Cyberprzestępcy wykorzystują popularność iPhone'a

26-09-2008, 19:03

Panda Labs ostrzega przed pharmingiem - zaawansowaną formą phishingu, realizowaną przy pomocy trojana Banker.LKC, który podszywa się pod plik wideo z informacją o telefonie iPhone. W wyniku ataku poufne dane bankowe, takie jak loginy, hasła, PIN-y czy numery kart kredytowych, trafiają w ręce cyberprzestępców.

Pharming polega na przekierowaniu użytkownika do sfałszowanej strony internetowej, wyglądającej jak autentyczna. Częstym obiektem takiego ataku są witryny banków, sklepów oraz serwisów aukcyjnych. Warto zauważyć, że cyberprzestępca nie musi wysyłać do użytkownika e-maili, nakłaniających go do odwiedzenia spreparowanej witryny. Przekierowanie odbywa się automatycznie. Jak do tego dochodzi?

Oprogramowanie serwera nazw domenowych (DNS) przekształca adresy znane internautom na adresy zrozumiałe dla urządzeń tworzących sieć komputerową, np. nazwa pl.wikipedia.org zostaje zamieniona na odpowiadający jej adres IP, czyli 145.97.39.155. Aby przyspieszyć wymianę danych, wykorzystuje się tzw. pamięć podręczną. Komputer zapisuje w niej kopię odpowiedzi DNS dla odwiedzonych wcześniej witryn.

Cyberprzestępcy stworzyli wiele koni trojańskich, które potrafią modyfikować pamięć podręczną DNS - nazywa się to "zatruwaniem" (ang. cache poisoning). Jeśli trojan wykona swoje zadanie, po wpisaniu adresu banku internetowego użytkownik zostaje przeniesiony do sfałszowanej witryny. Ten sposób działa, ponieważ komputer nie rozpoznaje, czy adres znalazł się w pamięci podręcznej w wyniku wcześniejszych odwiedzin, czy też działania szkodliwego programu.

Zrzut ekranu strony, którą otwiera trojan Banker.LKC
fot. Panda Labs - Zrzut ekranu strony, którą otwiera trojan Banker.LKC
W przypadku ataku wykrytego przez PandaLabs za manipulację systemem DNS odpowiada trojan Banker.LKC. Złośliwy kod przedostaje się do systemu pod nazwą VideoPhone[1]_exe. Po uruchomieniu pliku otwarte zostaje okno przeglądarki internetowej z wyświetloną witryną, na której sprzedawany jest iPhone. Gdy użytkownik przegląda stronę, trojan dokonuje modyfikacji pliku hostów, przekierowując adresy URL banków i innych instytucji finansowych na fałszywe witryny. Oznacza to, że podczas logowania do banku internauta – niezależnie od tego, czy adres wpisze ręcznie, czy też skorzysta z wyszukiwarki - zostanie przekierowany na podrobioną stronę, gdzie może nieopatrznie ujawnić swoje dane.

Manipulowanie plikiem hostów nie wywołuje żadnych podejrzanych zmian w działaniu komputera. Nieświadomi niczego użytkownicy padają ofiarą ataku, gdy wprowadzają adres internetowy banku. Dlatego atak jest tak niebezpieczny. Jego celem jest okradanie kont użytkowników, a informacja o iPhone stanowi tylko przynętę, która ma zachęcić użytkowników do uruchomienia pliku zawierającego złośliwy kod - wyjaśnia Maciej Sobianek, specjalista ds. bezpieczeństwa Panda Security w Polsce.

Jak uchronić się przed pharmingiem?

  1. Należy używać regularnie aktualizowanego oprogramowania antywirusowego oraz zapory ogniowej (firewalla). Wykluczy to możliwość zmiany ustawień naszego komputera przez konie trojańskie lub wirusy.

  2. Trzeba sprawdzać adres każdej strony, która żąda podania informacji identyfikacyjnych. Należy upewnić się, że sesja jest nawiązywana pod znanym autentycznym adresem witryny i że nie są do niego dołączone żadne dodatkowe znaki.

  3. Zaleca się szczególną ostrożność, jeżeli z okna przeglądarki nagle znikną symbole bezpiecznego połączenia (np. mała kłódka pasku statusu, litera "s" w "https://" przed internetowym adresem banku) lub gdy strona wygląda inaczej niż zwykle. Wtedy najlepiej jest przerwać transakcję i zawiadomić bank o incydencie.

  4. Należy również pamiętać, że w przypadku banków bardzo podejrzany jest fakt żądania jednorazowych haseł już przy logowaniu.

  5. Dodatkowej pewności dostarczy kontrola certyfikatu bezpieczeństwa danej strony (wystarczy podwójne kliknięcie na symbol kłódki). Każda wiarygodna firma z branży e-commerce posiada certyfikat bezpieczeństwa własnych serwerów, wydany przez uprawniony do tego organ, np. Verisign.

  6. Aby otworzyć poufną witrynę internetową, nie należy nigdy bezpośrednio klikać łączy w wiadomościach e-mail lub na stronach internetowych. Trzeba zawsze skopiować odnośnik i wkleić go w nowym oknie przeglądarki bądź korzystać z zakładek.

  7. Ważne jest też sprawdzanie comiesięcznych wyciągów bankowych i kredytowych pod kątem podejrzanych transakcji. W większości przypadków niezwłoczne zgłoszenie nieprawidłowości pozwala uniknąć strat.

Następny artykuł » zamknij

Źródło: Panda Software
  
znajdź w serwisie


RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy