- 2017. április 6., 12:44
A Kaspersky göngyölítette fel, hogyan nyúlta le egy hackercsoport egy brazil bank ügyfélkörét.
Hirdetés

Az internet világa telis tele van lehetőségekkel, csak meg kell találni őket – ez az örökérvényű igazság nemcsak a dolgos emberek életét mozgatja, hanem a hackerek is mottójuknak tekintik. És, hogy a dolog mennyire igaz, azt kiválóan mutatja, hogy egy hacker csoportnak sikerült egy bank ügyfélkörének jelentősé részét lenyúlnia. A „csapat” egy brazil pénzintézetet nézett ki magának; felépítette online banking felületének pontos mását, a felhasználókat pedig egy ügyes trükk segítségével egyszerűen átirányította saját magához. Az átcsatornázáshoz a DNS-adatbázisban írták át a banki IP-címét sajátjukra – a DNS segítségével lesz a böngésző címsorába beírt karaktersorból a kommunikáció felépítéséhez szükséges IP-cím. Elvileg a DNS-adatbázis változtatását csak és kizárólag a bank kezdeményezhette volna, az egyelőre nem tiszta, hogyan sikerült a hackereknek ezt a lépést kivitelezni. A lényeg viszont az, hogy 2016. október 22-én megtörtént a DNS-adatbázisban a csere, így innentől kezdve a banki szolgáltatások a bank saját szerverei helyett a hackerek által felépített kiszolgálóval kezdtek kommunikálni. Az ügyben érdekes tényező, hogy bár a banknál gyorsan észrevették a turpisságot, a DNS-szerverek lassú frissítése miatt a forgalom eltérítése így is 5-6 órán keresztül zajlott. Egyébként nemcsak az online banki rendszer, hanem az ATM-ek valamint a kártyás fizetésre alkalmas terminálok is interneten keresztül kommunikálnak, vagyis nemcsak a bank saját ügyfelei voltak veszélyben, hanem mindenki, aki az általa üzemeltetett ATM-eket vagy terminálokat akarta használni az érintett időszakban.

A támadók az alatt az idő alatt, amíg a bank rendszere helyett ellenőrizték a forgalmat, minden olyan felhasználó belépési adatait lenyúlták, aki használni szerette volna a szolgáltatást, valamint megszerezték a fizetésre és pénzfelvételre használt bankkártyák számát is. A legrosszabbul azok jártak, akik számítógépről szerették volna használni az online banking felületet, mert nekik a hamis rendszer kötelezővé tette egy beépülő modul frissítését; ez sem lett gyanús senkinek, mert a modult a bank eredeti oldala is használta. Természetesen a frissítés helyett egy vírus került a gépre, amely figyelte a felhasználó tevékenységét és megkereste a gépen az érzékeny adatokat – hogy minden információk külső szerverre továbbítson.

A legnagyobb probléma a betöréssel kapcsolatban az, hogy mivel a hackerek hozzá sem nyúltak a bank szervereihez, semmi nyoma annak, hogy mit csináltak – a banknak fogalma sincs, hogy az érintett időszakban ki akart belépni az online felületre vagy ki akart vásárolni, pénzt felvenni. Vagyis nem tudni, hogy kinek a személyes adatait szerezték meg. Aggasztó tovább az is, hogy bár az eset több mint fél éve történt, a hatóságoknak lövésük sincs, hogy kik lehettek az elkövetők, mivel információ hiányában nincsen olyan nyom sem, amin el lehet indulni. A böngészőbe beépülő modul kódjának visszafejtése alapján gyanítható, hogy az elkövetők brazilok, de ez még édeskevés az üdvösséghez.

Tekintve, hogy a potenciális áldozatok köre az egész világra kiterjed, valószínűleg soha nem fogjuk megtudni, hogy a betörésnek lett-e konkrét következménye – vagyis hogy az ügyfelek pénzért bármilyen módon sikerült-e megszereznie a támadóknak. Mivel a bankkártyák jellemzően két-három évig használhatók, még az is előfordulhat, hogy az adatok felhasználásával kivárnak a csalók addig, amíg csitulnak kicsit a kedélyek.

Az egész támadásban az az ijesztő, hogy egy ilyen jellegű hackeléssel túl sok mindent nem lehet tenni; ennek ellenére a világ húsz legnagyobb bankja közül csak tíz kezeli saját maga a DNS-t, a másik felénél egy ilyen jellegű támadást akár meg is lehetne ismételni.

Címkék
Hozzászólások