Witamy w erze "złośliwych" smartfonów

W moim poprzednim wpisie, w którym zastanawiałem się czy smartfon nie jest największą dziurą w osobistym bezpieczeństwie sieciowym jaką w chwili obecnej można wykorzystać.

Minął tydzień i okazało się, że życie napisało własny scenariusz. W sumie dużo prostszy niż to przed czym przestrzegałem. Kiedy dziś logowałem się na moje konto internetowe w ING Bank Online zobaczyłem komunikat-ostrzeżenie o nowej wersji "Trojana Zeus/Zbot", w której zastosowano mechanizm pozwalający na wykonanie ataku na Klientów bankowości internetowej, którzy korzystają z kodów SMS‑owych. Taki atak został nazwany Man‑in-the-Mobile.

W telegraficznym skrócie: taki atak polega na tym, że ktoś kto już wcześniej pozyskał nasz login i hasło do banku, tym razem podstawia nam fałszywą stronę, na której zwyczajnie wyłudza od nas informacje o naszym telefonie a następnie proponuje zainstalować na nim specjalną aplikację, która ma zabezpieczyć telefon. W rzeczywistości jest to złośliwe oprogramowanie przechwytujące hasła jednorazowe wysyłane sms‑em.

Na stronie banku jest prezentacja jak wygląda taki atak. Możecie ją zobaczyć tutaj.

Po chwili googlania w Sieci, dotarło do mnie, że bank nie ma zbyt dużego refleksu, bo podana wyżej metoda ataku została opisana w TYM, TYM i TYM artykułach na blogu S21sec już pół roku temu.