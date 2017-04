Minden idők egyik legnagyobb szabású online bankrablását göngyölítette fel a Kaspersky biztonságtechnikai cég. Az eset még tavaly októberben történt Brazíliában, a tettesek azóta sincsenek meg, és azt sem tudni, pontosan mihez sikerült hozzáférniük a támadóknak. Az eset annyiban különleges, hogy a hekkerek nem betörtek a bank rendszerébe, hanem úgy, ahogy van, ellopták az egészet. Pontosabban építettek egy álbankot, és az ügyfeleket odaterelték az igazi helyett.

A DNS-en át jöttek

A támadás kulcsa a DNS rendszer volt, ez az internetnek az az alapvető fontosságú rétege, ahol az URL-ekből ip-címek lesznek, és ezáltal az adatcsomagok megtalálják a célpont szervert, ahová menniük kell. Az interneten minden egyes gépet egy ip-cím azonosít. ha valaki beírja a böngészőjébe, hogy google.com, az először a DNS-adatbázisban nézi meg, hogy ehhez a névhez milyen ip-cím tartozik, ott megtalálja, hogy 74.125.224.72, és a guglizni vágyó felhasználó adatcsomagjait az ilyen számú szerverhez továbbítja. A dolog azért jó, mert nyilván sokkal könnyebb megjegyezni azt, hogy google.com, mint azt, hogy 74.125.224.72. A brazil bank támadói egyszerűen felépítettek egy, az eredetire megszólalásig hasonlító banki weboldalt, feltették a netre, majd a DNS-adatbázisban a bank nevénél ennek az ip-címére írták át az eredeti szerverek címeit. Mintha a sárga csekkeken, amin ön a villanyszámláját fizeti be, valaki átírta volna a címzett számlaszámát az ELMŰ-éről a sajátjára.

Hogy ezt pontosan hogyan csinálták, egyelőre nem tiszta. A brazil webes címek DNS-adatbázisát a NIC.br doménregisztrációval foglalkozó osztálya, a registro.br tartja fenn, ők azonban állítják, hogy a rendszerük biztonságos, és hozzájuk nem törtek be hekkerek, de azt elismerik, hogy valamilyen adathalászós módszerrel, és egy munkatársuk hozzáférésének megszerzésével mégis csak bejuthattak, és manipulálhatták az adatbázist.

Akárhogy is, tavaly október 22-én, szombaton, délután 1 órakor a brazil bank mind a 36 weboldala, az összes desktop és mobilos banki szolgáltatása helyét észrevétlenül átvette a hekkerek csali oldala. A bank összes ATM-je, és az összes általa üzemeltetett kártyaleolvasó is a hekkerek által üzemeltetett szerverrel kezdett kommunikálni a valódi banki rendszer helyett. Ez nagyjából 5-6 órán át tartott. Persze ezzel a trükkel a hekkerek nem fértek hozzá direktben senkinek a bankszámlájához, viszont minden ügyfél, aki ezen a szombat délutánon online próbált bankolni (vagy ATM-et használni, vagy kártyával fizetni), önként és dalolva adta át nekik a jelszavát, számlaszámát és pin-kódját.

A hekkerek arra is vették a fáradságot, hogy biztonságos, https kapcsolaton kommunikáljanak a csali szervereik, és ehhez még a megfelelő tanúsítványokat is beszerezték. Az egyszeri felhasználó számára tehát esélytelen volt, hogy észrevegye a csalást: az URL stimmelt, a titkosított webes kapcsolat stimmelt. Bejelentkezés után a kamu oldal arra kérte a felhasználót, hogy az frissítse a Trusteer nevű böngészőkiegészítőt - amit egyébként az igazi banki weboldal is használt, ironikus módon éppen a nagyobb biztonság érdekében. A csali weboldalról persze nem a frissítés töltődött le a felhasználó gépére, hanem egy kémprogram, ami egy kanadai szerverre küldte el az áldozat személyes adatait, jelszavait, email-címlistáját, amit csak talált a gépen. A kémprogram gyorsan ki is kapcsolta a gépen levő esetleges vírusirtót. Ennek a vírusnak egyébként sikerült visszafejteni a forráskódját, és portugál nyelvű részleteket találtak benne, ami arra utal, hogy maguk a támadók is brazilok lehettek.

Senki nem tudja, mit vittek el

Mivel a bank összes rendszere elérhetetlenné vált, az a bizarr helyzet állt elő, hogy amint kiderült a turpisság, nem tudták erről online értesíteni az ügyfeleiket, hiszen az emailrendszerük is el volt vágva az internettől. Márpedig a turpisság kiderült, hiszen a hekkerek kamu weboldala a bejelentkezési adatok begyűjtése, és a kémprogram telepítése után nem csinált semmit - nem is csinálhatott, hiszen a bank saját belső rendszerével nem volt kapcsolata, nem tudott utalásokat indítani, vagy akár csak egy bankszámlát lekérdezni se. Az ügyfelek telefonon zargatták a bankot, az ügyfélszolgálaton látták, hogy valami nem stimmel, szóltak az IT-seknek, akik pedig egy merő pánikban hívogatták a NIC.br-t, hogy valaki eltüntette az internetről az egész bankot, és a sajátját tette a helyére.

Mire helyreállt a rend, délután 6-7 óra volt. Hogy mekkora a kár, egy délután alatt a hekkerek mennyi személyes adatot szereztek meg, hány gépet fertőztek meg, az ellopott hozzáférésekkel hány bankszámlát csapoltak meg a támadók, nem tudni, a bank nem közöl részleteket. Egyáltalán, azt sem tudni, melyik bankról van szó, a Kaspersky jelentése kínosan kerüli a megtámadott pénzintézet megnevezését. Annyit lehet tudni róla, hogy a brazil bankpiac egyik komoly játékosáról van szó, több száz bankfiókkal az országban, amerikai és kajmán-szigeteki érdekeltségekkel, kb. 5 millió ügyféllel, és 26 milliárd dollárnyi kezelt vagyonnal. A támadók kilétéről, vagy hogy milyen nyomokat hagytak maguk után, szintén nem szól a jelentés.

Szakértők szerint az eset rámutat, hogy a DNS-rendszer mennyire sebezhető, és milyen nagy kockázatot jelent az, hogy kritikus rendszerek üzemeltetői is sokszor külső, biztonsági szempontból potenciális támadási felületet nyújtó szereplőkre bízzák a kezelését.