Kao kompanija koja je dovoljno srećna da ima i održava sopstveni tim za pentestiranje, često radimo na kontaktu sa drugim organizacijama kako bismo pomogli ili pružili našu stručnost u
ofanzivnoj bezbjednosti .
U saradnji sa cyber jedinicom policije Kerala, uspjeli smo pomoći u istrazi plodne prevare usmjerene na Državnu banku Indije (SBI). SBI je najveća banka u Indiji i jedna od 50 najvećih banaka na svijetu sa preko pola milijarde klijenata i vlasnika računa. Predstavlja značajnu metu i nažalost nije jedina institucija koja privlači ovu vrstu pažnje.
Dakle, šta je napad i čemu služi?
Napad o kojem je riječ počinje tipičnim vektorom društvenog inženjeringa : SMS ili Whatsapp poruka koja upozorava na sigurnosni problem računa i traži od meta da preuzmu priloženu .apk datoteku. APK fajl (Android aplikacija) je, naravno, lažan i nema nikakve veze sa SBI.
Nije iznenađujuće da aplikacija iskorištava SBI-jev brend YONO, radi tiho i izvan konteksta menija, što je sasvim normalna karakteristika za ove vrste aplikacija. Lažna aplikacija je dobro zaštićena od obrnutog inženjeringa i koristi anti-forenzičke tehnike da ometa ili ograniči istragu samog APK-a. (Ako vas zanimaju iskušenja i nevolje u analizi aplikacije, pogledajte ovaj post .)
Aplikacija lažira stranicu za prijavu na SBI banku kako bi prikupila podatke od krajnjeg korisnika (npr. broj računa, broj kartice, lozinku, itd.) i poslala ih napadaču, koji će je kasnije koristiti za prijavu na legitimnu stranicu.
Kada banka žrtvi pošalje drugi faktor autentifikacije putem SMS-a, maliciozne aplikacija ga prosljeđuje na broj telefona koji napadač kontrolira, a napadač se sada može prijaviti na bankarski portal i isprazniti račun(e) žrtve.
Industrijalizacija prevare je iznenađujuća: bilo je preko 100 različitih poddomena mapiranih na različite žrtve, a jedinstveni telefonski brojevi su dodijeljeni na rotirajućoj osnovi, što znači da nijedan telefonski broj nije korišten dvaput (klasični brojevi za snimanje). Ekstrapolirajući iz nalaza, čini se da je najmanje 100 novih žrtava bilo meta lažne aplikacije svake sedmice. Iako je policijska istraga još uvijek u toku, nismo upoznati sa pravim brojem eventualnih žrtava, a možda ih ima na desetine hiljada.
Ublažavanje i zaključci
Dakle, ako ga razbijemo, postoje dvije očigledne mane.
Prvi je očigledno lakoća sa kojom se .APK-ovi mogu učitati sa strane. Iako postoje zadane konfiguracije koje to sprečavaju na većini modernih Android platformi, sam broj i raznovrsnost Android ukusa danas garantuje da napadi poput ovih „prskaj i moli“ i dalje rade. Naravno, ovo daje veliku prednost iOS platformi, budući da je bočno učitavanje aplikacija na iOS uređajima bez njihovog jailbrejkova teško, u najmanju ruku.
Sljedeća mana je da se SMS kao način za primanje drugog faktora autentikacije lako kompromituje i zaista nema mjesta u sigurnim aplikacijama ili finansijskim aplikacijama bilo koje vrste. Zabrinjava činjenica da ga mnoge banke još uvijek koriste kao opciju. Na primjer, HSBC (najveća evropska banka i 8. najveća banka na svijetu) i dalje zadano koristi SMS autentifikaciju za potvrde transakcija, iako je sada počela da se uvelike oslanja na autentifikatore zasnovane na aplikacijama i soft tokene.
U kontekstu preduzeća, evoluirali smo i otišli prilično daleko u koncept „nulte poverenja“ i više se ne oslanjamo u velikoj meri na tehnologije kao što su SMS autentifikatori. Na potrošačkom frontu, dobavljači kao što su Apple, Microsoft i Google sada su takođe počeli da primenjuju pristupne ključeve u velikim količinama u aplikacijama zasnovanim na potrošačima – dobrodošlo oslobađanje od preopterećenja lozinkom i nesigurnih metoda 2FA isporuke.
Bilo bi dobro vidjeti kako velike globalne finansijske institucije shvataju prijetnju ozbiljnije i odstupaju od naslijeđenih opcija autentifikacije, tako da krađa u industrijskim razmjerima i prijevara bankovnih računa potrošača mogu postati stvar prošlosti.
Izvor:Help Net Security