Weboví zločinci prolamují mTAN zajištění

Internet banking + mobil nemusí znamenat stoprocentní bezpeční...

Při internetovém bankovnictví musí zákazník každou transakci potvrdit prostřednictvím čísla TAN (transaction number). Aby toto číslo bezpečně dopravily od banky ke klientovi a zpět, volí peněžní ústavy různé postupy. Při variantě používající mTAN (mobilní číslo transakce) posílá banka TAN pomocí SMS na klientem uvedené číslo mobilního telefonu. Také na tento postup, propagovaný jako bezpečný, ale hackeři vyzráli. Využívají k tomu trojského koně ZeuS. Bezpečnostní služba S21sec odhalila novou variantu, která jde ještě o krok dále: při vyvolání bankovní webové stránky se v okně browseru objeví zfalšovaná verze, která vyzývá k údajně nutné aktualizaci firmwaru v mobilu. Uživatel má za tím účelem jenom zadat číslo svého mobilu, aby mu do něj mohl být přímo zaslán odkaz na download. Jestliže uživatel na zaslaný odkaz klikne, nainstaluje si tím do telefonu mobilní verzi trojského koně ZeuS. Od té chvíle je každá doručená SMS automaticky přeposlána útočníkům. V součinnosti s PC verzí je pak možné provádět neautorizované peněžní převody. V předchozí variantě mohli podvodníci drancovat účty tak, že namísto jednoduchého platebního příkazu posílali bankovnímu serveru příkazy hromadně.

Jednoduchá obrana: Pozor na detaily
Postiženy jsou mobilní telefony se systémy Symbian a BlackBerry. Opravný patch dosud není k dispozici. Proto úzkostlivě dbejte na to, abyste do svého přístroje instalovali vždy jen software z důvěryhodných zdrojů. Kromě toho vždy podrobně pročítejte bankovní SMS a počet příkazů, číslo účtu a obnos přesně porovnávejte s vlastními údaji.

Komentáře