Come proteggersi dai ladri virtuali

18 set 2013
Notizie Virus

Sergey Golovanov, Aleksey Monastyrsky, Denis Makrushin

Анонс для сайта: Con la crescente diffusione dei sistemi di banking online, assume proporzioni sempre maggiori la caccia al denaro degli utenti della Rete da parte di malintenzionati senza scrupoli. Ma come avviene, di fatto, il furto delle risorse finanziarie mediante l’utilizzo di sofisticati programmi malware e, soprattutto, come possiamo proteggerci efficacemente nei confronti dei subdoli ladri del web?

La possibilità di eseguire transazioni finanziarie attraverso Internet ha semplificato in maniera considerevole la nostra vita quotidiana: al giorno d’oggi, qualsiasi prodotto o servizio può essere comodamente acquistato dalla propria abitazione; al tempo stesso, i servizi di web banking ci esimono dal dover fare interminabili file in banca. La crescente popolarità acquisita dai sistemi di pagamento online, tuttavia, produce involontariamente vantaggi e benefici anche per le folte schiere dei cybercriminali che si avvalgono di sofisticate tecnologie maligne: in effetti, maggiore è il numero degli utenti che optano per i sistemi di gestione remota delle proprie finanze, tanto più elevato sarà il numero delle potenziali vittime e, di conseguenza, il profitto ricavato dalla conduzione di attività criminose. Il furto delle informazioni di natura finanziaria e il conseguente trasferimento dei fondi illecitamente sottratti su conti bancari controllati dai malfattori rappresentano, senza ombra di dubbio, uno metodi di guadagno più efficaci attualmente utilizzati dai criminali informatici sparsi in ogni angolo del globo.

In teoria, per i malintenzionati dediti al furto delle informazioni bancarie, sarebbe ancor più vantaggioso attaccare direttamente il lato server, preposto al processo di elaborazione dei pagamenti effettuati online (si intendono, con tale definizione, le infrastrutture informatiche degli istituti bancari, i server utilizzati nell’ambito dei sistemi di pagamento, e via dicendo), in quanto esso abitualmente custodisce un’enorme quantità di dati, che possono essere immediatamente “utilizzati”, oppure venduti sul mercato del cybercrimine. In pratica, però, l’ottenere un simile accesso risulta altrettanto complicato come il penetrare fisicamente nel caveau di una banca, visto che i server corporate, in genere, vengono protetti in maniera eccellente. E’ per tale specifico motivo che i cybercriminali preferiscono attaccare direttamente gli utenti dell’Internet banking e dei sistemi di pagamento online, poiché gli stessi dispongono, di solito, di un minor livello di protezione IT. Nel corso di un singolo assalto informatico i cybercriminali possono riuscire ad infettare decine di migliaia di computer domestici; l’infezione di massa così generata garantirà ai malfattori i lauti profitti desiderati.

Come avviene il furto dei dati sensibili degli utenti

I malintenzionati si avvalgono di un vero e proprio “arsenale” di trucchi e metodi di ogni genere e tipo, che permettono loro di poter mettere agevolmente le mani sulle informazioni confidenziali degli utenti. L’elemento chiave, nella maggior parte degli attacchi informatici diretti al furto dei dati finanziari in questione, è indubbiamente rappresentato dall’utilizzo di numerosi metodi di ingegneria sociale, i quali possono essere dispiegati dai cybercriminali sia per la distribuzione di pericolosi software maligni, sia per realizzare direttamente il furto delle informazioni sensibili relative agli utenti.

Un classico esempio di utilizzo delle opportunità offerte dall’ingegneria sociale per carpire i dati bancari degli utenti del web è costituito dalle pratiche di phishing, le quali prevedono che sia l’utente stesso, tratto in inganno, a fornire preziose informazioni confidenziali ai malfattori. La potenziale vittima riceve, ad esempio, un’e-mail “ufficiale” proveniente (in apparenza!) da un istituto bancario di primaria importanza (o da un noto sistema di pagamento online, o da un famoso negozio Internet, etc.), attraverso la quale si comunica che sul server della società o dell’istituto in questione si è verificato un guasto tecnico, per cui tutti i clienti debbono nuovamente trasmettere, al più presto, tutti i propri dati, allo scopo di effettuare un’opportuna verifica sugli account già registrati. I pretesti per cercare di ottenere le ambite informazioni possono essere innumerevoli; si finisce tuttavia sempre con il richiedere al cliente di comunicare tempestivamente il proprio login e la propria password tramite un messaggio e-mail di risposta, oppure di inserire tali dati nell’apposito form messo “gentilmente” a disposizione, oppure ancora di introdurre gli stessi nel sito “ufficiale“ della banca, seguendo il link riportato nel corpo dell’e-mail. In tal modo, tutte le informazioni inserite nei moduli malevoli, oppure inviate direttamente ai malfattori, finiscono nelle mani di avidi cybercriminali.

Le pagine web contraffatte utilizzate dai phisher sono, in pratica, una copia (più o meno esatta) dei siti web originali.

