Konta bankowe Polaków znów na celowniku cyberprzestępców
Cyberprzestępcy po raz kolejny rozpoczęli ataki na domowe routery, a ich celem są konta bankowe Polaków – ostrzega zespół CERT Polska, działający w ramach instytutu badawczego NASK. Przestępcy dążą do wyłudzenia danych służących klientom do logowania się na stronach internetowych banków, jak również jednorazowych kodów autoryzacyjnych, a w efekcie do kradzieży pieniędzy z kont ich właścicieli.
Swoistą nowością prowadzonych obecnie ataków jest sposób łączenia się serwera pośredniczącego z bankiem. Obecnie połączenie jest dodatkowo przekierowywane na któryś z przejętych routerów, przez co przestępcy jeszcze skuteczniej maskują swoją działalność. O niebezpiecznym zjawisku zespół CERT Polska informował już w lutym 2014 roku. Wówczas przestępcy wykorzystywali podatność routerów domowych, umożliwiających zdalną zmianę ich konfiguracji. W efekcie mogli modyfikować systemy serwerów przechowujących dane na temat adresów domen (tzw. serwery DNS) i przekierowywać ruch na serwery będące pod ich kontrolą. To oznaczało, że użytkownik, który próbował połączyć się na przykład z serwerem swojego banku zostawał w sposób niezauważony przenoszony na podstawioną maszynę.
Przestępca uzyskiwał wówczas dostęp do przesyłanych danych i mógł fałszować odpowiedzi niektórych domen bankowych, na przykład poprzez dodanie dodatkowej zawartości, żądania potwierdzenia kodem jednorazowym czy zmiany numeru konta. Eksperci zwracali wówczas uwagę na to, że ataki były dokonywane pomimo skutecznie działających zabezpieczeń, które wykorzystują strony bankowe. Chodziło przede wszystkim o protokół SSL używany do bezpiecznych połączeń internetowych, zapewniający poufność transmisji przesyłanych danych.
Badając incydenty zgłoszone przez użytkowników, eksperci odkryli kolejną kampanię ataków na bankowość internetową prowadzoną poprzez przejmowanie routerów klienckich. Przestępcy wprowadzili do niej istotną modyfikację. W poprzednio obserwowanych przypadkach, połączenie do banku było wykonywane bezpośrednio z przestępczego serwera. Teraz połączenie jest jeszcze przekierowywane przez któryś z przejętych routerów. W ten sposób przestępcy utrudniają wykrycie swojej działalności, ponieważ połączenia z bankiem wykonywane są z adresów sieci domowych czy biurowych i nie budzą podejrzeń o manipulację.
- Zaplanowane, bardzo dobrze przygotowane i wykonane ataki cyberprzestępców, wymierzone w klientów bankowości elektronicznej są jednym z najpoważniejszych zagrożeń bezpieczeństwa sieciowego. Uderzają bowiem w ogół społeczeństwa, wykorzystując niewiedzę i łatwowierność poszczególnych użytkowników, a ich skutki są bardzo dotkliwe - mówi Przemysław Jaroszewski z zespołu CERT Polska. Mimo, że szereg instytucji finansowych jako priorytet stawia sobie ochronę powierzonych im środków, należy pamiętać, że bezpieczeństwo transakcji dokonywanych w ramach bankowości elektronicznej zależy również lub przede wszystkim od ich użytkowników - uzupełnia Przemysław Jaroszewski.
Użytkownik w kilku prostych krokach może się zabezpieczyć przed opisywanym zagrożeniem. Wystarczy wyłączyć możliwość konfigurowania routera “z zewnątrz”, tj. z sieci internet. Należy także bezwzględnie zmienić domyślne dane logowania do panelu konfiguracyjnego. Szczegółowy opis tych czynności powinien się znajdować w instrukcji obsługi routera. Warto też rozważyć instalację aktualizacji oprogramowania routera, jeżeli została udostępniona przez producenta. Niektóre urządzenia nie wykonują takich aktualizacji automatycznie, co oznacza, że należy ręcznie sprawdzić dostępność łat na stronie producenta i w razie potrzeby zainstalować je zgodnie z instrukcją.
