Specjaliści od zabezpieczeń z firmy ESET odkryli wirusa, którego zadaniem jest wykradanie pieniędzy z kont 5 największych w Polsce banków. Zadaniem konia trojańskiego o nazwie BackSwap jest podmiana numeru rachunku odbiorcy, kiedy robiony jest przelew na kwotę pomiędzy 10, a 20 tysięcy złotych.
Ataki wymierzone przeciwko klientom banków internetowych są szczególnie dotkliwe, ponieważ wiążą się z utratą pieniędzy. Tym razem mamy do czynienia z trojanem BackSwap, który występuje w różnych odsłonach, co ma utrudnić wykrycie ataku. Wirus rozprzestrzenia się poprzez pocztę elektroniczną. Poszczególne kampanie spamowe wycelowane są w polskich użytkowników. Każdy mail namawia to otwarcia załącznika (może być to np. faktura), co kończy się infekcją komputera. Następnie trojan BackSwap czeka na uruchomienie przez ofiarę przeglądarki internetowej i wejdzie na stronę jednego z atakowanych banków. Firma ESET przeanalizowała kilka próbek wirusa. BackSwap atakuje 5 największych polskich banków, czyli PKO Bank Polski, Bank Zachodni WBK S.A., mBank, ING oraz Pekao. Przy czym niektóre odmiany wirusa ograniczały się tylko do trzech z nich (tj. PKO BP, mBank i ING).
BackSwap podmienia numer konta odbiorcy omijając zabezpieczenia zaimplementowane w przeglądarkach internetowych
Wirus korzysta ze skryptu JavaScript, który przekazuje przeglądarce adres URL, co jest wspierane przez większość współczesnych przeglądarek internetowych. Malware emuluje wciskanie przez użytkownika kombinacji klawiszy CTRL+L (powoduje to wybranie paska adresu), następnie wciskany jest przycisk DELETE (usuwany jest w ten sposób aktualny adres odwiedzanej strony), a następnie wkleja szkodliwy skrypt. Przeglądarki Google Chrome, Mozilla Firefox oraz Internet Explorer posiadają zabezpieczenie przed atakiem tego typu. Jednak cyberprzestępcy omijają je emulując wpisywanie przez użytkownika pojedynczych znaków szkodliwego skryptu. Tego typu atak powinien również zadziałać na innych przeglądarkach, dlatego firma ESET już poinformowała o problemie zainteresowane strony.
Jak ustrzec się przed atakiem?
Wirus BackSwap podmienia numer konta bankowego za pomocą adresu URL. Dlatego też użytkownik nie zauważy tej operacji podczas zlecania przelewu. Jednakże serwisy bankowości internetowej są tak skonstruowane, że wyświetlają wszystkie dane dotyczące przelewu przed jego potwierdzeniem. Dlatego też, zanim wpiszecie jednorazowy kod otrzymany SMS-em, czy też skorzystacie z tokena, powinniście sprawdzić wyświetlony numer konta odbiorcy. Oczywiście najlepszym sposobem obrony przed tego typu atakami jest nieotwieranie załączników pochodzących od nieznanych nadawców. Pomocny może się okazać również aktualizowany na bieżąco program antywirusowy.
Źródło: ESET
