Like Swiss Emmental Cheese,
the Ways Your Online Banking Accounts are Protected Might Be Full of
Holes, According to a New Trend Micro Whitepaper
Dubai, United Arab Emirates
Like Swiss Emmental cheese, the ways your
online banking accounts are protected might be full of holes,
according to a new whitepaper from Trend
Micro Incorporated (TYO:
4704; TSE:
4704).
Banks have been trying to prevent crooks
from accessing your online accounts for ages. Passwords, PINs,
coordinate cards, TANs, session tokens – all were created to help
prevent banking fraud. Trend Micro recently came across a criminal
operation that aimed to defeat one of these tools: session tokens.
This criminal gang intends to target banks
that use session tokens sent through SMS (i.e., text messaging). This
is a two-factor authentication method that utilizes users’ phones
as a secondary channel. Trying to log into the banking site should
prompt the bank to send users an SMS with a number. Users need to
enter that number along with their regular username and password in
order to transact with the bank. By default, this is used by some
banks in Austria, Sweden, Switzerland, and other European countries.
Cybercriminals spam users from those
countries with emails spoofing well-known online retailers. The users
click a malicious link or attachment and get their computers infected
with malware. So far, all this is fairly typical and from a threat
perspective, a bit boring.
But here’s where it gets interesting. The
users’ computers don’t really get infected—not with the usual
banking malware, anyway. The malware only changes the configuration
of their computers then removes itself. How’s that for an
undetectable infection? The changes are small, but have big
repercussions.
Here’s how it works: the users’
computers’ DNS settings are changed to point to a foreign server
controlled by the cybercriminals. The malware installs a rogue SSL
root certificate in their systems so that the malicious HTTPS servers
are trusted by default and they see no security warning.
Now, when users with infected computers try
to access the bank’s website, they are instead pointed to a
malicious site that looks like that of their bank. So far, this is
just a fancy phishing attack but these criminals are much more
devious than that. Once the users enter their credentials, they are
instructed to install an app on their smartphone.
This malicious Android app is disguised as
a session token generator of the bank. In reality, it will intercept
SMS messages from the bank and forward them to a command-and-control
(C&C) server or to another mobile phone number. This means that
the cybercriminal not only gets the victims’ online banking
credentials through the phishing website, but also the session tokens
needed to bank online as well. The criminals end up with full control
of the victims’ bank accounts.
How’s that for a big malware operation?
Localized spam runs, non-persistent malware, rogue DNS servers,
phishing pages, Android malware, C&C servers, and the real
back-end servers. You can’t say these criminals are lazy.
The criminals behind this particular
operation target Internet users in Switzerland, Austria, and Sweden.
Just this May, they added Japanese Internet users to their list of
potential victims. We were able to trace the operators back to online
nicknames: -=FreeMan=- and Northwinds.
These actors have been active since 2011.
Back then, they spread off-the-shelf malware like SpyEye and Hermes.
Looking at the binaries that were recently deployed, we think the
actors made use of at least two different crypting services. One of
these crypting services is run by an individual from Uzbekistan. We
have not been able to identify the other crypting service.
More information about this attack may be
found in Trend Micro’s Finding
Holes: Operation Emmental white paper, where we discuss this
technique in depth. SWITCH.CH, the CERT for Universities in
Switzerland, also did research
on Emmental and published their findings on their site.
«تريند
مايكرو»
تكشف
النقاب عن ثغرات مقلقة تحيق بأمن الخدمات
المصرفية عبر الإنترنت
الشركة
العالمية تصدر تقريراً موجزاً تورد به
تفاصيل خطة شيطانية مُحْكَمَة حاكتها
عصابات إجرامية للتحكم بالحسابات المصرفية
لعملاء ببلدان عدة
دبي،
الإمارات العربية المتحدة
قد
لا يختلف اثنان على مذاق الجبنة السويسرية
«إمنتال»
Emmental،
غير أن هذه الجبنة المنسوبة إلى إقليم
يحمل الاسم ذاته بسويسرا تشتهر بأمر آخر
هو الثقوب العديدة التي تميزها عن غيرها.
وبالمثل،
توفر الخدمات المصرفية عبر الإنترنت
لعملاء المصارف وسيلة مريحة للنفاذ إلى
حساباتهم وإجراء العمليات المصرفية
المختلفة أينما كانوا ووقتما شاؤوا.
ولكن،
صدر مؤخراً تقرير عن «تريند
مايكرو»،
المزوّد الرائد عالمياً بحلول أمن
المعلومات، يحذر من أن الخدمات المصرفية
الإنترنتية قد تكون مليئة بالثقوب التي
تجعلها محفوفة بمخاطر لا حصر لها.
وتعمل
المصارف حول العالم دون كلل للحؤول دون
نفاذ المحتالين إلى حسابات عملائها بأي
شكل من الأشكال، ولتحقيق تلك الغاية
استحدثت المصارف وسائل مختلفة مثل كلمات
السر وأرقام التعريف الشخصية والأرقام
المُرسلة للعميل لتخويل عملية مصرفية
معينة وغيرها الكثير.
غير
أن عيون خبراء «تريند
مايكرو» اليقظة
رصدت مؤخراً عملية احتيالية هدفها اختراق
ما يُعرف باسم «رمز
الجلسة»
Session Token
الذي
يُعَد من الوسائل الفعالة التي تستعين
بها المصارف لحماية عملائها عند استخدام
الخدمات المصرفية الإنترنتية.
