Angriper bankens to-faktor

Angriper bankens to-faktor

Avansert nettbanksvindel som stjeler kontoinformasjon og snapper opp SMS fra banken er avdekket av Trend Micro.

En ny metode for å narre nettbank-brukere er avdekket av sikkerhetsforskere i Trend Micro. Svindelen er rettet mot bankkunder som bruker kode på SMS for å logge seg på nettbanken.

Trend Micro mener svindelen, som har fått navnet «Operasjon Emmental» (PDF), er den mest avanserte blandingen av svindel og teknologi de har sett så langt. Den retter seg mot brukere som stoler på at meldinger fra banken er trygge.

- «Operasjon Emmental» viser at nettsvindlerne har nådd et helt nytt nivå der de kombinerer flere etablerte metoder på en helt ny måte for å lure bankkunder og omgå nettbanksikkerheten, sier Rasmus Pedersen, administrerende direktør for Trend Micro i Norden.

Så langt er angrepet rettet mot bankkunder i Sveits, Østerrike, Japan, Sverige og «andre europeiske land». Foreløpig er det ikke rapportert tilfeller med norske nettbanker.

- Men mens disse angrepene kan være begrenset i omfang nå, lover det dårlig for fremtiden, advarer Christopher Budd i en bloggpost.

Slik fungerer det

Skurkene, som sikkerhetsselskapet mener er basert i Russland, sender først en epost der mottaker blir bedt om å åpne et vedlegg, angivelig for å se en kvittering. Vedlegget er en tekstfil i RTF-format, med en embedded fil.

Denne filen er en .CPL-fil, som betyr at filen hører hjemme i kontrollpanelet. Kjører man programmet, på tross av advarsler fra operativsystemet, endres DNS-konfigurasjonen på brukerens maskin til å peke mot skurkenes egen DNS-server.

Dette betyr at selv om brukeren deretter skriver inn nettadressen til banken sin i et nettleser, vil han likevel sendes til et falskt nettsted - selv om alt ser riktig ut fra brukerens synspunkt. Angrepet sørger også for å installere et nytt SSL-sertifikat, slik at den falske nettbanken skal se så ekte ut som mulig.

- Vi kan ikke understreke sterkt nok at ingen seriøs bank vil sende deg e-post med lenker du skal klikke på, og at du aldri må si «OK» til å installere noe på PC-en selv som en tilsynelatende offisiell e-post ber deg om det, påpeker Pedersen.

Etter brukeren har tastet inn kontoinformasjon, lover den falske nettbanken å sende en SMS med en sikkerhetskode. Men SMS-en uteblir. Da foreslår den falske nettbanken at brukeren installerer en applikasjon på mobilen sin, etter som det tydeligvis er «problemer med SMS».

Selvsagt stjeler denne applikasjonen kontoinformasjon som brukeren oppgir, og sender denne direkte til svindlerne. Deretter vil den snappe opp ekte kode sendt via SMS fra den ekte nettbanken.

Når prosessen er over, slettes alle spor på datamaskinen, noe som gjør det svært vanskelig å bekrefte at det har skjedd noe som helst galt før kontoen tømmes. Anti-skadevareprogrammer vil også slite med å oppdage hva som er i ferd med å skje - eller det som allerede har skjedd.

Og da er det uansett for sent.

Les om:

Sikkerhet