Info o ciastkach

Eeee...
Żeby strona działała fajnie to trzeba zaakceptować obsługę pewnych plików. Jeśli jesteś nienormalny, nosisz czapkę z amelinium i siedzisz w schronie zbudowanym z poduszek to możesz je sobie wyłączyć. Autor strony nie czerpie żadnych korzyści z cookies (twierdzi nawet, że ten komunikat jest głupi), ale, cóż - Unia wymaga. Korzystając z witryny zgadzasz się z polityką cookies.

Wszystko w budowie...

Podmiana konta przy przelewach online

Witam wszystkich. Dzisiejszy wpis jest inspirowany tym artykułem z Niebezpiecznika. Proszę obejrzeć film i poczytać komentarze. Uwagę przyciąga jedna rzecz - różnica między numerem konta na stronie a numerem na potwierdzeniu wygenerowanym w pdf.

Nie miałem styczności z tego typu infekcją (bo jest to bez wątpienia infekcja), ale pokażę jak w prosty sposób dokonać tych czarów za sprawą JavaScriptu.

Stwórzmy prostą stronę internetową z jednym divem trzymającym nr konta np



<!DOCTYPE html>
<html lang="pl">
<title></title>
<div class="nr_konta">123456789</div>
<html>

Ten kod należy skopiować do notatnika i zapisać z rozszerzeniem html lub htm i uruchomić. Na razie wszystko jest OK. Ale dodajmy fragment kodu JS



<!DOCTYPE html>
<html lang="pl">
<title></title>
<div class="nr_konta">123456789</div>
<script>
var t=document.getElementsByClassName("nr_konta");
for(var i=0;i<t.length;i++){
	t[i].innerHTML="zonk";
}
</script>
</html>

A teraz zobaczmy jak to wygląda

Ryc. 1. Tutaj strona niezmodyfikowana
Ryc. 2. Tutaj zmodyfikowana skryptem JS - wyświetla zmienioną treść by ukryć swą działalność
Ryc. 3. Tutaj widzimy kod strony - faktycznie dokument przesłany od banku jest OK. Klasa "nr_konta" posiada treść taką jaka powinna być, czyli nie "zonk", przez infekcję doklejony jest tylko fragment JavaScriptu

Co to za wirus? Jak działa? Nie wiem. Mogę się tylko domyślać. Może dopiął wtyczkę po cichu do przeglądarki i szaleje. Wtyczka może ingerować w dokument HTML tak jak powyżej. Sama infekcja działa w tle i przechowuje dane odnośnie podmienionych kont. Widzicie zresztą, że kod jest dziecinnie prosty i, jakby się uprzeć to i do jednej linii można go ścieśnić. Od czegoś takiego nie ochroni ani kłódeczka ani zabezpieczenia banku. Wszystko dzieje się na komputerze użytkownika. Zastanawia mnie tylko jedna rzecz - czy wirus nie pomyli się przysłaniając pola przy kilku przechwyconych przelewach? Ciekawe. Gdyby korzystał tylko z atrybutu klasy to mógłby być problem.

Oczywiście ten wpis tłumaczy jedynie niespójne dane na stronie, które są wynikiem maskowania się infekcji. Schemat działania zapewne był taki. Po to wymyślono wielostopniową weryfikację. Ku przestrodze.

Pliki do pobrania
  • Plik strony czysty
  • Plik strony po modyfikacji

Komentarze (0)

Nikt jeszcze nie dodał komentarza. Możesz być pierwszy.

Napisz komentarz lub zgłoś błąd

Dodane w dniu 13 grudnia 2015 przez Michał Misztal
Kopiowanie powyższych wypocin dozwolone pod warunkiem podania źródła, znaczy tandemu autor + link do strony