Как банковские троянцы обходят двухфакторную аутентификацию
Двухфакторную аутентификацию с помощью SMS уже достаточно давно используют подавляющее большинство банков. Конечно, эта защита лучше, чем ничего, но она не является непреодолимой: исследователи предупреждали, что ее несложно обойти, еще лет десять назад, когда эта мера защиты только набирала популярность.
Увы, разработчики банковских троянцев довольно быстро освоили методы обхода одноразовых паролей, присылаемых в SMS. Вот как это работает в современных мобильных банковских троянцах:
1. Пользователь запускает подлинное банковское приложение на своем смартфоне.
2. Троянец определяет, приложение какого банка используется, и перекрывает его интерфейс своим, показывая пользователю поддельный экран. Внешне поддельное приложение максимально похоже на настоящее.
3. На поддельном экране пользователь вводит свои логин и пароль.
4. Троянец отправляет эти логин и пароль злоумышленникам — теперь последние могут использовать их для входа в банковское приложение.
5. Злоумышленники инициализируют перевод некоторой суммы денег на свой счет.
6. На смартфон пользователя приходит SMS с одноразовым паролем.
7. Троянец перехватывает пароль из SMS и отправляет его злоумышленникам.
8. При этом на смартфоне SMS скрывается — пользователь не видит сообщение и ни о чем не подозревает, пока не проверит список транзакций.
9. Используя перехваченный одноразовый пароль, преступники подтверждают свою транзакцию и получают деньги на счет.
Едва ли будет преувеличением сказать, что все современные мобильные банковские троянцы умеют обходить двухфакторную аутентификацию, используя приведенный выше сценарий. У их создателей просто нет выбора — поскольку почти все банки используют эту меру защиты, без умения ее обходить деньги не украдешь.
Подобных вредоносных приложений существует гораздо больше, чем принято считать. Только за последние месяц-полтора наши эксперты опубликовали целых три исследования, посвященных трем разным семействам банковских троянцев. Одно опаснее другого:
1. Asacub — троянец-шпион, со временем обучившийся и воровству денег из мобильных банков.
2. Acecard — крайне насыщенный функциями троянец, способный перекрывать своими фишинговыми экранами приложения около 30 разных банков. Данный тренд подхватили и прочие зловреды: если изначально банковские троянцы создавались под какой-то конкретный банк или платежную систему, то теперь многие из них умеют имитировать сразу несколько приложений.
3. Banloader — кросс-платформенный троянец бразильского происхождения, способный запускаться как на компьютерах, так и на мобильных устройствах.
В целом надеяться на то, что двухфакторная аутентификация с помощью одноразовых паролей в SMS защитит от банковских троянцев, чрезвычайно наивно. Как было сказано выше, уже долгие годы она от них не защищает, и меняться ситуации как-то не с чего. Поэтому требуются дополнительные меры безопасности.
Базовая мера безопасности, не гарантирующая 100-процентной защиты, — ставить приложения только из официальных источников. Это примерно как не пить воду из-под крана, а сначала ее профильтровать: некоторое количество вредных веществ все равно остается, но хотя бы не столько, сколько было изначально. Проблема в том, что как раз от самых опасных «примесей» это, скорее всего, не защитит.
Поэтому более надежное средство, которое обеспечит вам уверенность в том, что устройство не заражено, — это хорошая антивирусная защита. Стоит использовать как минимум базовую версию Kaspersky Internet Security — она бесплатна — и периодически запускать сканирование устройства. Полная версия удобнее, поскольку она позволяет обнаруживать заразу на лету, но за нее придется заплатить.
Источник: Официальный блог Лаборатории Касперского