Bankovní malware se vrací ke kořenům, tvrdí výzkumníci

Trendem poslední doby bylo používání trojských koňů schopných zachytit relaci zahájenou uživatelem elektronického bankovnictví. V takovém případě byli útočníci schopni uskutečňovat podvodné finanční transakce, aniž by si majitel bankovního účtu vůbec všiml nějakého pohybu peněz.

V reakci na to zavedly finanční instituce nové bezpečnostní systémy, které moniturují pohyb uživatelů na webové stránce a snaží se rozpoznat jakékoliv neobvyklé chování indikující přítomnost malwaru. Nyní se zdá, že nový přístup zafungoval. Ovšem ne zcela podle představ provozovatelů bankovních domů. Tvůrci malwaru se totiž začínají vracet k původním metodám phisingu, které spočívají v prostém odcizení přístupových údajů.

Výzkumníci bezpečnostní firmy Trusteer nedávno zaznamenali určité změny ve finančních trojských koních Tinba a Tilon, jejichž účelem je zamezit uživatelům v přístupu na stránky elektronického bankovnictví. Místo toho je navedou na podvodné stránky kopírující do detailu vzhled oficiálního webu, což je něco, s čím jsme se v minulosti setkali již mnohokrát.

„Jakmile majitel účtu jednou zadá své přístupové údaje do falešného formuláře, zobrazí se chybové hlášení informující o dočasné nedostupnosti služby elektronického bankovnictví. Ve stejné chvíli malware odešle přístupové údaje svému tvůrci, který se prostřednictvím nich posléze přihlásí z úplně jiného zařízení a uskuteční neoprávněné transakce,“ vysvětlil technologický ředitel Trusteer Amit Klein.

Uživatel není zcela v bezpečí ani v případě, že banka používá pro přístup vícestupňovou autorizaci. I na tyto informace je totiž uživatel malwarem dotázán na falešném webu. Pro majitele bankovního účtu přitom není jednoduché falešné stránky rozpoznat. Webová adresa v příslušném řádku prohlížeče je totiž shodná s oficiální adresou. „Nejde o tak sofistikovaný útok, jakým je zachycení relací v reálném čase, ale svůj účel splňuje dobře,“ řekl Klein.

Funkce pro nahrazení celé webové stránky je součástí druhé verze malwaru Tinba, kterou výzkumníci Trusteeru zachytili docela nedávno. Novinkou je podpora prohlížeče Chrome a lokální ukládání obrázků s cílem omezit objem přenášených dat. Podle Trusteeru již bylo zaznamenáno několik útoků na finanční instituce, při kterých byl použit právě Tinba v2.