 
Esempio di pagina web di phishing

Per far sì che l’utente-vittima non scopra il tentativo di falsificazione ordito, i malintenzionati ricorrono all’utilizzo di indirizzi Internet che, a prima vista, appaiono del tutto simili a quelli originali. A tale scopo, i cybercriminali si avvalgono di precisi metodi per realizzare la sostituzione del contenuto della barra degli indirizzi.

Spesso risulta davvero difficile poter distinguere le pagine fasulle allestite dai phisher da quelle presenti nei siti web ufficiali. E’ proprio per questo motivo che gli esperti di sicurezza IT consigliano a tutti gli utenti di non aprire mai i siti Internet degli istituti bancari attraverso eventuali link presenti nei messaggi e-mail, ma di utilizzare, piuttosto, gli appositi segnalibri del browser.

Esistono, inoltre, programmi malware altamente specializzati nel compiere il furto delle informazioni di natura finanziaria; si tratta, nella fattispecie, dei famigerati Trojan bancari. Tali software malevoli, in genere, eseguono in maniera automatica la raccolta dei dati bancari custoditi nelle macchine infettate dal malware; talvolta, poi, i Trojan-banker effettuano transazioni finanziarie vere e proprie, utilizzando i dati sensibili illecitamente carpiti all’utente-vittima.

Nell’ambito degli assalti informatici rivolti ai clienti degli istituti bancari - attacchi che prevedono il dispiegamento di temibili software dannosi - i malintenzionati possono ugualmente ricorrere all’utilizzo di apposite e-mail di phishing, ovvero messaggi di posta fasulli provenienti (in apparenza) proprio dalla banca sottoposta ad attacco. Attraverso tali e-mail contraffatte non viene richiesto al cliente di inviare informazioni sensibili, ma, con un pretesto o con l’altro, si cerca invece di indurre il destinatario del messaggio ad aprire il documento allegato all’e-mail, il quale si rivelerà essere, in realtà, un pericoloso file nocivo.

Per realizzare la distribuzione in massa dei Trojan bancari, i cybercriminali fanno largo uso degli exploit, un particolare tipo di malware volto a sfruttare le vulnerabilità individuate nel sistema operativo Windows e nelle applicazioni più diffuse. Utilizzando le falle di sicurezza rilevate nel software installato nel computer-vittima, gli exploit, a totale insaputa dell’utente, penetrano all’interno del sistema informatico sottoposto ad attacco, generando il download di ulteriori programmi dannosi sulla macchina infetta; si tratta, nel caso specifico, di software malevoli preposti al furto delle informazioni di natura finanziaria. Per aumentare il grado di efficacia dell’assalto condotto, i malintenzionati non ricorrono all’utilizzo di un singolo exploit, ma si avvalgono dei cosiddetti exploit pack, veri e propri kit di exploit già pronti all’uso e destinati alle varie potenziali vulnerabilità. L’exploit pack analizza il software installato sul computer dell’utente e, nel caso in cui individui una falla di sicurezza, provvede a selezionare l’exploit più “appropriato” per realizzare il contagio informatico del computer-vittima.

I kit di exploit possono risiedere sia in server maligni appositamente allestiti dai cybercriminali, sia all’interno di siti Internet del tutto legittimi, ma compromessi dal malware. I link che conducono alle pagine di landing degli exploit pack preposti a generare il download dei temibili Trojan bancari, vengono abitualmente distribuiti dai malintenzionati attraverso i flussi di spam o tramite i social network; i link nocivi possono essere inoltre disseminati all’interno di siti web del tutto legittimi, precedentemente violati dai criminali informatici. I malfattori possono ugualmente ricorrere all’utilizzo di appositi banner o annunci teaser, collocati nelle pagine web di risorse e sistemi pubblicitari perfettamente legittimi. Per ovvi motivi, si rivela particolarmente pericolosa la violazione, da parte degli hacker, di quei siti web che godono di ampia popolarità presso il vasto pubblico della Rete e, di conseguenza, ricevono ogni giorno un elevato numero di visite. Qualora sia stato dispiegato un link nocivo, i computer di coloro che accedono al sito web compromesso vengono subdolamente attaccati dagli exploit, il cui scopo principale, come abbiamo visto, è quello di riuscire a convogliare ulteriori programmi malware sul computer preso di mira.

E’ di particolare interesse osservare come i cybercriminali si avvalgano sia di Trojan-banker “multi-direzionali”, in grado di attaccare i clienti di vari istituti bancari e sistemi di pagamento online, sia di Trojan appositamente creati per colpire i clienti di una specifica banca.

Come agiscono i Trojan

Una volta penetrato all’interno del computer-vittima, il Trojan bancario si insedia nel sistema informatico sottoposto a contagio, per poi svolgere il preciso compito ad esso assegnato dai malintenzionati, ovvero quello di realizzare il furto di varie informazioni di natura finanziaria.

