Podmiana konta przy przelewach online
Data: 2015-12-13, autor: Michał MisztalWitam wszystkich. Dzisiejszy wpis jest inspirowany tym artykułem z Niebezpiecznika. Proszę obejrzeć film i poczytać komentarze. Uwagę przyciąga jedna rzecz - różnica między numerem konta na stronie a numerem na potwierdzeniu wygenerowanym w pdf.
Nie miałem styczności z tego typu infekcją (bo jest to bez wątpienia infekcja), ale pokażę jak w prosty sposób dokonać tych czarów za sprawą JavaScriptu.
Stwórzmy prostą stronę internetową z jednym divem trzymającym nr konta np
<!DOCTYPE html>
<html lang="pl">
<title></title>
<div class="nr_konta">123456789</div>
<html>
Ten kod należy skopiować do notatnika i zapisać z rozszerzeniem html lub htm i uruchomić. Na razie wszystko jest OK. Ale dodajmy fragment kodu JS
<!DOCTYPE html>
<html lang="pl">
<title></title>
<div class="nr_konta">123456789</div>
<script>
var t=document.getElementsByClassName("nr_konta");
for(var i=0;i<t.length;i++){
t[i].innerHTML="zonk";
}
</script>
</html>
A teraz zobaczmy jak to wygląda



Co to za wirus? Jak działa? Nie wiem. Mogę się tylko domyślać. Może dopiął wtyczkę po cichu do przeglądarki i szaleje. Wtyczka może ingerować w dokument HTML tak jak powyżej. Sama infekcja działa w tle i przechowuje dane odnośnie podmienionych kont. Widzicie zresztą, że kod jest dziecinnie prosty i, jakby się uprzeć to i do jednej linii można go ścieśnić. Od czegoś takiego nie ochroni ani kłódeczka ani zabezpieczenia banku. Wszystko dzieje się na komputerze użytkownika. Zastanawia mnie tylko jedna rzecz - czy wirus nie pomyli się przysłaniając pola przy kilku przechwyconych przelewach? Ciekawe. Gdyby korzystał tylko z atrybutu klasy to mógłby być problem.
Oczywiście ten wpis tłumaczy jedynie niespójne dane na stronie, które są wynikiem maskowania się infekcji. Schemat działania zapewne był taki. Po to wymyślono wielostopniową weryfikację. Ku przestrodze.
LINKI(To nie wina mBanku że jego klient stracił 40000 zł - Niebezpiecznik,Wirus gmerający w zawartości schowka - CERT;http://niebezpiecznik.pl/post/to-nie-wina-mbanku-ze-jego-klient-stracil-40-000-pln/,http://www.cert.pl/news/7662) DOWNLOAD(icon-file-code,icon-file-code;Plik strony czysty,Plik strony po modyfikacji;/podmiana-konta-przy-przelewach-online/index_oryginal.html,/podmiana-konta-przy-przelewach-online/index_zmieniony.html)