Více než 36 milionů eur bylo odcizeno ze soukromých a firemních bankovních účtů prostřednictvím malwaru Eurograbber. Ten postupně infikoval počítače i mobilní telefony obětí, takže poté mohl snadno překonat dvoufaktorovou ochranu používanou při bankovních transakcích. Jak přesně postupoval?
Nejprve si shrňme základní fakta: Díky ukradeným informacím a jednorázovým autorizačním kódům útočníci využívající malware Eurograbber automaticky převáděli obnosy 500 až 250 000 eur z účtů obětí na podvodné účty po celé Evropě. Postiženo mělo být až 30 000 firemních a soukromých bankovních účtů; první oběti byly z Itálie, malware se však rychle rozšířil i do Německa, Holandska a Španělska. Útoky byly speciálně zaměřeny na mobilní zařízení Android a Blackberry.
Výše uvedené údaje vyplývají z případové studie „Eurograbber: Jak bylo ukradeno 36 milionů eur prostřednictvím malwaru“ společností Check Point a Versafe. Ve studii je sofistikovaný útok popsán krok po kroku.
Schéma útoku malwaru Eurograbber na internetové bankovnictví. Zdroj: Check Point a VersafeMalware postupoval v několika krocích. Tím prvním bylo napadení počítače oběti. K tomu podle výše zmíněné studie došlo prostřednictvím odkazu v e-mailu nebo při návštěvě nakažené webové stránky.
Jakmile byl malware nainstalován na počítači, čekal na přihlášení k mobilnímu bankovnictví. Když k němu došlo, vložil do stránky bankovnictví kód vyzývající uživatele k bezpečnostnímu upgradu - k instalaci speciálního šifrovacího softwaru na jeho mobilní telefon. Uživatele informoval, že tímto způsobem zajistí vyšší bezpečnost komunikace s bankou.
Jakmile byl malware nainstalován v počítači i na mobilním telefonu, další postup už byl jednoduchý: Útočníci vyvolali bankovní transakci, při níž měla být definovaná částka z účtu oběti převedena na jeden z mnoha účtů, ke kterým měli přístup. Potvrzující SMS byla zachycena malwarem na mobilním telefonu a přeposlána útočníkům, kteří ji využili k autorizaci transakce. Tím byla krádež dokončena.
Za zmínku stojí, že Eurograbber podle studie postupoval tak, aby instalaci malwaru na mobilní telefony co nejvíce usnadnil: Po zadání mobilního čísla oběti v podvrženém formuláři internetového bankovnictví jí mimo jiné poslal na mobil zprávu s odkazem, na který stačilo kliknout - a potvrdit instalaci. Tím byl vyřešen potenciální rozpor vyplývající z faktu, že méně zkušení uživatelé by si s tím nemuseli poradit, zatímco ti zkušenější by zřejmě pojali podezření. Odhad škod nasvědčuje tomu, že se tento přístup autorům malwaru vyplatil.
Zbývá dodat, že navzdory titulku malware nepřelstil ani tak internetové bankovnictví, ale jeho uživatele. To je však známý problém...