GozNym atakuje klientów polskich banków


25 kwietnia 2016

Marcin Spychała

GozNym atakuje klientów polskich banków

Analiza kodu współczesnego złośliwego oprogramowania wymierzonego w branżę bankową – takiego, którego głównym celem jest kradzież pieniędzy z kont klientów – ujawniła już dziesiątki metod, jakimi przestępcy wykradają środki. Od prostych, ale zaskakująco skutecznych, jak podmiana numeru konta w locie podczas wklejania go na stronie bankowości elektronicznej, do bardziej zaawansowanych i wymagających wcześniejszego przygotowania ataków, podczas których przestępcy przejmują kontrolę zarówno nad naszym komputerem/telefonem/tabletem, jak i nad naszą cyfrową tożsamością.

Atak, który obecnie obserwujemy w Polsce z wykorzystaniem malware o nazwie GozNym, jest pod pewnymi względami szczególny i oznacza, że Polska dołączyła do niespecjalnie elitarnego klubu krajów, które będą najczęściej atakowane przez cyberprzestępców.

Co takiego się zmieniło? Spójrzmy na to z perspektywy przestępcy włamującego się do naszego mieszkania. Malware to klucz do naszych drzwi, a mieszkanie to bank, w którym trzymamy pieniądze. Dotychczas większość ataków w Polsce przeprowadzanych było na pojedyncze banki – czyli przestępcy dysponowali kluczami do pojedynczych mieszkań. Nowy malware GozNym posiada ponad 200 takich kluczy do 17 banków komercyjnych i do ponad 200 banków spółdzielczych. Świadczy to o tym, że przestępcy niejako „docenili” Polskę jako wartą atakowania i przygotowali infrastrukturę mającą to ułatwić.

Drugim wyróżnikiem obecnie prowadzonego ataku jest to, że po zainfekowaniu komputera ofiary, złośliwe oprogramowanie nie dopuszcza w ogóle klienta do połączenia się ze stroną bankowości elektronicznej. W zamian przekierowuje ofiarę na fałszywą, ale wyglądającą identycznie jak prawdziwa stronę banku, gdzie ofiara wpisuje swoje dane logowania i zdradza je tym samym przestępcom. Sama metoda takiego ataku jest już znana od jakiegoś czasu (od 2014 kiedy wykorzystał ją malware Dyre i jego późniejsze klony), ale dotychczas była sporadycznie używana do ataków w Polsce. Było to niejako zrozumiałe, bo przygotowanie infrastruktury informatycznej dla fałszywej strony bankowej jest zadaniem skomplikowanym i czasochłonnym. Ponadto przestępcy również kalkulują czy atak opłaci się im ekonomicznie – innymi słowy czy zyski z kradzieży przewyższą koszty przygotowania. Dlatego dotychczas widzieliśmy tego typy ataki tylko na pojedyncze spośród największych banków w Polsce. Fakt, że grupa przestępcza stojąca za atakiem zainwestowała w infrastrukturę fałszywych stron bankowych środki i pracę w takiej skali, świadczy o tym, że dla przestępców staliśmy się ważnym źródłem przychodów.

Jak się chronić? IBM Trusteer Pinpoint Detection oraz Trusteer Rapport zostały już wyposażone w mechanizmy wykrywania i usuwania tego zagrożenia. Więcej o zagrożeniu na blogu Security Inteligence (informacja w języku angielskim).

Więcej szczegółowych informacji na temat ataku

Zainteresował Cię nasz blog i chcesz wiedzieć więcej?

Zapisz się na nasz newsletter

Na Twój e-mail wyślemy ciekawe informacje związane z blogiem i IBM