I programmi malware in questione ricorrono all’utilizzo delle seguenti tecniche malevole:

  • Intercettazione dei caratteri immessi tramite tastiera. I Trojan “catturano” le sequenze relative ai tasti premuti dall’utente nel preciso momento in cui quest’ultimo inserisce tramite tastiera quelle informazioni che risultano particolarmente “utili” per i malintenzionati, quali login e password.
  • Creazione di screenshot relativi agli specifici campi in cui, per mezzo della tastiera convenzionale, l’utente introduce dati sensibili collegati alla propria sfera finanziaria. In tal caso, i malintenzionati potranno carpire solo le informazioni che risultano visibili al momento del loro inserimento; non potranno invece essere intercettati né il login né la password dell’utente (come è noto - mano a mano che vengono digitati - i caratteri relativi a nome utente e password vengono sostituiti sullo schermo da appositi simboli in forma di punto, atti a nascondere i caratteri progressivamente inseriti dall’utente).
  • Elusione della funzione protettiva della tastiera virtuale: creazione di apposite immagini relative all’area dello schermo situata attorno al cursore nel preciso momento in cui viene premuto il tasto sinistro del mouse. I malfattori raccolgono in tal modo l’insieme dei caratteri selezionati sulla tastiera virtuale per mezzo del mouse; ciò consente ai cybercriminali di entrare in possesso del login e della password di cui si avvale l’utente-vittima.
  • Introduzione di modifiche nel file hosts. L’informazione custodita in tale file riveste carattere prioritario rispetto alle informazioni che il browser riceve dal server DNS. I programmi Trojan aggiungono al file in questione gli indirizzi “in lettere” delle banche, collocandoli in maniera tale che corrispondano agli indirizzi IP relativi ai server predisposti dai cybercriminali. Ne consegue che gli utenti del web, dopo aver digitato gli indirizzi degli istituti bancari in causa, giungono, invece, sui siti fasulli allestiti dai malintenzionati, pur continuando a visualizzare, sulla barra degli indirizzi, l’indirizzo “in lettere” del sito legittimo. Come sempre avviene nelle più tradizionali pratiche di phishing, anche in tale circostanza i dati inseriti dall’utente per ottenere la necessaria “autorizzazione” per l’accesso al sito web contraffatto, vengono involontariamente trasmessi ai malfattori di turno.
  • Inserimento furtivo nel processo del browser in esecuzione sul computer-vittima. Questo consente al programma Trojan di poter controllare la connessione instaurata dal browser con il server. Il risultato di tutto ciò è che i cybercriminali possono in tal modo ottenere il login e la password abitualmente inseriti dall’utente nelle pagine del sito web dell’istituto di credito; al contempo, i malfattori hanno la ghiotta opportunità di modificare il contenuto della pagina web (web inject) e di carpire così, oltre a login e password, anche ulteriori dati confidenziali.

Naturalmente, per eseguire la stragrande maggioranza delle transazioni finanziarie compiute quotidianamente in Rete dagli utenti del web situati in ogni angolo del globo è indispensabile disporre di un browser; in un modo o nell’altro, tutti i metodi e le tecnologie di cui sono provvisti i Trojan-banker attualmente presenti sulla scena del malware, sono collegati all’utilizzo del software adibito alla navigazione in Internet.

Un metodo che sembra godere di particolare popolarità presso i professionisti del cybercrimine è rappresentato dalla cosiddetta “web injection”, attraverso la quale i malintenzionati apportano modifiche non autorizzate a pagine web legittime. Il programma maligno provvede ad aggiungere ulteriori campi al form presente nella pagina Internet caricata dal browser, allo scopo di carpire ulteriori informazioni confidenziali riguardanti l’utente-vittima. Il trojan Carberp, ad esempio, avvalendosi del processo malevolo sopra descritto, aggiunge i campi di suo interesse alle pagine web normalmente utilizzate dagli utenti per accedere ai sistemi di banking online; di solito Carberp richiede il numero della carta di credito, il nome del titolare della stessa, la relativa data di scadenza, CVV, CVC e codice personale di sicurezza. Nel caso in cui rifiuti di inserire i dati relativi alla propria credit card, l’utente riceverà un messaggio di errore, con il conseguente blocco dell’attività condotta al momento tramite browser.

 
Lo screenshot evidenzia, medianti gli appositi riquadri di colore rosso, i dati che il trojan Carberp richiede all’utente
tramite la pagina principale (modificata dal malware) del sistema di banking online

Le informazioni aggiuntive inserite dall’utente cadono direttamente nelle mani dei malintenzionati, senza giungere alla banca; esse vengono difatti intercettate nel momento stesso dell’invio dei dati verso il server dell’istituto bancario. Pertanto, né il cliente vittima dell’attacco, né la banca possono nutrire il benché minimo sospetto riguardo alla frode in atto.

Nella maggior parte dei casi, i criminali informatici preferiscono ricorrere alla combinazione di varie tecniche malevole; ciò aumenta considerevolmente le probabilità che il processo di infezione del computer-vittima abbia l’esito sperato dai malintenzionati e, al tempo stesso, accresce l’efficacia del programma malware dispiegato. Nell’attuale panorama del malware, uno dei programmi Trojan più sofisticati e sviluppati dal punto di vista tecnologico è indubbiamente il famigerato Trojan bancario denominato ZeuS (Zbot), utilizzato su larga scala nel mondo del cybercrimine. Esiste una vera e propria moltitudine di varianti di tale malware; i virus writer hanno inoltre creato un temibile clone funzionale dello stesso, il trojan SpyEye.