وقالت
«تريند
مايكرو» إن
العصابة الإجرامية استهدفت المصارف التي
ترسل «رمز
الجلسة»
لعملائها
من خلال رسائل نصية قصيرة تصل إلى أرقام
هواتفهم النقالة المعتمدة والتي تُعَدُّ
في مثل هذه الحالة وسيلة ثانية للتحقق من
هوية العميل.
فعندما
يحاول العميل الدخول إلى حسابه عبر
الإنترنت يرسل النظام رسالة نصية قصيرة
إلى هاتفه النقال المعتمد، وتحمل تلك
الرسالة النصية القصيرة رقماً يُستخدم
مرة واحدة يتعين على العميل إدخاله إلى
جانب اسم المستخدم وكلمة السر حتى يتمكن
من إجراء معاملة أو عملية مصرفية ما.
ويُعَدُّ
«رمز
الجلسة» من
الوسائل التي تتبعها المصارف بي النمسا
والسويد وسويسرا وعدد من البلدان الأوروبية.
ولتحقيق
مآربهم، يقوم محتالو الإنترنت في تلك
البلدان بإرسال رسائل إلكترونية متطفلة
تحمل أسماء متاجر شهيرة، وما أن ينقر
المستخدم فوق الوصلة الخبيثة المتضمَّنة
في الإيميل أو المادة المرفقة به حتى
تتسلل البرمجية الخبيثة إلى حاسوبه.
وإلى
هذا الحد فإنه لا جديد في الأمر، فقد اعتاد
مجرمو الإنترنت على القيام بذلك لمآرب
مختلفة.
وأما
الجديد والمثير للاهتمام في آنٍ معاً هو
أن البرمجية الخبيثة تقوم بتغيير تهيئة
حاسوب المستخدم ثم تزيل نفسها بنفسها.
وقد
يكون التغيير الذي يطال تهيئة الحاسوب
بسيطاً غير أن تبعاته مخيفة.
وأما
ما تقوم به هذه البرمجية الخبيثة بعد ذلك
فيتمثل في تغيير إعدادات ما يُعرف باسم
«نظام
أسماء النطاقات»
(DNS)
بحيث
تشير إلى خوادم أجنبية تتحكم بها العصابة
الإجرامية.
كذلك
تقوم البرمجية الخبيثة بتثبيت ما يُعرف
باسم «شهادة
الجذر»،
غير أنها ليست شهادة جذر أصيلة، بل مزيفة
مارقة، بحيث يثق الحاسوب تلقائياً بالخوادم
الخبيثة الواقعة تحت سيطرة العصابة
الإجرامية، ومن ثم لا يُصدر الحاسوب أي
تحذير عن اختراق محتمل.
بعدئذ
وعندما يحاول العميل الدخول إلى حسابه
عبر الإنترنت باستخدام حاسوبه المصاب
ببرمجية خبيثة فإنه ينتقل بمجرد إدخال
عنوان موقع المصرف على الإنترنت إلى موقع
آخر يشبه تماماً موقع مصرفه.
وقد
يبدو الأمر حتى هذه اللحظة مجرد محاولة
لاصطياد معلوماته السرية مثل اسم المستخدم
أو كلمة السر، أو ما يُعرف باسم phishing،
غير أن الأمر أخطر من ذلك بكثير.
فمبجرد
إدخال اسم المستخدم وكلمة السر في موقع
المصرف الزائف تظهر للمستخدم تعليمات
بتثبيت تطبيق على هاتفه الذكي.
وسيكون
المستخدم واثقاً كل الثقة أن تطبيق أندرويد
المذكور مهمته توليد «رمز
الجلسة» وبأنه
من المصرف، غير أن التطبيق الزائف مصمم
لاعتراض أي رسالة نصية قصيرة تصل إلى
العميل من مصرفه وتوجيهها إلى خوادم تتحكم
بها العصابة الإجرامية أو إلى رقم هاتف
نقال آخر.
وبذلك
لن تكون العصابة الإجرامية قد عرفت اسم
المستخدم وكلمة السر فحسب، بل «رمز
الجلسة» الذي
يرسله المصرف إلى العميل في شكل رسالة
نصية قصيرة ويتغير في كل مرة يدخل فيها
العميل إلى حساباته.
وفي
المحصلة، تسيطر تلك العصابة على حساب
العميل بشكل كامل وبقبضة محكمة.
وهكذا
لم يترك محتالو الإنترنت وسيلة إلا جربوها
للتحكم بشكل كامل بالحسابات المصرفية
لضحاياهم.
وقالت
«تريند
مايكرو» إن
العصابات الإجرامية وراء مثل تلك الخطة
الشيطانية المُحْكَمة تستهدف عملاء
المصارف في سويسرا والنمسا والسويد، ثم
أضافت عملاء المصارف اليابانية إلى قائمة
ضحاياها.
وأوضحت
«تريند
مايكرو» أن
المحتالين وراء هذه العملية الخبيثة
يتخفون وراء الاسمين الرمزيين على الإنترنت
-=FreeMan=-
و
Northwinds،
وهم ينشطون في هذا المجال منذ عام 2011،
واعتمدوا في ذلك العام على برمجيات خبيثة
جاهزة مثل SpyEye
و
Hermes،
ويعتقد خبراء «تريند
مايكرو» أن
هؤلاء يستخدمون خدمتين تشفيريتين مختلفتين،
إحداها تُدار من قبل شخص في أوزبكستان،
دون معرفة تفاصيل الخدمة التشفيرية
الثانية.
للاطلاع
على النسخة الإنجليزية من تقرير «تريند
مايكرو»
المعنون:
«الكشف
عن الثقوب:
العملية
إمنتال» يُرجى
النقر فوق هذه الوصلة.
