Bank Nordea zaatakowany przez hakerów

Analitycy z laboratorium firmy F-Secure poinformowali o atakach hakerskich na co najmniej dwa z największych fińskich banków - Nordea i Osuusppankki. Przestępcy stosują metodę wyłudzenia danych przez pośrednika (ang. man-in-the-middle). Nie wiadomo jeszcze, ilu klientów straciło pieniądze w związku z działalnością hakerów.

Konta w zaatakowanych bankach są stosunkowo dobrze zabezpieczone. "Oba wykorzystują jednorazowe hasła do logowania i kody potwierdzające transakcje, więc zwykłe techniki wyłudzania danych (phishingu) są w tym przypadku raczej mało skuteczne" mówi Sean Sullivan, główny doradca ds. bezpieczeństwa F-Secure. Przestępcy postanowili obejść tę barierę, przekierowując klientów na własny serwer, czyli wykorzystując technikę man-in-the-middle.

Scenariusz ataku wygląda następująco: klienci banku otrzymują maila napisanego kiepską fińszczyzną, zawierającego prośbę o przejście na stronę bankowości elektronicznej w celu corocznej, ponownej konfiguracji konta.

W treści podano link przenoszący użytkownika na sfałszowaną stronę logowania banku.

Po wprowadzeniu przez klienta loginu i jednorazowego hasła następuje przekierowanie na stronę, która wyświetla komunikat: "Zaczekaj dwie minuty..."

W tym czasie serwer użyty do ataku ustawia przelew z konta użytkownika na nieznany rachunek. Po dwóch minutach użytkownik zostaje poproszony o podanie jednego z kodów potwierdzających transakcję.

Czynność ta ostatecznie uruchamia przelew, a użytkownikowi wyświetla się podziękowanie za współpracę. Dla mniej wprawnego internauty wszystko wygląda niegroźnie.

"E-mail zachęcający użytkowników do zalogowania się na sfałszowanej stronie jest dość krótki, a klienci nie czytają go dokładnie. Wprawdzie Nordea już opublikowała ogłoszenie wzywające klientów do ignorowania maili zawierających błędy językowe, jednak po kliknięciu w link użytkownik zostaje przeniesiony do sfabrykowanego serwisu, gdzie wszystkie treści są poprawnie skopiowane z oryginalnej strony banku, co może wzbudzać jego zaufanie" - dodaje Sean Sullivan.

F-Secure ostrzega, że właściciel francuskiego serwera, z którego dokonywane są ataki, dysponuje ponad 90 domenami, które może wykorzystać do dalszego uprawiania przestępczego procederu.

"Niewykluczone, że hakerzy będą atakować także banki w innych krajach. Zaledwie kilka miesięcy temu byliśmy świadkami ataku trojana ZeuS, który również wyłudzał dane bankowości elektronicznej. Choć ZeuS początkowo rozprzestrzeniał się tylko w Europie Wschodniej, dotychczas zaraził już komputery w 196 krajach, nie wyłączając Polski. Należy zawsze mieć aktualny program zabezpieczający, wystrzegać się nietypowych wiadomości od banków, a przede wszystkim zawsze i kategorycznie logować się do bankowości elektronicznej wyłącznie za pośrednictwem zaufanego łącza oraz w żadnym wypadku nie korzystać z linków przesłanych mailem" - radzi Michał Iwan, dyrektor zarządzający F-Secure Polska.