Elenchiamo, qui di seguito, le funzionalità salienti del trojan ZeuS:

  • Il Trojan realizza il furto di tutte quelle informazioni sensibili che il computer memorizza su specifica indicazione dell’utente (ad esempio, ogni volta che quest’ultimo pone un segno di spunta sull’apposita casella “Ricorda la password”).
  • Il software nocivo qui esaminato è in grado di “catturare” le sequenze relative ai tasti premuti in successione dall’utente.
  • In caso di utilizzo della tastiera virtuale, nel preciso momento in cui viene premuto il tasto sinistro del mouse, ZeuS provvede a creare apposite immagini relative all’area dello schermo situata attorno al cursore. I cybercriminali raccolgono così l’insieme dei caratteri selezionati sulla tastiera virtuale per mezzo del mouse; ciò consente ai malintenzionati di poter agevolmente carpire login e password dell’utente-vittima.
  • ZeuS utilizza il metodo della “web injection”. Quando viene aperta una pagina web il cui indirizzo risulta presente nel file di configurazione di ZeuS, il Trojan aggiunge nuovi campi al form presente nella pagina Internet caricata dal browser, affinché l’utente inserisca poi quelle informazioni confidenziali che, nello specifico, interessano in particolar modo ai malfattori.
  • ZeuS è in grado di bypassare i sistemi di sicurezza più avanzati implementati dagli istituti bancari (di questo parleremo in dettaglio in seguito).

Il programma malware in questione viene distribuito attraverso vari metodi di ingegneria sociale, combinati con lo sfruttamento delle vulnerabilità individuate in software ampiamente diffusi, sviluppati da vendor IT di primaria importanza, quali Microsoft, Oracle, Adobe, etc.; le falle di sicurezza rilevate in tali prodotti vengono sottoposte ad attacco nel momento stesso in cui gli utenti visitano determinati siti web compromessi. I link preposti a convogliare i navigatori del web verso i siti violati dal malware vengono diffusi principalmente attraverso i messaggi e-mail di spam. Zeus è in grado di realizzare il furto di informazioni di natura confidenziale, allo scopo di ottenere l’accesso non autorizzato a conti bancari situati presso gli istituti di credito più importanti del mondo. Lungo tutto l’arco del 2012, sono stati da noi rilevati 3.524.572 tentativi di installazione del suddetto programma maligno su 896.620 computer di utenti Kaspersky Lab, ubicati in vari paesi del globo.

 
Quadro mondiale relativo ai tentativi di infezione realizzati dal programma malware ZeuS/Zbot nel corso del
2012 (dati statistici ottenuti attraverso la rete di sicurezza globale Kaspersky Security Network - KSN)

Elusione del secondo fattore di autenticazione

Come abbiamo detto in precedenza, le banche stanno producendo non pochi sforzi nella complessa opera di protezione e salvaguardia dei propri clienti. Purtroppo, in questi ultimi anni i Trojan bancari hanno agito in maniera estremamente efficace, al punto che le banche si sono viste costrette ad introdurre sistemi di protezione aggiuntivi: si tratta di appositi strumenti per l’identificazione degli utenti, i quali, unitamente agli abituali login e password, vanno a comporre il cosiddetto metodo di “autenticazione a due fattori”. In presenza di tale avanzato sistema, per poter assumere il controllo sul conto bancario dell’utente, non risulterà più sufficiente, per i cybercriminali, entrare in possesso dei soli login e password.

Tuttavia, i malintenzionati non se ne stanno affatto seduti a guardare, con le mani in mano, e si dedicano, da parte loro, alla creazione di sofisticati software nocivi, in grado di bypassare persino tali sistemi di protezione avanzata.

Nell’ambito del sistema di autenticazione a due fattori, gli istituti bancari prevedono l’utilizzo di specifiche password monouso (Transaction Authentication Number, TAN). A tale scopo, possono essere impiegati appositi scontrini rilasciati dagli apparecchi bancomat (sui quali vengono stampati i codici-password da utilizzare), messaggi SMS contenenti password monouso (inviati dalla banca direttamente sul cellulare dell’utente; si tratta, nella fattispecie, dei cosiddetti codici segreti mTAN) e persino speciali dispositivi elettronici (chipTAN).

Per bypassare i sistemi di difesa qui sopra elencati e realizzare, quindi, il furto dei dati sensibili dei clienti degli istituti bancari, i criminali informatici hanno sviluppato nuove tecniche di attacco, modificando, al contempo, i metodi di ingegneria sociale via via adottati.

Le password monouso (TAN)

Il Trojan-banker ZeuS dispone, nel proprio “arsenale”, di un intero kit di strumenti appositamente sviluppati dai virus writer per eludere le diverse tipologie di autenticazione a due fattori. Per effettuare la raccolta delle password monouso che l’utente provvede a stampare attraverso l’apparecchio bancomat, il famigerato malware ZeuS si avvale di un interessante meccanismo.

