adslgr.com
adslΗ νέα έκδοση του λογισμικού υποκλοπής τραπεζικών κωδικών mobile Zeus, εξαπολύει την επίθεσή της κλέβοντας τους κωδικούς ασφαλείας μίας χρήσης, που αποστέλλουν οι τράπεζες στους πελάτες τους με SMS.
Οι ερευνητές της ισπανικής εταιρείας ασφαλείας, S21sec, ανακάλυψαν μία έκδοση του Zeus που αναγνωρίζει (μέσω social engineering) τον τύπο του τηλεφώνου και τον αριθμό του, εισάγοντας κακόβουλο κώδικα στον υπολογιστή του θύματος.
Κατόπιν ο hacker στέλνει στο θύμα μήνυμα με σύνδεσμο προς κακόβουλη ιστοσελίδα προτρέποντάς τον να κατεβάσει ενημέρωση για τη συσκευή του. Η τελευταία φαίνεται αυθεντική, αφού έχει το σχετικό πιστοποιητικό γνησιότητας (κατοχυρωμένο σε εταιρεία από το Αζερμπαϊτζάν). Το λογισμικό αυτό στην πράξη υποκλέπτει τους κωδικούς μίας χρήσης, που στέλνουν κάποιες τράπεζες με SMS στους πελάτες τους για να ολοκληρωθούν οι συναλλαγές. Αντίστοιχη μέθοδο πιστοποίησης χρησιμοποιούν πολλές τράπεζες στη Γαλλία, τη Γερμανία, την Ισπανία, αφού μειώνει το λειτουργικό κόστος για τις τράπεζες, σε σχέση με τη χρήση συσκευών παραγωγής κωδικών (token generator), ενώ παράλληλα αυξάνει την ευκολία χρήσης για τον πελάτη.
Η νέα μορφή επίθεσης με την υποκλοπή του SMS ασφαλείας είναι ακόμη πιο επικίνδυνη. Επιτρέπει στους εγκληματίες να διεξάγουν την κλοπή όποτε επιθυμούν, χωρίς να το αντιληφθεί το θύμα, αφού πρώτα υποκλέψουν το όνομα χρήστη, τον κωδικό πρόσβασης του θύματος και μολύνουν το κινητό του τηλέφωνο. Προς το παρόν τα iPhone δε διατρέχουν κίνδυνο από το συγκεκριμένο κώδικα, ενώ εκτεθειμένα είναι τα Nokia με λειτουργικό σύστημα Symbian S60 και τα BlackBerry.
Η βρετανική αστυνομία είναι ενήμερη για το ζήτημα, αλλά είναι ήδη απασχολημένη. Την Τρίτη διεξήγαγε μία από τις μεγαλύτερες επιχειρήσεις στην ιστορία, συλλαμβάνοντας 19 άτομα, μέλη σπείρας που χρησιμοποίησε το λογισμικό Zeus για να κλέψει 9,5 εκατομμύρια δολάρια (7 εκατομμύρια ευρώ) από βρετανικούς τραπεζικούς λογαριασμούς. Το εν λόγω λογισμικό πωλείται μεταξύ 700 και 3000 δολαρίων στον υπόκοσμο.
Η ανάπτυξη μεθόδων υποκλοπής δεδομένων από κινητό τηλέφωνο, καθιστά πιο δύσκολο το έργο της προστασίας των κωδικών ασφαλείας. Στην περίπτωση που το κινητό τηλέφωνο χρησιμοποιείται για τη διεξαγωγή μίας τραπεζικής συναλλαγής, δε θα πρέπει να είναι ταυτόχρονα ο αποδέκτης του κωδικού ασφαλείας μίας χρήσης, ώστε να διατηρηθεί η διπλή ανεξάρτητη ταυτοποίηση του χρήστη (two factor authentication) και να είναι ασφαλής η χρήση των υπηρεσιών.
Πηγές: Computerworld, CNET
adslΗ νέα έκδοση του λογισμικού υποκλοπής τραπεζικών κωδικών mobile Zeus, εξαπολύει την επίθεσή της κλέβοντας τους κωδικούς ασφαλείας μίας χρήσης, που αποστέλλουν οι τράπεζες στους πελάτες τους με SMS.
Οι ερευνητές της ισπανικής εταιρείας ασφαλείας, S21sec, ανακάλυψαν μία έκδοση του Zeus που αναγνωρίζει (μέσω social engineering) τον τύπο του τηλεφώνου και τον αριθμό του, εισάγοντας κακόβουλο κώδικα στον υπολογιστή του θύματος.
Κατόπιν ο hacker στέλνει στο θύμα μήνυμα με σύνδεσμο προς κακόβουλη ιστοσελίδα προτρέποντάς τον να κατεβάσει ενημέρωση για τη συσκευή του. Η τελευταία φαίνεται αυθεντική, αφού έχει το σχετικό πιστοποιητικό γνησιότητας (κατοχυρωμένο σε εταιρεία από το Αζερμπαϊτζάν). Το λογισμικό αυτό στην πράξη υποκλέπτει τους κωδικούς μίας χρήσης, που στέλνουν κάποιες τράπεζες με SMS στους πελάτες τους για να ολοκληρωθούν οι συναλλαγές. Αντίστοιχη μέθοδο πιστοποίησης χρησιμοποιούν πολλές τράπεζες στη Γαλλία, τη Γερμανία, την Ισπανία, αφού μειώνει το λειτουργικό κόστος για τις τράπεζες, σε σχέση με τη χρήση συσκευών παραγωγής κωδικών (token generator), ενώ παράλληλα αυξάνει την ευκολία χρήσης για τον πελάτη.
Η νέα μορφή επίθεσης με την υποκλοπή του SMS ασφαλείας είναι ακόμη πιο επικίνδυνη. Επιτρέπει στους εγκληματίες να διεξάγουν την κλοπή όποτε επιθυμούν, χωρίς να το αντιληφθεί το θύμα, αφού πρώτα υποκλέψουν το όνομα χρήστη, τον κωδικό πρόσβασης του θύματος και μολύνουν το κινητό του τηλέφωνο. Προς το παρόν τα iPhone δε διατρέχουν κίνδυνο από το συγκεκριμένο κώδικα, ενώ εκτεθειμένα είναι τα Nokia με λειτουργικό σύστημα Symbian S60 και τα BlackBerry.
Η βρετανική αστυνομία είναι ενήμερη για το ζήτημα, αλλά είναι ήδη απασχολημένη. Την Τρίτη διεξήγαγε μία από τις μεγαλύτερες επιχειρήσεις στην ιστορία, συλλαμβάνοντας 19 άτομα, μέλη σπείρας που χρησιμοποίησε το λογισμικό Zeus για να κλέψει 9,5 εκατομμύρια δολάρια (7 εκατομμύρια ευρώ) από βρετανικούς τραπεζικούς λογαριασμούς. Το εν λόγω λογισμικό πωλείται μεταξύ 700 και 3000 δολαρίων στον υπόκοσμο.
Η ανάπτυξη μεθόδων υποκλοπής δεδομένων από κινητό τηλέφωνο, καθιστά πιο δύσκολο το έργο της προστασίας των κωδικών ασφαλείας. Στην περίπτωση που το κινητό τηλέφωνο χρησιμοποιείται για τη διεξαγωγή μίας τραπεζικής συναλλαγής, δε θα πρέπει να είναι ταυτόχρονα ο αποδέκτης του κωδικού ασφαλείας μίας χρήσης, ώστε να διατηρηθεί η διπλή ανεξάρτητη ταυτοποίηση του χρήστη (two factor authentication) και να είναι ασφαλής η χρήση των υπηρεσιών.
Πηγές: Computerworld, CNET
0 σχόλια:
Speak up your mind
Tell us what you're thinking... !