, by zagnieździć się w urządzeniu, a potem kraść np. SMS-y czy wiadomości głosowe przesyłane przez banki. Szkodniki mogą udawać ważną aktualizację, darmowy poziom w ulubionej grze mobilnej czy też po prostu podszyć się pod inną aplikację. Są nie tylko przebiegłe, ale i bardzo pracowite. Jeden z najbardziej skutecznych programów tego typu – OpFake – potrafił podszywać się pod interfejs niemal stu aplikacji bankowych i finansowych.

Jak walczyć ze złośliwym oprogramowaniem wycelowanym w nasze pieniądze? Absolutną podstawą jest dobra ochrona antywirusowa – zarówno peceta jak i urządzeń mobilnych. Ponieważ przeważnie sami na siebie ściągamy ten huragan, powinniśmy być szczególnie wyczuleni na wszelkie wiadomości e-mailowe czy SMS-owe pochodzące od nieznanych nadawców – nie klikajmy żadnych zawartych w nich linków czy załączników. Pobierajmy aplikacje tylko z oficjalnych źródeł, czytajmy pozwolenia, których żądają te programy. Korzystajmy z dwuetapowej weryfikacji, jeśli nasz bank ją udostępnia. Jeśli cokolwiek (wygląd strony bankowe czy dziwny e-mail) wzbudzi nasz niepokój, skontaktujmy się z bankiem. Zróbmy to też natychmiast wtedy, gdy dojdzie do kradzieży, aby zablokować swoje karty oraz ostatnie transakcje.

PC Format: Jeden z najpopularniejszych mobilnych trojanów bankowym w ubiegłym roku wykorzystywał okna phishingowe w celu kradzieży danych bankowych. Fałszywe witryny są niemal doskonałe – jak mimo to je rozpoznać?

Robert Dziemianko (G DATA): Nie ma dobrej rady – dobrze przeprowadzonej podmiany strony logowania banku nie da się praktycznie zauważyć. Jedynym sposobem na zwiększenie swojego bezpieczeństwa jest oprogramowanie antywirusowe z odpowiednim modułem chroniącym przed taką formą zagrożenia, takie jak np. BankGuard naszej firmy. Dlaczego zwykły antywirus to za mało? Po pierwsze, nowe zagrożenia nie są dostatecznie szybko wykrywane, a czas ich życia jest niezwykle krótki, bo szybko zastępowane są nowymi wersjami. Po drugie, wirusy manipulują plikami w pamięci operacyjnej. Po trzecie, skompromitowana transakcja otwiera szkodnikowi drogę do kolejnych operacji bankowych bez wiedzy użytkownika. Jak działa BankGuard? Weryfikuje integralność kluczowych bibliotek sieciowych przeglądarki, dzięki czemu zapewnia proaktywną ochronę nawet przed nieznanymi zagrożeniami. Program reaguje natychmiast i zapobiega infekcjom. Ale uwaga: jeśli BankGuard nie jest w stanie usunąć zagrożenia, zalecamy wstrzymanie operacji bankowych do momentu całkowitego pozbycia się złośliwego oprogramowania.