Rendőrök segítik a trükkös hekkereket
Egy bostoni biztonsági cég, a Trusteer kutatói két új, online bankokat érintő támadási formát azonosítottak. Mindkét módszer nemcsak technikai, hanem fejlett szociális készségeket követel meg a hekkertől. A támadók szemtől szembe kerülhetnek a rendőrökkel, akik tudtukon kívül segítik őket a bűncselekmény végrehajtásában.
Az egyik támadás a Gozi nevű trójait használja, hogy megszerezze az áldozat IMEI-azonosítóját. Ez egy olyan egyedi számsorozat, amellyel minden mobiltelefon azonosítható. Amint a hekkerek megszerezték az IMEI-t, felhívják az áldozat mobilszolgáltatóját, és új SIM-kártyát kérnek arra hivatkozva, hogy a telefont ellopták, vagy elvesztették.
Ezután, saját készülékükkel és az áldozat telefonszámával már hozzáférnek a banki tranzakciók hitelesítéséhez szükséges SMS-kódhoz. Ez az átverés különösen bonyolult, elég nagy merészség kell hozzá, de még mindig piskóta a másik frissen felfedezett támadáshoz képest.
Ennek a támadásnak a végrehajtásához a támadók szokásos adathalász oldalakat, vagy böngészősebezhetőségeket használnak, hogy megszerezzék az áldozat banki adatait, nevét, telefonszámát és más, személyes információkat.
A szolgáltató felhívása helyett most a rendőrséghez fordulnak a hekkerek. A megszerzett információkat felhasználva bejelentik, a hogy a telefont ellopták. Innentől a metódus ugyanaz, a feljelentéssel a kezükben elmennek a szolgáltatóhoz, akitől kapnak egy új SIM-kártyát. „Közös a támadásokban, hogy a kompromittálható böngésző (man in the browser, MitB támadás) tette lehetővé, hogy személyes adatokhoz férjenek hozzá a támadók” – írja Amit Klein a Trusteer weboldalán.