  1. Non appena l’utente - nell’eseguire la procedura di autenticazione per l’accesso al sistema di banking online - introduce la password one-time, ZeuS compie il furto dei dati di autenticazione inseriti e provvede ad emettere una notifica fasulla, in cui si comunica all’utente che l’elenco di password monouso da egli utilizzato non risulta valido, ed occorre quindi procurarsi una nuova lista di password.
  2. Per ottenere il “nuovo elenco” l’utente deve procedere all’inserimento dei codici TAN, di cui egli dispone, negli appositi campi di un form maligno creato per l’occasione dal trojan ZeuS, attraverso il subdolo metodo della web injection; tale modulo ingannevole, agli occhi dell’utente-vittima, apparirà invece come un utile strumento per poter bloccare i suddetti codici, ormai non più validi.
  3. Il risultato di tutto ciò è che le password progressivamente digitate dall’utente vengono di fatto trasmesse ai malintenzionati, i quali faranno un uso immediato delle stesse, per trasferire sul proprio account bancario la somma di denaro carpita alla vittima di turno.

 
Esempio di falsa notifica emessa dal trojan ZeuS

Il codice mTAN

Agendo in combinazione con il programma Trojan per dispositivi mobili denominato ZeuS-in-the-Mobile (ZitMo), ZeuS è in grado di carpire all’utente-vittima le password monouso, inviate dalla banca sul telefono cellulare di quest’ultimo.

Lo schema di interazione tra i due Trojan e l’utente-vittima si riassume nel modo seguente:

 

  1. Nel momento in cui l’utente apre la pagina web preposta alle procedure di autenticazione per l’accesso al sistema di banking online, il trojan ZeuS, utilizzando il metodo del web inject, crea su tale pagina un form aggiuntivo per l’inserimento del numero di telefono del dispositivo mobile dell’utente, modulo in apparenza correlato al processo di aggiornamento del certificato digitale.
  2. Se l’utente provvede ad introdurre tutti i dati necessari per l’autenticazione al sistema, così come il proprio numero di telefono, il Trojan compie il furto delle informazioni sensibili inserite, trasmettendole in seguito ai propri “padroni”. Dopo un po’, sullo smartphone dell’utente giunge un messaggio SMS contenente un link al “nuovo certificato di sicurezza”. Il tentativo di installazione del “certificato” in causa produce, in realtà, una pericolosa infezione informatica sul dispositivo mobile dell’utente; in effetti, sul telefono cellulare di quest’ultimo viene scaricato il temibile Trojan mobile ZitMo, anziché il fantomatico certificato.
  3. Una volta penetrato all’interno del telefono mobile, ZitMo intercetta il messaggio SMS proveniente dalla banca - contenente il codice segreto di autenticazione - e lo trasmette ai malintenzionati. In tal modo, i cybercriminali entrano agevolmente in possesso di tutti i dati necessari per poter operare da remoto sul conto bancario sottoposto ad attacco, e provvedono quindi al prelievo illecito dei fondi presenti su tale account.

Il chipTAN

Esiste un ulteriore avanzato metodo per il perfezionamento delle procedure di autenticazione a due fattori; si tratta del chipTAN, utilizzato in particolar modo dagli istituti bancari dell’Europa Occidentale, il quale prevede l’impiego, da parte del cliente, di uno speciale dispositivo, in grado di generare codici TAN. Dopo aver predisposto la transazione finanziaria, da completare attraverso il sito della banca, l’utente inserisce la propria carta di credito all’interno dell’apparecchio chipTAN, digitando poi il codice PIN personale.

 

Una volta effettuate tali operazioni, l’utente avvicina il dispositivo al monitor del proprio computer, affinché venga eseguita la lettura dei dati relativi alla transazione in corso. Dopo aver controllato l’esatta corrispondenza dei dati inerenti alla transazione con i dati visualizzati sullo schermo dell’apparecchio, l’utente provvede ad inserire un codice aggiuntivo tramite il dispositivo chipTAN, allo scopo di confermare la transazione precedentemente avviata.

 
Pagina del sito web di una banca tedesca, contenente le istruzioni necessarie per l’utilizzo del dispositivo chipTAN

Al momento attuale, il sistema di sicurezza bancaria che prevede l’utilizzo del dispositivo chipTAN rappresenta indubbiamente il metodo di protezione più avanzato ed efficace presente sulla scena. Purtroppo, i virus writer resisi responsabili della creazione del trojan-banker SpyEye sono riusciti nell’intento di bypassare anche questo sistema di difesa altamente tecnologico.

  1. Utilizzando il metodo malevolo della web injection, il suddetto Trojan modifica l’elenco delle operazioni bancarie compiute dall’utente. Così, una volta ottenuta l’autenticazione per l’accesso al sistema di banking online, il cliente visualizza sul proprio schermo l’accredito, in suo favore, di un’ingente somma di denaro, con relativa modifica del saldo presente sul proprio conto bancario.
  2. SpyEye, sostituendosi al sistema di Internet banking, avvisa l’utente riguardo al fatto che tale operazione risulta errata e, di conseguenza, l’account del cliente verrà bloccato finché quest’ultimo non provvederà a restituire l’importo erroneamente ricevuto sul proprio conto.
  3. Intimorito dalla poco allettante prospettiva, il cliente avvia una nuova operazione di pagamento, volta a restituire la somma “accreditata”. SpyEye, da parte sua, provvede a comunicare all’utente i dati relativi al conto bancario sul quale effettuare il trasferimento, indicando ugualmente l’esatta cifra della transazione. Il Trojan in questione, pertanto, non ha affatto bisogno di compiere il furto del codice chipTAN generato dal dispositivo, in quanto sarà l’utente stesso ad inserire tale codice e confermare, quindi, l’operazione in corso.

