Internet

„Boletos“ prevara: onlajn pretnja za oflajn korisnike

Istraživač kompanije Kaspersky Lab, Fabio Asolini (Fabio Assolini), na konferenciji Virus Bulletin predstavio je svoju istragu o „Boletos“ malver pretnji, široko rasprostranjenoj finansijskoj prevari koja cilja na korisnike iz Brazila. Neki korisnici su odavno odlučili da je previše opasno plaćati bilo šta preko interneta, zbog finansijskog malvera. Ali da li ih ovaj ekstra oprezni pristup zaista štiti? Prema mišljenju Fabia Asolinija, ne, naročito u njegovoj domovini, Brazilu, gde su Boleto kuponi široko rasprostranjen način plaćanja, bilo da je to preko interneta ili ne.

Boleto kuponi su jedan od najpopularnijih načina plaćanja računa u Brazilu – čak ih i državne institucije koriste – i jedinstveni su za brazilsko tržište. Boleto kupon je poseban papirni dokument sa bar-kodom i jedinstvenim 44-cifrenim ID kodom. Kada korisnici plaćaju proizvode ili usluge pomoću Boleto kupona, oni odštampaju dokument, a potom u banci, na bankomatu ili onlajn bankovnom računu skeniraju bar-kod ili ukucaju ID, a potom dovrše transakciju gotovinom ili elektronski. Bar-kod i 44-cifreni ID su jedinstveni za svaki kupon, koji je, opet, dodeljen za određenu kupovinu, kako bi se šanse da nešto krene naopako svele na minimum.

karta

Istraga kompanije Kaspersky Lab pokazala je da brazilski kriminalci menjaju platne podatke u Boleto kuponima – dokumentima za plaćanje generisanim na PC-u žrtve. Kriminalci za ovo koriste razne tehnike, od malvera nalik malveru SpyEye, enkriptovanih malverskih i zloćudnih ekstenzija za pretraživač koje su distribuirane putem zvanične prodavnice aplikacija. Šteta koju su već izazvale „Boletos“ prevare mogla bi da premaši milione dolara.

Šablon prevare. Većina onlajn servisa izdaje Boleto kupone automatski; dokument i svi akreditivi su generisani u pretraživaču korisnikovog uređaja. Ovde nastupaju kriminalci. Uz pomoć različitih zloćudnih tehnika, oni menjaju platne akreditive. Konkretno, menjaju bar-kod i ID kako bi preusmerili uplatu na drugi bankovni račun. Većina ljudi bi teško primetila ove promene pre nego što već bude kasno, i tako funkcioniše čitava prevara: žrtve ne znajući uplaćuju novac na račun prevaranta, ubeđeni da se sve odvija legitimno.

Zloćudne tehnike. Brazilski kriminalci koriste čitav spektar različitih zloćudnih tehnika da uhvate žrtvu u zamku. Prvi incident, primećen u aprilu 2013. godine, koristio je Trojanca za ubacivanje zloćudnog koda u pretraživač na isti način na koji je to činio poznati Trojanac SpyEye.

Sajber-kriminalci mogu čak da napadnu usluge za izdavanje Boletos kupona pomoću SSL enkripcije. Jedan od malvera koji su analizirali eksperti kompanije Kaspersky Lab koristio je „web debugging proxy” alat Fiddler. Neki malveri ga koriste za presretanje SSl saobraćaja ili za lansiranje „Man-in-the-Middle“ napada, koji pokušavaju da izmene podatke Boletos kupona čak i kad se oni generišu na HTTPS stranicama.

U još jednom slučaju. Brazilski prevaranti su „pozajmili“ tehniku koju su prvi koristili operateri ZeuS\Gameover botneta. Korišćenje enkriptovanih fajlova olakšava kriminalcima da nađu efikasan put kroz fajervol, veb filtere, sisteme za detekciju upada na mrežu i sve ostale vidove odbrane. Ova tehnika koristi malenog Trojanca za preuzimanje ovih enkriptovanih fajlova koje potom dešifruje kako bi dovršio infekciju.

Pored toga, uočeno je da su kriminalci koristili zloćudne ekstenzije za Chrome pretraživač, koje su uspešno distribuirali putem zvaničnog Chrom Web Store-a, kao i ekstenzije za Firefox.

Efekat. Prema informacijama dostupnim javnosti, napadi na korisnike Boleto kupona – uključujući privatne i poslovne korisnike – za posledicu su imali značajne finansijske gubitke koji iznose milione dolara godišnje. Stručnjaci kompanije Kaspersky Lab nisu pronašli dokaze koji bi sa sigurnošću mogli da potvrde ove procene, izmere razmere problema i pronađu žrtve. Na primer, na samo jednom zloćudnom serveru registrovano je više od 612.000 zahteva u samo jednom danu. Svaki zahtev je bio za ubacivanje lažnog ID koda u Boleto kupon generisan na zaraženoj mašini.

Kako bi se zaštitile od prevara koje zloupotrebljavaju Boleto kupone, stručnjaci kompanije Kaspersky Lab savetuju kompanijama koje izdaju takva dokumenta da koriste PDF Boleto kupone generisane na spoljnjem serveru, umesto verzija generisanih u HTML-u. Ovo može da spreči kriminalce da izmene bilo koji kupon generisan u pretraživaču zaraženog kompjutera.

Privatnim korisnicima Boleto kupona savetuje se da koriste pouzdano rešenje za zaštitu sa tehnologijama posvećenim zaštiti onlajn finansijskih transakcija.

Za više informacija o „Boletos“ prevarama pročitajte kompletan članak na stranici Securelist.

Leave a Reply