Trojan PACCA - "kłódka" może już nie wystarczyć

[ichito]

Związek Banków Polskich ostrzega w swoim komunikacie o nowym szkodniku o nazwie PACCA (od typu pliku PAC i certyfikatu - CA). Nie pierwszy raz tak robi, ale tym razem ostrzega przed naprawdę czymś sprytniejszym, niż zazwyczaj - ten koń trojański bowiem podszywa się pod legalne szyfrowane połączenia i podmienia kłódkę przed adresem, co ma oznaczać, że połączenie jest zaufane i bezpieczne.
Fragment komunika ZBP

Rada Bankowości Elektronicznej Związku Banków Polskich ostrzega przed nową formą ataku na użytkowników komputerów z systemem Windows. Wykryte złośliwe oprogramowanie o nazwie PACCA wprowadza zmiany w ustawieniach globalnych serwera proxy oraz instaluje złośliwy certyfikat jako zaufany urząd certyfikacji. W ten sposób, cyberprzestępcy mogę przekierować dowolną stronę do swojego serwera oraz wygenerować certyfikat, który będzie uznany przez przeglądarkę jako zaufany.

Podczas korzystania z bankowości internetowej należy zwracać szczególną uwagę na certyfikat SSL, którym przedstawia się dana strona internetowa. Poniżej znajdują się przykłady, które uwidaczniają znaczne różnice pomiędzy certyfikatem hakerów a zaufanym.

W komunikacie znajdują się ilustracje wskazujące, jak rozróżnić prawidłowy certyfikat od podmienionego - przykład poniżej - oraz procedura zalecana procedura krok po kroku jak ta weryfikacja powinna wyglądać.

[Aby zobaczyć linki, zarejestruj się tutaj]

Większą i bardziej szczegółową informację przekazuje w tej sprawie Zaufana Trzecia Strona

Jak działa złośliwy program

Koń trojański dystrybuowany przez przestępców jest dość prosty w swojej konstrukcji. Po uruchomieniu na komputerze ofiary przeprowadza dwie kluczowe dla powodzenia ataku operacje. Po pierwsze instaluje skrypt PAC, odpowiadający za automatyczną konfigurację ustawień serwera proxy i dla dwóch serwerów bankowych wskazuje adres IP znajdujący się np. na Ukrainie. Klienci chcący odwiedzić witryny tych banków trafią na złośliwy serwer proxy, który pokaże im fałszywe strony wyglądające prawie identycznie jak oryginalne. Aby jednak witryny te wyglądały bardziej niewinnie, program instaluje także w zainfekowanym systemie dodatkowy certyfikat nadrzędnego urzędu certyfikacji. Dzięki temu fałszywa strona banku może pokazywać zieloną kłódkę będącą symbolem zaufanego połączenia zgodnego z wyświetlaną nazwą domeny.
(...)
Jak rozpoznać atak w trakcie jego trwania

Niestety żaden z banków nie zdecydował się na ujawnienie wyglądu komunikatów generowanych przez przestępców, więc nie mamy dla Was zrzutów ekranu. Ustaliliśmy jednak, że złośliwa strona najpierw przychwytuje login i hasło użytkownika a następnie próbuje wyłudzać kody jednorazowe wyświetlając komunikat o treści:

W trosce o Państwa dane widniejące w systemie bankowym prosimy o potwierdzenie tożsamości poprzez podanie kodu z narzędzia autoryzacyjnego. Wielokrotna próba logowania bez podania kodu będzie skutkowała blokadą dostępu do bankowości elektronicznej!

Następnie pojawia się prośba o podanie kodu jednorazowego. Gdy podejrzliwy klient poda jedną z następujących wartości:  000000, 111111, 222222, 333333, 444444, 555555, 666666, 777777, 888888, 9999999, 000000, 123456, 654321 to witryna poinformuje go, że podany token jest nieprawidłowy (komentarz w kodzie strony brzmi bad token, dont fuck with me). Następnie witryna przetrzymuje klientów wyświetlając im komunikaty o przerwie w działaniu banku (nie wspominając, że na prawdziwej stronie banku trwa właśnie zlecanie operacji, która uszczupli ich konta). W jednym ze znanych nam przypadków komunikat wyświetlony klientowi brzmiał:

Z powodu prac strona banku jest chwilowo nieczynna, przepraszamy za utrudnienia. Wracamy za 11 Godzin, 57 Minut.

Źródło

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Konto usunięte]

Po to są certyfikaty EV (Extended Validation), aby problemu nie było.
Pod to podszyć się to już za bardzo nie uda.

[ichito]

Niestety mało kto sprawdza takie rzeczy...może czasem ktoś kliknie na kłódkę i zerknie na podpis, ale w tym przypadku wyświetli mu się prawidłowy i pewnie nie wzbudzi podejrzeń. Transakcja wydaje się być wiarygodna, więc...

[Konto usunięte]

Ale jeżeli mamy do czynienia z certyfikatami EV, to nie musimy klikać w kłódkę, od razu to widać po nazwie organizacji.
Zwykły cert bez rozszerzonej weryfikacji:



Cert EV z informacją o organizacji dla jakiej jest wystawiony:



Moim zdaniem powinno się edukować, że wszelkie istotne instytucje (banki, urzędy) powinny mieć EV i się "przedstawiać". To nie wymaga wiedzy technicznej, ot zwracać uwagę, czy jest nazwa i czy jest zgodna z tym, do czego się logujemy.
Problem będzie natomiast narastał, bo przez np. Cloudflare z universal ssl (z którego zresztą safegroup korzysta), bo przez Let's Encrypt, StartSSL czy podobne inicjatywy liczba stron dostępnych po połączeniach szyfrowanych rośnie ostatnio lawinowo - i to bardzo dobrze, bo jest bezpieczniej, bo można wykorzystać SPDY oraz nowsze HTTP/2, niemniej.. no właśnie takie ataki są coraz bardziej niebezpieczne.

PS Portal ZUSNPI ma zwykły cert... i jak tu korzystać z epłatnika?

[morphiusz]

Moim zdaniem producenci przeglądarek powinni zadbać o to, aby certyfikat EV był jeszcze bardziej eksponowany. Kilka lat temu istniało coś takiego jak Comodo Verification Engine, który przy zaufanych stronach z certyfikatem EV dawał mega graficzny sygnał, że jest wszystko OK i można procedować. Wyglądało to tak:

[Aby zobaczyć linki, zarejestruj się tutaj]

[Konto usunięte]

W sumie niezłym rozwiązaniem byłoby podświetlanie np. całego paska adresu.

[Quassar]

Ta dokładnie jakiś neonowy efekt ale też w miare rozsądku żeby mi przeglądarka nie wyglądała jak miasto LAS VEGAS w nocy po wejściu na stronę bankową

[M'cin]

Przeciętna pani Renata, której na służbowym syn AdBlocka nie zainstalował, na neonowe efekty i tak się napatrzyła i nie zwraca uwagi x)