Wprawdzie jednorazowe kody SMS’ówe cały czas są bezpieczną i zarazem relatywnie wygodną „drugą linią uwierzytelnienia” np. przy transakcjach bankowych… To osoby którym to „nie na rękę” próbują coraz skuteczniej temu zaradzić…

Na pewno ułatwieniem jest powszechność „smartfonów”, na których możemy instalować dodatkowe oprogramowanie – co pozwala za pomocą odpowiednio przygotowanej aplikacji dobrać się i do naszych haseł jednorazowych przesyłanych na telefon, jak i loginu i hasła do systemu transakcyjnego banku – jeśli korzystamy z niego na telefonie. Można też zaatakować niezależnie komputer i telefon – i próbować powiązać ze sobą te dane…

mBank: Hasło jednorazowe z ! na początku…

Dziś wykonując wymagającą dodatkowego uwierzytelnienia (jednorazowe hasło SMS) operację w mBanku zauważyłem mała zmianę w treści wiadomości SMS z kodem:

Jak widać – na początku wiadomości znajduje się wykrzyknik (!)

Pewnie można by pomyśleć, że to jakiś błąd w usłudze wysyłającej SMS’y – ale w takich „miejscach” nie ma miejsca na błędy… A do tego miałem wrażenie, że niedawno coś na ten temat czytałem…

Raport NASK/CERT Polska „Analiza przypadku: botnet PowerZeus”

Raport zawiera m.in. rozdział poświęcony atakowi skierowanemu na urządzenia (telefony) z systemem Android.

Procedura takiego ataku wygląda dość klasycznie:

  • Na stronie WWW dostajemy informacje o konieczności zainstalowania dodatkowej aplikacji, która ma zapewnić dodatkowe bezpieczeństwo
  • Podajemy numer telefonu – przychodzi SMS z linkiem do aplikacji, którą „należy” pobrać i zainstalować

Aplikacja ta nosi rożne nazwy, miedzy innymi poland.apk, polska.apk
lub e-security.apk.

To co może zwrócić naszą uwagę – to fakt, że aplikacja nie pochodzi ze sklepu Google Play i do jej instalacji trzeba najpierw aktywować w telefonie opcję:

Nieznane źródła – Zezwalaj na instalowanie aplikacji z nieznanych źródeł.

Sterowanie za pomocą komend SMS

W raporcie znajdziemy również informacje o „komendach” wysyłanych SMS’em, za pomocą których można sterować zachowaniem aplikacji.

Komenda to pierwszy znak SMS’a, i tak:

  • # – Wysłanie danych naszego telefonu na zdefiniowany/ustawiony numer (get info)

Model :<model > AC:<kod > H:<ukryty > AltC :<stan > V:< wersja > Mf:< producent >/< android >

Gdzie:

  • <model> to model telefonu (np. GT-S5830)
  • <kod> jest unikatowym kodem aktywacyjnym telefonu powstałym z numeru IMEI
  • <ukryty> określa czy działalność programu jest ukryta
  • <stan> mówi o tym czy przekierowania SMS sa aktywne
  • <wersja> jest wersja złośliwego oprogramowania (w tym przypadku 1.2.9)
  • <producent> oznacza producenta telefonu (np. samsung)
  • <android> wersje systemu operacyjnego (np. 2.2.1)
  • / – Ustawia nowy numer, m.in. na który wysyłane są kopie otrzymanych wiadomości SMS (new number)
  • , – Wyłącza wysyłanie kopii SMS’ów (musi przyjść z ustawionego/uprawnionego numeru)
  • ! – Oprogramowanie zostaje zdezaktywowane/wyłączone (uninstall)

I zdaje się, że właśnie ostatnią z komend postanowił „prewencyjnie” wykorzystać mBank w swoich wiadomościach SMS:

Celowe działanie mBanku? Raczej tak…

Wprawdzie na stronie mBanku nie znalazłem żadnych informacji na ten temat, ale wątpię by to był przypadek, a tym bardziej błąd systemu…

Wygląda na to, że bank postanowił na wszelki wypadek zabezpieczyć wiadomości wysyłane do użytkowników – a tym samym przy okazji czyszcząc ich systemy z trojana – za pomocą prostego ruchu, jakim było dodanie wykrzyknika na początku wiadomości SMS z hasłem jednorazowym:

  • ! – Oprogramowanie zostaje zdezaktywowane/wyłączone (uninstall)

Jak dla mnie zagranie jak najbardziej słuszne…

(!) Zgłoś błąd na stronie
Spodobał Ci się artykuł? Zapisz się do naszego Newslettera - ZERO SPAMu, same konkrety, oraz dostęp do dodatkowych materiałów przeznaczonych dla subskrybentów!
Na podany adres e-mail otrzymasz od nas wiadomość e-mail, w której znajdziesz link do potwierdzenia subskrypcji naszego Newslettera. Dzięki temu mamy pewność, że nikt nie dodał Twojego adresu przez przypadek. Jeśli wiadomość nie przyjdzie w ciągu najbliższej godziny (zazwyczaj jest to maksymalnie kilka minut) sprawdź folder SPAM.

Patryk

CEO Webinsider.pl, a do tego CTO, CIO, CFO, CMO, CSO, COO i CRO ;-)
Pasjonat nowych technologii - od sprzętu po oprogramowanie, od serwerów po smartfony i rozwiązania IoT. Potencjalnie kiepski bloger, bo nie robi zdjęć "talerza" zanim zacznie jeść.

Dumny przyjaciel swoich psów :-)
Napisz komentarz
wipl_napisz-komentarz_01
Jeśli informacje zawarte na tej stronie okazały się pomocne, możesz nam podziękować zostawiając poniżej swój komentarz.

W tej formie możesz również zadać dodatkowe pytania dotyczące wpisu, na które – w miarę możliwości – spróbujemy Ci odpowiedzieć.
Linki partnerskie
Niektóre z linków na tej stronie to tzw. „linki partnerskie”, co oznacza, że jeśli klikniesz na link i dokonasz wymaganej akcji (np. zakup/rejestracja) możemy otrzymać za to prowizję. Pamiętaj, że polecamy tylko te produkty i usługi, z których sami korzystamy, i uważamy, że są tego na prawdę warte… :-)
Znaki towarowe i nazwy marek
W niektórych wpisach (oraz innych miejscach na stronie) mogą być przedstawione/użyte znaki towarowe i/lub nazwy marek, które stanowią własność intelektualną tych podmiotów, a zostały użyte wyłącznie w celach informacyjnych.