Hlavní navigace

Postřehy z bezpečnosti: výběr z účtu s nulovým zůstatkem bez kontokorentu

CSIRT.CZ

Severokorejští poctivci zvládnou vybrat peníze i z účtů, kde žádné nejsou. Dále zranitelné volební sčítačky, nové špičkové pracoviště ČVUT nebo vlny phishingu v ČR.

Doba čtení: 4 minuty

US-CERT vydal varování ohledně nového ATM schéma používaného severokorejskou skupinou hackerů známou jako Hidden Cobra (neboli Lazarus Group nebo Guardians of Peace). Nový útok nazvaný FASTCash používá Hidden Cobra k výběrům z bankomatů minimálně od roku 2016. Během analýzy FASTCash útoků bylo nalezeno deset vzorků malwaru a bylo zjištěno, že útočníci vzdáleně kompromitovali platební komponentu zvanou „switch application servers“.

Switch application server je základní komponenta ATM a PoS infrastruktury, která má na starosti komunikaci s jádrem bankovního systému a ověřuje pro bankomat detaily bankovního účtu daného uživatele.

Kdykoliv tak použijeme platební kartu v bankomatu nebo PoS u obchodníka, software odešle dotaz komponentě switch application server, aby ověřil prováděnou transakci. Nicméně útočníci ze skupiny Hidden Cobra kompromitovali switch application servery v různých bankách, ve kterých měli účty a platební karty s minimálním nebo nulovým zůstatkem.

Malware nainstalovaný na switch application serverech pak zachytil zasílané transakční požadavky asociované s platební kartou útočníků a odpověděl s falešným, nicméně legitimně vyhlížejícím potvrzením, avšak aniž by skutečně došlo ke kontrole zůstatku v bakovních systémech.

Došlo tak k vydání částky z bankomatu bez toho, že by o tom bankovní systémy vůbec věděly. Známé případy se zatím objevily v Asii a Africe. Přesný způsob napadení switch application serverů není znám, v podezření je především spear-phishing, mířící na zaměstnance bank.

Naše postřehy

Každý darebák jednou udělá chybu. Jednoho takového nachytal bezpečnostní expert z Německa, který vystupuje na fóru SANS pod přezdívkou Johannes. Ve svém příspěvku popisuje, jak dostal nahlášený spam, odkazující na údajný OneDrive, na kterém měl být uložen soubor určený pro příjemce. Žádné překvapení se nekonalo, ve skutečnosti vedl na jinou doménu.

Co je  ale důležité, že po zkrácení URL se ukázalo, že na serveru má zapnuté indexování obsahu. V zazipovaném souboru, který tam ležel, byly nejen zdrojové kódy phishingových stránek, ale také e-mailová adresa podvodníka. Po vyhledání e-mailové adresy v Google nalezl Johannes několik domén, spojených s touto e-mailovou adresou. Zdrojový kód také obsahoval informace o blokovaných IP adresách, kde figurují především společnosti zabývající se bezpečností nebo různé bezpečnostní nástroje.

Fakulta informačních technologií ČVUT v Praze otevírá jako první v České republice špičkové pracoviště pro studium informační bezpečnosti, které povede jeden z nejlepších odborníků na IT bezpečnost. Fakulta tak reaguje na potřeby moderní společnosti a nedostatek těchto odborníků v praxi. Katedru povede prof. Ing. Róbert Lórencz, CSc., který je jedním z nejlepších odborníků na IT bezpečnost a zároveň je soudním znalcem v oblasti počítačové bezpečnosti.

Přes dvě desítky států USA používá ke sčítání volebních hlasů přístroj, který je zranitelný – už jedenáct let. Reakční doba společnosti Election Systems & Software, která vysokorychlostní sčítačku M650 dodává, je skutečně úctyhodná. Jediný nakažený disk může převrátit naruby celý volební systém, nechal se na DefConu v Las Vegas slyšet Harri Hursti, který chybu v roce 2007 nahlásil příslušným úřadům. Bezpečnostní experti ve státech dlouhodobě kritizují, že volební infrastruktura je zastaralá a zranitelná, zvláště nyní ve světle ruského ovlivňování prezidentských voleb. Teď na akci Voting Village měli příležitost si volební stroje a systém v omezené míře vyzkoušet.

Už žádná obfuskace v Chrome Web Store, rozhodl Google. Protože v 70 % aplikací, které jsou blokovány z důvodu výskytu malwaru, obsahují obfuskovaný kód, nabízelo se jako logický krok zakázat ty aplikace, které se snaží zakrýt svou funkcionalitu. Opatření už je v plném proudu, novou aplikaci by se vám nemělo podařit do obchodu nahrát. Stávající aplikace, kde se podezřelý kód vyskytuje, budete muset obhájit a odeslat k ověření. Pod lupou zůstávají rozšíření, které používají vzdáleně uložené zdroje.

Pokud jste vývojář, v roce 2019 budete muset navíc používat dvoufaktorovou autentizaci a seznámit se s manifestem v3, který je stále ve fázi návrhu. Ten vývojáři umožní (resp. dovolí) zase o něco menší přístupová práva k prohlížeči uživatele a uživateli nabídne větší kontrolu.

Populární hra Fortnite zahájila sezonu 6 a potěšila hráče i hackery. Na YouTube se v tuhle chvíli nachází spousta videí, které poskytují návody, jak získat placený obsah hry zdarma. V názvu se objevuje například „free V-Buck, aimbot, hack cheat, undetected hack for pc“. V případě, že se uživatel klikne na odkaz v popisku videa, je přesměrovaný na útočníkovy stránky, kde je nahraný malware. O jaký druh se však konkrétně jedná, záleží pouze na tom, na jaké podvodné video narazíte. Hra je velice populární – informujte své mladší příbuzné o možném riziku.

Opět se v České republice rozmohly masivnější vlny phishingu. Nejprve se jednalo o výhružky, popisující napadený počítač a záznamy uživatele pořízené webkamerou, doplněné hrozbou, že pokud uživatel nezaplatí, vše bude zveřejněno. V některých případech se útočníci snažili zvýšit důvěryhodnost pomocí hesla z dříve vykradených databází: „Není náhodou toto tvoje heslo?“ Zanedlouho poté přišla další, ale již méně sofistikovaná vlna, popisující podezřelou aktivitu na účtu u banky a lákající uživatele na externí link pro „vyřešení“ všech problémů. Nám nezbývá než polemizovat o tom, zda-li návaznost byla záměrná a o tom, co přijde příště.

Ve zkratce

Pro pobavení

Černobílá magie je nejúčinnější opatření proti podvodným aplikacím

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET.

Našli jste v článku chybu?