Podmiana konta przy przelewach online

Data: 2015-12-13, autor: Michał Misztal

Witam wszystkich. Dzisiejszy wpis jest inspirowany tym artykułem z Niebezpiecznika. Proszę obejrzeć film i poczytać komentarze. Uwagę przyciąga jedna rzecz - różnica między numerem konta na stronie a numerem na potwierdzeniu wygenerowanym w pdf.

Nie miałem styczności z tego typu infekcją (bo jest to bez wątpienia infekcja), ale pokażę jak w prosty sposób dokonać tych czarów za sprawą JavaScriptu.

Stwórzmy prostą stronę internetową z jednym divem trzymającym nr konta np



<!DOCTYPE html>
<html lang="pl">
<title></title>
<div class="nr_konta">123456789</div>
<html>

Ten kod należy skopiować do notatnika i zapisać z rozszerzeniem html lub htm i uruchomić. Na razie wszystko jest OK. Ale dodajmy fragment kodu JS



<!DOCTYPE html>
<html lang="pl">
<title></title>
<div class="nr_konta">123456789</div>
<script>
var t=document.getElementsByClassName("nr_konta");
for(var i=0;i<t.length;i++){
	t[i].innerHTML="zonk";
}
</script>
</html>

A teraz zobaczmy jak to wygląda

Ryc. 1. Tutaj strona niezmodyfikowana
Ryc. 2. Tutaj zmodyfikowana skryptem JS - wyświetla zmienioną treść by ukryć swą działalność
Ryc. 3. Tutaj widzimy kod strony - faktycznie dokument przesłany od banku jest OK. Klasa "nr_konta" posiada treść taką jaka powinna być, czyli nie "zonk", przez infekcję doklejony jest tylko fragment JavaScriptu

Co to za wirus? Jak działa? Nie wiem. Mogę się tylko domyślać. Może dopiął wtyczkę po cichu do przeglądarki i szaleje. Wtyczka może ingerować w dokument HTML tak jak powyżej. Sama infekcja działa w tle i przechowuje dane odnośnie podmienionych kont. Widzicie zresztą, że kod jest dziecinnie prosty i, jakby się uprzeć to i do jednej linii można go ścieśnić. Od czegoś takiego nie ochroni ani kłódeczka ani zabezpieczenia banku. Wszystko dzieje się na komputerze użytkownika. Zastanawia mnie tylko jedna rzecz - czy wirus nie pomyli się przysłaniając pola przy kilku przechwyconych przelewach? Ciekawe. Gdyby korzystał tylko z atrybutu klasy to mógłby być problem.

Oczywiście ten wpis tłumaczy jedynie niespójne dane na stronie, które są wynikiem maskowania się infekcji. Schemat działania zapewne był taki. Po to wymyślono wielostopniową weryfikację. Ku przestrodze.

LINKI(To nie wina mBanku że jego klient stracił 40000 zł - Niebezpiecznik,Wirus gmerający w zawartości schowka - CERT;http://niebezpiecznik.pl/post/to-nie-wina-mbanku-ze-jego-klient-stracil-40-000-pln/,http://www.cert.pl/news/7662) DOWNLOAD(icon-file-code,icon-file-code;Plik strony czysty,Plik strony po modyfikacji;/podmiana-konta-przy-przelewach-online/index_oryginal.html,/podmiana-konta-przy-przelewach-online/index_zmieniony.html)

Skomentuj lub zgłoś błąd

© Michał Misztal 2018