Югоизточна Азия научава по трудния начин, че биометричните сканирания са почти толкова лесни за заобикаляне, колкото и други видове данни за удостоверяване, благодарение на креативен банков троянец.
Китайски хакери са разработили сложен банков троянски кон, с който подмамват хората да предоставят личните си данни, телефонни номера и сканиране на лица, които след това използват, за да влязат в банковите сметки на жертвите.
Новият зловреден софтуер, „GoldPickaxe“, е разработен от голяма (но неидентифицирана) китайска езикова група. Неговите варианти работят на устройства с iOS и Android, като се маскират като приложение за правителствени услуги, за да подмамят предимно възрастни жертви да сканират лицата си. След това нападателите използват тези сканирания, за да разработят дълбоки фалшификати, които могат да заобиколят най-съвременните биометрични проверки за сигурност в банките в Югоизточна Азия.
В нов доклад изследователите от Group-IB идентифицират поне едно лице, което според тях е ранна жертва: виетнамски гражданин, който по-рано този месец е загубил около 40 000 долара в резултат на измамата.
Като оставим настрана усърдното социално инженерство и мощния крос-платформен зловреден софтуер, той изглежда е изключително ефективен по две причини: защото технологията на дълбокия фалшификат е настигнала механизмите за биометрична автентификация и защото повечето от нас все още не са осъзнали това.
„Ето защо виждаме, че подмяната на лица е предпочитан инструмент за хакерите“, казва Андрю Нюъл, главен научен директор в iProov. „Тя дава на извършителя на заплахата това невероятно ниво на власт и контрол“.
Как китайските хакери победиха тайландските банки
Както е казал известният писател Джордж Оруел: „Врагът на изкуството е липсата на ограничения“.
През март миналата година, за да се пребори с широкоразпространените финансови измами, Банката на Тайланд обяви промяна в политиката си: Всички тайландски финансови институции трябва да се откажат от електронната поща и SMS и да изискват лицево разпознаване за всички важни действия от страна на клиентите (напр. откриване на нова сметка, коригиране на дневния лимит за преводи или иницииране на транзакция на стойност над 50 000 бата). Те започнаха да прилагат това ново правило, наред с други, от юли миналата година.
GoldPickaxe, банковият троянски кон, поразяващ сканирането на лица, се появи за първи път в дивата природа само три месеца след това.
Изграден върху основите на предишен троянски кон, „GoldDigger“, GoldPickaxe беше идентифициран през ноември миналата година от тайландския CERT за банковия сектор, докато беше маскиран като „Digital Pension“ – истинско приложение, използвано от възрастните хора за получаване на пенсии в цифров формат от тайландския главен контрольор. Под прикритието на правителствена услуга фалшивото приложение изисква от жертвите да сканират лицата си, да качат своите правителствени лични карти и да предоставят телефонните си номера.
За разлика от някои други банкови троянски коне GoldPickaxe не работи като слой върху истинско финансово приложение, нито автоматично използва данните, които събира. По-скоро, както потвърди тайландската полиция през ноември, той събира цялата информация, необходима на нападателите, за да преминат по-късно през проверките за автентификация и да влязат ръчно в банковите сметки на жертвите си.
Борба с биометричните банкови троянци
Фактът, че хакерите са успели да подкопаят последните подобрения на киберполитиката на Тайланд толкова ефективно и бързо, не изненадва Нюъл.
„Сега работим в срокове, които са много по-кратки, отколкото преди. Виждаме, че всяка седмица се появяват все по-усъвършенствани инструменти. Затова смятам, че наистина се нуждаем от мащабна промяна в банковата индустрия, за да признаем факта, че скоростта на развитие на заплахите се е променила. И че се нуждаем от различен подход“, казва той.
Според него банките трябва да се приспособят. „Ако имат системи, които са въвели преди 12 или 18 месеца, означава ли това, че те наистина са в състояние да се справят със заплахите, които виждат сега? Ако не са, трябва бързо да намерят друг подход.“
В заключение на своя доклад Group-IB препоръчва на банките да въведат усъвършенствано наблюдение на потребителските сесии. А на банковите клиенти съветва: „избягвайте да кликвате върху подозрителни линкове, използвайте официалните магазини за приложения, за да сваляте приложения, преглеждайте разрешенията на всички приложения, избягвайте да добавяте непознати контакти, проверявайте легитимността на банковите съобщения и действайте незабавно при съмнение за измама, като се свържете с банката си.“