Что вижу - о том пою (aragont) wrote,
Что вижу - о том пою
aragont

Банковский вирус

Много раз читал про вирусы, перехватывающие пароли к интернет банкам, но, в глубине души, считал, что это что-то супер сложное и экзотическое. На этой неделе пришлось разбираться с реальным заражением, уведшим хоть и не мои, но вполне реальные деньги. Самое неприятное, что я и сам не заметил бы признаков заражения и, соответственно, не могу придумать хорошего рецепта защиты для людей, которые хуже меня разбираются в компьютерах.

Как это происходит.

Человек заходит на сайт онлайн-банка, который выглядит как всегда, и вводит идентификатор и пароль. Опытный пользователь смотрит на адресную строку и видит зелёный замочек, который обозначает защищенное соединение.

Приходит подтверждающий СМС-код, который вводится в соответствующую форму.

Вместо интернет-банка появляется заставка "идет соединение" и крутится колёсико ожидания. Наконец выводится сообщение примерно такого сорта: "Ошибка соединения с сервером. Введите СМС код для корректного завершения". Одновременно приходит вторая СМС.

Пользователь вводит код и ... теряет двадцать тысяч рублей, которые оказываются переведены в другой банк и обналичены в течение следующих пятнадцати минут. Осознав ошибку, пользователь читает вторую СМС до конца и выясняет, что это было подтверждение на создание шаблона платежа, а вовсе не подтверждение выхода (которого просто не может быть).

Как это работает.

За неделю до происшествия при невыясненных обстоятельствах неизвестным пока путём в настройки браузера были внесены два изменения: подставлены хитрые настройки прокси-сервера и добавлен поддельный сертификат электронной подписи. С этого момента браузер начинает сверяться с настройками прокси и, если в адресе встречается ключевая последовательность (vtb24, tinkoff, sberbank и т.п.), то отправляет запрос не на сайт, а на прокси. Естественно, прокси-сервер здесь специализированный и по адресу банковского сайта выдаёт фальшивую страничку, которая очень похожа на настоящую. В нашем случае это была копия страницы банка годовалой давности на которой не работали ссылки, зато крутилась текущая реклама. Прокси-сервер подписывает страницу фальшивой цифровой подписью, но, поскольку в браузере уже есть фальшивый сертификат, подпись воспринимается как настоящая.

Дальше всё элементарно. Имя пароль и первый СМС код фальшивый прокси отправляет на настоящий сайт. Потом заполняет на настоящем сайте форму для перевода, а пользователю выводит фальшивую форму для ввода второго СМС. Для банка всё идёт как надо: пользователь зашёл, оформил перевод, подтвердил кодом СМС. То, что пользователь в этот раз зашёл с адреса, расположенного где-то в Европе, при первом снятии многие банки не проверяют (если снятия пойдут серией и из разных стран - тогда да).

Как уберечься?

Единственное, что могу посоветовать на 100% - читайте СМС до конца - обычно в них подробно описано, что именно вы подтверждаете.

Кроме того, обращайте внимание на замочек безопасного соединения. В нормальных платежных системах браузер должен высвечивать название организации.
ssl
Здесь правда есть две проблемы: похоже, что в WinXP ни Хром, ни Эксплорер не высвечивают это название и, кроме того, после установки поддельного сертификата злоумышленники могут сделать цифровую подпись любой степени сложности, в том числе и с названием банка.

Всё остальное заметить практически невозможно и это довольно неприятно.
Tags: интернет
Subscribe

  • Квантовый пулемёт

    Нашёл в интернете описание интересного физического опыта. Если в ленту пулемёта зарядить случайным образом боевые и холостые патроны, то…

  • Прокуратура предупреждает

    Время от времени в трамваях начинают транслировать информационные объявления. Как правило, тревожного и угнетающего свойства. Прошлой зимой я не…

  • Приложение для покупок

    Прежде чем пойти в магазин, я беру листок бумаги, ручку и выписываю столбиком всё, что нужно купить. В принципе, можно всё то же самое записать в…

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 0 comments