  4. Successivamente, SpyEye fa in modo che sul conto violato appaia l’importo relativo al saldo precedente, mentre, in realtà, tale somma è stata già indirizzata verso l’account dei malintenzionati.

 
Notifica presente sul sito web di una banca tedesca, in cui si avverte la clientela di ignorare
i trasferimenti di denaro erroneamente ricevuti

Come si può vedere, tale metodo non ha nemmeno bisogno dell’applicazione di ulteriori accorgimenti od espedienti tecnici da parte dei malintenzionati; l’attacco informatico sopra descritto si basa esclusivamente sulla tecnica del web inject e sull’ingegneria sociale.

I token

In qualità di ulteriore strumento di sicurezza, gli istituti bancari ricorrono all’utilizzo del token, un dispositivo elettronico di piccole dimensioni - talvolta provvisto di connessione USB - in grado di generare una chiave univoca che il sistema di banking online richiederà all’utente ogni volta che viene effettuata un’operazione di pagamento. Gli autori del trojan-banker Lurk, tuttavia, hanno sviluppato un metodo alquanto efficace per bypassare anche tale avanzato metodo di protezione.

  1. L’utente avvia l’operazione di pagamento all’interno del sistema di banking online, introducendo i propri dati riservati.
  2. Il trojan Lurk intercetta tali dati ed attende la richiesta del sistema relativa all’impiego del token.
  3. Il sistema di Internet banking richiede la presentazione del token e l’utente provvede a fornire la chiave univoca necessaria per il perfezionamento della transazione, introducendo il dispositivo USB nell’apposito connettore hardware.
  4. Il trojan intercetta l’evento, per poi mostrare sullo schermo del computer in uso una falsa “schermata blu di errore”, attraverso la quale l’utente viene informato riguardo all’inizio del processo di creazione del dump della memoria fisica, eseguito per la conduzione di successive analisi; nel frattempo, l’utente non dovrà spegnere il proprio computer, finché tale operazione non sarà stata completata.

     
    La falsa “schermata blu" generata dal Trojan sullo schermo del computer

  5. Mentre l’utente attende il completamento dell’"operazione» in corso (con il token ancora inserito nella porta USB), il malintenzionato di turno, avendo ottenuto l’accesso all’account del cliente dell’istituto bancario, finalizzerà per conto proprio l’ordine di pagamento, trasferendo sul proprio account la somma illecitamente carpita all’ignaro utente.

Un ulteriore efficace metodo di elusione della protezione esercitata mediante l’impiego dei token USB viene attualmente sfruttato dai programmi malware riconducibili alla famiglia denominata Trojan-Banker.Win32.BifitAgent, malware appositamente creati per attaccare gli utenti che fanno uso di uno specifico software per la conduzione delle operazioni di online banking, sviluppato dalla società russa BIFIT.

Il software maligno BifitAgent si compone di due moduli principali, che vengono poi eseguiti sul computer dell’utente-vittima: si tratta, nello specifico, di un file eseguibile e di un archivio Java. Durante il funzionamento del programma nocivo in questione, il modulo principale eseguibile, preposto a comunicare con il server di comando e controllo, opera in contemporanea con i file JAR nocivi, consentendo in tal modo agli aggressori di poter modificare qualsiasi codice Java nel momento stesso in cui vengono perfezionate le transazioni bancarie. La funzione principale del codice Java contenuto nel file JAR maligno consiste nel sostituire - all’insaputa dell’utente - i dati relativi all’operazione bancaria eseguita tramite il computer infetto. L’utilizzo del token USB nel corso della transazione non arreca, di fatto, alcun “disturbo” ai malfattori, in quanto il token interviene nel perfezionamento dell’operazione solo quando la sostituzione dei dati è già avvenuta. Il risultato di tutto ciò, come al solito, è che i soldi illecitamente sottratti vanno a finire dritti dritti sul conto bancario dei cybercriminali.

Le operazioni di "salvataggio»

Come è noto, gli istituti bancari e i sistemi di pagamento online profondono sempre notevoli sforzi per proteggere al meglio i propri clienti; questo, tuttavia, non risulta ancora sufficiente perché l’utente possa non preoccuparsi affatto dell’integrità e della “sicurezza” delle proprie risorse finanziarie. In effetti, anche i computer utilizzati nel corso delle transazioni online debbono essere adeguatamente protetti dal possibile furto di dati sensibili - utilizzati nelle operazioni di pagamento - da parte di insidiosi Trojan bancari e software nocivi di altra natura; ciò risulta possibile proteggendo il browser da eventuali “iniezioni” di codice maligno, salvaguardando gli input da tastiera e applicando specifiche tecnologie antivirus, atte ad impedire la penetrazione di pericolosi programmi malware all’interno del sistema informatico sottoposto ad attacco. In tal caso, oltre ad implementare un’efficace protezione antivirus sul computer in uso, è indispensabile verificare il grado di legittimità della risorsa web esplorata (il sito Internet della banca, del sistema di pagamento online, del negozio Internet, etc.), garantendo, al contempo, una connessione sicura e protetta in Rete.

