Мобільний троян Android.Bankosy перехоплює OTP
Ми зберігаємо в мережі багато важливої інформації: особисте листування, фотографії, документи. Але це, по більшій частині, цінності духовного плану - дорогі спогади і плоди багатогодинних праць. Є, однак, серед містяться в інтернеті даних та цілком конкретні фінансові "матерії": наші гроші. Адже сьогодні багато хто використовує онлайн-банкінг, так як це дуже зручно для переказу коштів, оплати послуг, контролю своїх рахунків. Не дивно, що шахраї всіх сортів звертають на банківські інтернет-ресурси найпильнішу увагу і невтомно піддають їх атакам, постійно вигадуючи щось новеньке.
Не так давно був зафіксований сплеск активності нової версії мобільного трояна під назвою Android.Bankosy.
Чим небезпечний троян Android.Bankosy
Троян спеціалізується на тому, що перехоплює одноразові паролі, які використовуються в банківських додатках при дворівневої аутентифікації (2FA).
Часто тимчасовий пароль, за допомогою якого здійснюється аутентифікація клієнта, приходить в SMS повідомленні. Ще раніше різні версії банківських вірусів, серед яких і Android.Bankosy, навчилися викрадати передається таким чином код аутентифікації. У відповідь на цю загрозу фахівці з кібербезпеки розробили і ввели в обіг системи, які повідомляють одноразові паролі (one time passwords) за допомогою голосових дзвінків від банку.
Здавалося б, надійний захист даних забезпечена. Але з'ясувалося, що навіть вдосконалені засоби аутентифікації користувачів не стали перешкодою для хакерів. Творці трояна Android.Bankosy навчили його долати цей новий вид захисту: нинішня версія вірусу в стані перехоплювати дзвінки з банківського сервера. Більш того, Android.Bankosy може відключати звук на смартфоні і блокувати екран пристрою, якщо відбувається виклик з номера банку. Таким чином, клієнт навіть не дізнаєтеся, що отримували коду, а подальші дії в акаунті будуть здійснені від його імені шахраями.
Способи уникнути атаки банківського трояна
Що може протиставити зловмисникам, озброєним новітніми інструментами для злому, звичайний користувач онлайн-банку? Як відомо, найкращі засоби зазвичай є і найпростішими. Просто ми часто забуваємо або лінуємося їх застосовувати, можливо, вважаючи недостатньо дієвими. Однак, вони працюють, і працюють досить надійно.
- Не допустити вірус на свій смартфон.
Для того, щоб троян зміг взяти під своє управління телефон жертви, він, перш за все, повинен на нього проникнути. Робиться це стандартним для всіх вірусів способом: в складі якого-небудь нешкідливого і навіть корисного додатка. Офіційні магазини ПО уважно стежать за тим, щоб розміщений у них софт не був інфікований вірусами. Тому треба подолати спокусу, і не завантажувати програми з сумнівних сайтів. Особливо це стосується "ламаного" платного ПО. Не варто забувати про безкоштовний сир і мишоловці: "підселивши" на свій гаджет вірус, подібний Android.Bankosy, можна втратити набагато більше грошей, ніж потрібно для покупки вподобаного додатки.
- Використовувати надійні способи аутентифікації.
На прикладі розглянутого банківського вірусу можна переконатися в тому, що навіть двухфакторная аутентифікація не завжди може захистити нас від підступів зловмисників. Дійсно, що став уже звичним спосіб отримання одноразових паролів через СМС (і навіть голосові дзвінки) не є стовідсотково надійним. Відбувається це тому, що підключитися до телефонного з'єднання і переадресувати виклик в потрібному напрямку цілком під силу сучасним хакерам: канали телефонного зв'язку зазвичай є відкритими і відомості по ним передаються в незашифрованому вигляді.
Інша справа - ОТР токен . Безумовно, апаратний генератор одноразових паролів коштує грошей. Але і захист він забезпечує серйозну. Адже токен працює автономно від інтернету і телефонних мереж, а значить, впровадити на нього троянський вірус у шахраїв не вийде.
Альтернативою платному апаратного токені може стати додаток для смартфона - програмний токен. наприклад, Protectimus Smart від компанії Протектімус абсолютно безкоштовний, але, разом з тим, в змозі надати високий рівень безпеки при двофакторної аутентифікації. Особливо цьому сприяє функція підпису даних, коли одноразовий пароль генерується з урахуванням параметрів конкретного сеансу: сума транзакції, IP-адреса, час виконання операції, поточний баланс на рахунку. Хоча додаток встановлюється на смартфон, на якому вже можуть бути присутніми віруси, функція CWYS (підпис даних) зробить перехоплений пароль абсолютно марним для шахраїв, так як дані їх транзакції, природно, будуть зовсім іншими, ніж використані при створенні пароля.