SpyEye cambia i numeri di telefono per effettuare l’hijack degli SMS Out of Band

Il post seguente è stato tradotto per gentile concessione di Trusteer

Il team di ricerca Trusteer ha recentemente scoperto un nuovo attacco stealth, effettuato dal Trojan SpyEye, che aggira le misure di sicurezza dell’SMS (short message service) mobile adottato da molte banche. Utilizzando il codice che abbiamo catturato mentre proteggevamo un utente Rapport, abbiamo scoperto un attacco basato sul Web a due fasi, che permette ai truffatori di cambiare il numero di cellulare del conto bancario online di una vittima e reindirizzare i codici di conferma SMS utilizzati per verificare le transazioni online. Questo attacco, se riuscito, consente ai ladri di effettuare transazioni e verificarle all’insaputa dell’utente.

Fase 1

Nella prima fase dell’attacco, SpyEye ruba i dati di accesso bancari online della vittima. Una procedura standard per il malware finanziario come SpyEye, Zeus e altri. I truffatori ora possono accedere al conto della vittima senza allarmare i sistemi di rilevamento delle frodi.

Fase 2

Nella fase 2, SpyEye cambia il numero di telefono della vittima nel record nell’applicazione di banking online con uno dei vari numeri casuali controllati dall’attacker. Per completare questa operazione ha bisogno del codice di conferma inviato dalla banca al numero di telefono originale del cliente. Per rubarlo, l’attacker utilizza il seguente schema di social engineering.

In primo luogo, SpyEye inietta una pagina fraudolenta nel browser del cliente che sembra provenire dall’applicazione di banking online. La falsa pagina simula l’introduzione di un nuovo sistema di sicurezza, “richiesto” dalla banca, che necessita di registrazione da parte dei clienti. La pagina spiega che con questo nuovo processo di sicurezza al cliente verrà assegnato un numero telefonico univoco e che riceverà una speciale carta SIM via mail. Successivamente, all’utente verrà richiesto di inserire, nella pagina web fasulla, il numero di conferma personale ricevuto sul cellulare per completare il processo di registrazione del nuovo sistema di sicurezza. Questo permetterà ai criminali di rubare il codice di conferma di cui hanno bisogno per autorizzare il cambio del numero di cellulare del cliente.

Ecco una schermata della pagina fraudolenta creata da SpyEye e presentata al cliente (tradotta dallo spagnolo all’inglese):

Fraudulent page by Spyeye

Ora, i truffatori, possono ricevere qualsiasi futuro codice di verifica delle transazioni SMS dell’account per il quale hanno effettuato l’hijack tramite la propria rete telefonica. Questo permetterà loro di utilizzare il sistema di conferma SMS per deviare i fondi dal conto del cliente a sua insaputa, senza attivare alcun allarme di rilevazione frodi.

L’Out-of-Band non è una panacea

Quest’ultima configurazione di SpyEye dimostra che i sistemi out-of-band authentication (OOBA) , tra cui le soluzioni basate su SMS, non sono infallibili. Utilizzando una combinazione della tecnologia MITB (injection del man in the browser ) e social engineering, i truffatori non sono in grado soltanto di bypassare OOBA ma anche prendere tempo per verificare le transazioni e volare sotto il radar dei sistemi di rilevazione frodi. L’unico modo per sconfiggere questo nuovo attacco, una volta che un computer è stato infettato da SpyEye, è utilizzare la sicurezza degli endpoint che blocca le tecniche MITB. Senza un approccio a più livelli di sicurezza, anche gli schemi OOBA più sofisticati, in circostanze particolari, possono essere resi vani.

Fonte: SpyEye Changes Phone Numbers to Hijack Out of Band SMS

Written by admin

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *