Nakon što su u nekim trojancima pronađene url adrese hrvatskih banaka, konzultanta za računalnu sigurnost Bojana Ždnju iz tvrtke Infigo IS postavili smo nekoliko pitanja u vezi sigurnosti korištenja Internet bankarstva.
Možete li nam reći nešto više o trojanskim konjima banker i clampi? Mogu li oni ugroziti korisnike internet bankarstva u Hrvatskoj?
Trojanski programi Banker i Clampi prisutni su već nekoliko godina. Tijekom ovog vremena navedenim trojanskim programima autori su konstantno dodavali nove mogućnosti, kako bi bili u stanju zaobići moderne zaštite koje danas koriste sustavi za Internet bankarstvo.
Oba trojanska programa napisana su kako bi isključivo, u konačnici, omogućili autorima novčanu zaradu. To znači da je glavni cilj ovih programa krađa i/ili modifikacija podataka korištenih za Internet bankarstvo, no oni tu ne staju već kradu bilo kakve podatke koje bi autori programa kasnije mogli prodati - počevši od socijalnih podataka korisnika, Paypal, Ebay i sličnih računa pa sve do serijskih brojeva legitimnih programskih paketa instaliranih na računalima korisnika.
Napredni trojanski programi, kao što je Clampi, na žalost mogu ugroziti čak i korisnike Internet bankarstva u Hrvatskoj, iako naše banke koriste dvofaktorsku autentikaciju (token ili TAN tablice), budući da ovaj trojanski program može izravno modificirati upite koje web preglednik šalje banci, te odgovore koji se prikazuju korisniku te na taj način navesti korisnika na provođenje lažne transakcije koju će zapravo on sam autenticirati.
Je li već zabilježena nekakva šteta kod klijenata ili banaka vezano uz navedene trojanske konje? Kolika je ona u Hrvatskoj, a kolika u svijetu?
U Hrvatskoj još, koliko nam je poznato, nije zabilježena izravna šteta od sličnih trojanskih programa te se krađe/napadi na klijente danas u Hrvatskoj ipak svode na fizičke napade tipa skimming kartica i slično. No, činjenica da su URL adrese naših banaka pronađene u navedenim trojanskim programima ukazuje na to da autori ovih programa, za koje se pretpostavlja da su u inozemstvu, u budućnosti vjerojatno planiraju napasti i korisnike naših banaka.
U svijetu je šteta od napada na Internet bankarstvo vrlo velika - iako se pravi brojevi ne mogu dobiti, po dostupnim podacima ove je godine šteta od krađa novaca putem Internet bankarstva samo u Americi prešla 100 milijuna USD.
Što točno navedeni trojanci rade?
Navedeni trojanski programi integriraju se duboko sa samim operacijskim sustavom te web preglednicima (Internet Explorer, Mozilla FireFox). Ovo im omogućava nadgledanje svih korisnikovih aktivnosti (posjećene web stranice, keylogging i slično). Sve web stranice koje korisnik otvori uspoređuju se s listom unutar trojanskog programa koji, ako je detektirana npr. banka, krade sve podatke i šalje ih na C&C (Command and Control) poslužitelj negdje u svijetu ili je čak u stanju modificirati transakcije u stvarnom vremenu, prema unaprijed definiranoj konfiguraciji.
Clampi, jedan od najopasnijih trojanskih programa, izveden je modularno tako da ga autor može vrlo jednostavno proširivati. Osim modula za krađu podataka otkrili smo i SOCKS modul koji napadaču omogućava otvaranje web stranica kroz inficirano računalo, što mu omogućava skrivanje, pogotovo kada pristupa Internet bankarstvu gdje bankama koje provjeravaju IP adrese upit izgleda jednako kao i od njihovog legitimnog klijenta.
Ukoliko trojanac preusmjeri korisnika na lažnu stranicu, po čemu prepoznati da je korisnik na lažnoj stranici?
Na žalost ovdje su mogućnosti detekcije iznimno ograničene. Budući da je trojanski program integriran s web preglednikom, korisnik praktički po ničemu ne može zaključiti je li na pravoj stranici ili ne, budući da će svi klasični elementi provjere biti ispravni, uključujući i SSL oznaku (lokot).
Najbolji savjet koji se ovdje može dati je da se za pristup osjetljivim podacima i Internet bankingu koriste samo provjerena računala.
Imaju li sve hrvatske banke jednako dobru zaštitu na Internetu? (Ako nemaju, koje biste izdvojili kao sigurnije a koje kao nesigurnije?)
Sve hrvatske banke moraju zadovoljiti zahtjeve koje je postavio HNB, što znači da za korištenje Internet bankarstva moraju koristiti dvofaktorsku autentikaciju. To naše banke stavlja praktički u sam vrh, što se tiče sigurnosti transakcija, odnosno autentikacije korisnika.
Što se tiče sigurnosti samih sustava banaka to ne mogu komentirati.
Je li opasnost veća za poslovne korisnike, s obzirom da sustav kod nekih banaka (po našim saznanjima) od njih ne traži dvostruku autentifikaciju?
Koliko sam ja upoznat, svi korisnici, bez obzira jesu li poslovni ili ne, moraju u Hrvatskoj koristiti dvofaktorsku autentikaciju.
Ukoliko to nije slučaj, definitivno je opasnost takvog korištenja Internet bankarstva veća.
Koliko često se otkrije tko stoji iza trojanaca poput ovih, i zna li se gdje odlazi novac u slučajevima zloupotrebe?
Na žalost, vrlo se rijetko otkriju prave osobe koje stoje iza ovakvih trojanskih programa. Razlog tomu je veliki broj razina te kompleksnost ovih već razvijenih kriminalnih organizacija. Najčešće se zapravo uhite osobe koje podižu novac fizički, s bankomata, prenesen na njihov račun s ukradenih računa. Takve se osobe nazivaju money mules i najčešće nisu niti svjesne da rade nešto ilegalno.
Glavne se akteri nekad ipak uhvate - tu bi izdvojio slučaj Alberta Gonzaleza koji je u suradnji s nekoliko ljudi ukrao preko 100 milijuna kreditnih i debitnih kartica iz Heartland Payment tvrtke. Iz ukradenih podataka u suradnji s ukrajinskim kriminalcima radili su lažne kartice koje su zatim slali u Kanadu i USA ljudima koji su dizali novce na bankomatima.
Koji besplatni i koji plaćeni antivirusni softver preporučujete kao najučinkovitije kad su ova dva trojanca u pitanju?
Ne bi htio izdvojiti niti jedan antivirusni program specijalno - čitateljima bi preporučio da je najvažnije imati antivirusni program s osvježenim definicijama (bez obzira na proizvođača). Iako se pokazuje da su komercijalni antivirusni programi u detekciji bolji od onih besplatnih, niti jedan ne garantira 100%-nu zaštitu. Osim toga, kao što sam već rekao, vrlo je važno ne koristiti sumnjiva računala poput onih u zrakoplovnim lukama, cyber caffeima i slično za provođenje Internet banking transakcija.