Qualsiasi transazione finanziaria eseguita online può essere ritenuta sicura solo nel caso in cui risultino adeguatamente protetti tre elementi chiave:

  1. Il computer attraverso il quale l'utente accede al proprio account personale nel sistema di banking online Il software antivirus protegge il sistema informatico nel suo complesso; uno specifico componente del software in questione è poi adibito alla protezione del browser utilizzato per comunicare con il sistema di online banking, protezione esercitata nei confronti delle potenziali attività nocive compiute dai programmi malware.

    L’antivirus, come è noto, utilizza un’intera serie di meccanismi di difesa, i quali rendono difficile, o del tutto impossibile, la penetrazione di codice nocivo all’interno del sistema, così come l’esecuzione ed il funzionamento di tale codice sul computer preso di mira. Questi meccanismi di difesa agiscono durante tutte le varie fasi della transazione bancaria eseguita online dall’utente.

    Nel caso in cui un malware sconosciuto riesca comunque a penetrare nel sistema sottoposto ad attacco, il compito principale della soluzione antivirus implementata nel computer-vittima diviene quello di proteggere i dati in esso custoditi. A tale scopo, il prodotto anti-malware deve procedere al controllo del processo del browser in esecuzione e proteggere quest’ultimo da possibili manipolazioni da parte di altre applicazioni. Inoltre, in tali circostanze, un ulteriore metodo di protezione avanzata viene opportunamente garantito dall’utilizzo della tastiera virtuale, grazie alla quale l’utente può inserire in tutta sicurezza nel browser i dati sensibili richiesti per l’effettuazione dell’operazione di pagamento (numero della carta di credito, CVV2/CVC2, i propri dati personali, etc.).
  2. Il canale di comunicazione tra client e server La connessione protetta esclude automaticamente il pericolo derivante dall’intercettazione dei dati trasmessi dal client al server. La protezione di tale canale di comunicazione viene assicurata dall’utilizzo di specifici protocolli (TLS/SSL), in grado di garantire l’opportuna cifratura dei dati trasmessi. L’identificazione del sito con il quale si stabilisce la connessione viene eseguita per mezzo di un apposito certificato.

    I siti delle banche e dei sistemi di pagamento online sono provvisti di certificati digitali rilasciati e firmati dalle Certificate Authority (Autorità Certificative). La presenza di tale certificato serve a confermare inequivocabilmente l’autenticità del sito e la legittimità del suo proprietario.

    Sui siti fasulli tali certificati risultano assenti, oppure si ricorre all’utilizzo di falsi certificati digitali. Si può tuttavia presentare una situazione ancor più complessa di quella sopra descritta. Ad esempio, il programma Trojan penetrato all’interno del sistema può apportare modifiche al file hosts, e convogliare in tal modo l’utente verso un sito web che, a prima vista, appare come l’esatta copia di quello ufficiale. Questo stesso Trojan è addirittura in grado di installare nel sistema infetto un certificato aggiuntivo, preposto a confermare la legittimità del certificato fasullo presente sul sito web allestito dai malintenzionati, nel momento stesso in cui il browser dell’utente compie l’abituale verifica. I malintenzionati hanno così l’opportunità di decodificare tutti i dati trasmessi dal browser attraverso il sito contraffatto.

    La soluzione antivirus deve realizzare in maniera autonoma la necessaria verifica dell’autenticità del certificato di sicurezza, senza fare quindi esclusivo affidamento sul sistema operativo o sul browser. Se il certificato risulta essere illegittimo, l’utente riceverà un apposito messaggio di avviso.
  3. Il sito web dell'organizzazione finanziaria I malfattori sono soliti mascherare i siti dannosi da essi allestiti sotto forma di siti web ufficiali riconducibili, a prima vista, a banche e sistemi di pagamento. La verifica della legittimità del certificato risulta efficace soltanto in quei casi in cui l’utente inserisce il corretto indirizzo del sito dell’istituto bancario. Se invece l’utente giunge sul sito web della banca attraverso un link fasullo presente in un’e-mail di phishing, all’interno di un social network o nei risultati restituiti dai motori di ricerca, dovranno necessariamente entrare in azione i componenti della protezione anti-phishing. I link saranno quindi direttamente verificati mediante l’utilizzo del database che raccoglie gli indirizzi dei siti web non attendibili. Se l’utente cerca di accedere ad un sito illegittimo, riceverà un apposito avviso circa la minaccia IT in corso. Per non divenire vittima dei phisher, quindi, è altamente raccomandabile ottenere l’accesso ai siti delle banche attraverso l’apposita lista presente nel prodotto antivirus.

    Una caratteristica obbligatoria per un prodotto anti-malware di alta qualità è indubbiamente rappresentata dal poter disporre di un elevato grado di auto-difesa. In effetti, se il programma dannoso riesce ad inibire il lavoro svolto dall’antivirus, si creerà una falla nel sistema di protezione e non potrà pertanto più essere garantita la sicurezza della transazione bancaria in corso.

 
Gli elementi chiave per una transazione sicura

Proprio tale specifico concetto di salvaguardia delle transazioni finanziarie online è stato implementato nella soluzione software "Safe Money», sviluppata da Kaspersky Lab.

Gli scenari delle transazioni online sicure

Esamineremo, qui di seguito, le varie fasi di una transazione bancaria sicura, prendendo come riferimento le funzionalità implementate nell'esclusiva tecnologia Safe Money di Kaspersky Lab.

  1. La protezione antivirus avanzata impedisce la penetrazione del malware all’interno del computer dell’utente. In particolar modo, la soluzione antivirus effettua un accurato controllo del sistema, in cerca di eventuali vulnerabilità presenti nel sistema operativo o in certe applicazioni. Se l’utente non provvede ad aggiornare il proprio software in maniera costante e regolare, e se nel sistema vengono individuate falle di sicurezza, peraltro già chiuse dagli sviluppatori, la soluzione di sicurezza comunicherà all’utente il potenziale pericolo che quest’ultimo sta correndo, e proporrà di eseguire l’update dei programmi risultati vulnerabili.

     

  2. Se l’utente inserisce l'indirizzo della banca manualmente, o clicca su un link presente in un messaggio e-mail o all’interno di un social network, il modulo anti-phishing verificherà immediatamente se l’URL in questione è contenuto o meno nel database dei siti web non sicuri. Se, effettivamente, risulta che si tratta di un URL di phishing o maligno, l’utente riceverà un opportuno messaggio di avviso.

     

    Qualora l’indirizzo del sito web risulti invece presente all’interno del database degli istituti bancari e dei sistemi di pagamento online, la soluzione di sicurezza qui illustrata proporrà di aprire tale sito attraverso un browser protetto.

     

  3. L’antivirus esegue un’opportuna verifica del certificato mediante il quale viene stabilita la connessione protetta; la richiesta viene inviata all’apposito servizio “in-the-cloud” adibito al controllo dell’autenticità dei certificati digitali.
  4. Se il certificato non è legittimo, l’utente riceve una notifica riguardo all’impossibilità di stabilire la connessione, con la relativa descrizione del motivo per il quale la connessione è stata classificata dalla tecnologia "Safe Money» come non attendibile.

     

    La notifica inviata all’utente, da parte della soluzione di sicurezza Safe Money di Kaspersky Lab, riguardo alla
    non validità del certificato digitale. Il browser Internet ritiene invece legittimo tale certificato. Se il certificato è sicuro, il browser protetto stabilisce una connessione cifrata con il sito della banca.
  5. Il procedimento in assoluto più sicuro consiste nell’aprire la pagina di autenticazione per il sistema di banking online - oppure accedere all’account personale del sistema di pagamento - utilizzando l’apposito elenco di banche e servizi di pagamento contenuto nella soluzione anti-malware.

     

    In questo caso, viene stabilita una connessione Internet sicura ed il sito legittimo della banca viene subito aperto nel browser protetto.

     
    In modalità "Safe Money», la finestra del browser protetto viene delimitata
    da una cornice luminosa di colore verde scuro

  6. In modalità "Safe Money» l’inserimento dei dati sensibili all’interno del sito web dell’istituto bancario - sia utilizzando la tastiera virtuale, sia quella convenzionale - risulta protetto da un driver specifico, che non permette ai malintenzionati di intercettare i dati introdotti.

In tal modo, l’operazione di pagamento avviata dal cliente viene protetta dagli effetti nefasti causati dai Trojan bancari, mediante una combinazione di tre efficaci componenti di sicurezza: il software antivirus, il processo del browser adeguatamente protetto e l’input da tastiera ugualmente sotto forma protetta. Il grado di affidabilità del sito web relativo al sistema di pagamento o al servizio di banking online viene confermato attraverso un’opportuna verifica dei link e del certificato digitale.

L’efficacia della soluzione di sicurezza sopra descritta, volta ad assicurare transazioni online sicure, è stata ampiamente confermata per mezzo di appositi test eseguiti in laboratorio.

Conclusioni

Gli istituti bancari, i sistemi di pagamento online ed altre organizzazioni di natura finanziaria profondono notevoli sforzi per proteggere al meglio le proprie infrastrutture informatiche e la propria clientela nei confronti delle subdole attività condotte dai cybercriminali. Da parte loro, i malintenzionati sviluppano costantemente nuovi software maligni, escogitano nuovi trucchi e metodi per cercare di eludere i sistemi di protezione informatica, realizzando così il furto dei dati riservati di cui si avvalgono gli utenti per eseguire le operazioni di pagamento in Internet. Al momento attuale, un’adeguata protezione delle informazioni riconducibili alla sfera finanziaria degli utenti viene garantita mediante l’utilizzo di avanzati software antivirus e di soluzioni di sicurezza altamente specializzate: tali strumenti provvedono ad avvertire in tempo debito gli utenti riguardo ai seri pericoli ai quali essi possono andare incontro nell’eseguire le transazioni finanziarie in Rete, prevengono efficacemente il manifestarsi di possibili infezioni informatiche e non lasciano alcuna scappatoia ai Trojan bancari via via creati dagli autori di malware.

 CONDIVIDI