Kako opljačkati banku u 21. veku

Tekstovi o zaštiti, 07.12.2012, 08:36 AM

Pljačku banke sa maskom na licu i pištoljem kojim pljačkaš preti uplašenoj službenici banke zahtevajući od nje da mu preda novac je scenario koji ćemo u budućnosti verovatno moći da vidimo samo u holivudskim filmovima. Novi vek i nove tehnologije promenile su u značajnoj meri naš način života. Informacije, znanje, plaćanje računa - sve je to „na klik“ daleko od nas. Međutim, na tom kratkom putu jednog klika vrebaju nas različite opasnosti. Jedna od njih su i savremeni pljačkaši banaka - bankarski Trojanci.

Infografika koju je objavio F-Secure pokazuje, korak po korak, kako izgleda pljačka banke u 21. veku, bez oružja, krvi, sa minimalnim rizikom za počinioce da budu uhvaćeni.

Prvi korak podrazumeva da pronađete žrtve. To je posao spamera. Neželjena pošta (spam) je još uvek jedan od najefikasnijih načina da doprete do većeg broja ljudi. Email mora da izgleda dovoljno uverljivo da žrtva zagriže mamac i tada je posao spamera završen.

Drugi korak koji pljačkaš mora preduzeti je kupovina nekog exploit kit-a, paketa exploit-a, koji se mogu kupiti na internetu gde ih prodaju dobro organizovane bande. Pljačkaši računaju, i to na žalost ne bez osnova, na loše navike većine korisnika računara koji brauzere i ostale programe instalirane na računarima ne ažuriraju redovno. To samo znači da su lopovima naoružanim exploit kit-om na raspolaganju brojne dobro poznate ranjivosti koje će im omogućiti pristup pa i potpunu kontrolu nad računarima žrtava. Sve što treba da uraditi je povezati spam email s početka priče sa explot kit-om.

Treći korak je onaj za koji zasluge pripadaju exploit-ima koji otvaraju vrata downloader Trojancima. To je trenutak kada dolazi do infekcije računara i kada računar dobija gosta koga neće ni brzo ni lako otpratiti. Taj gost može dovesti nove, isto tako neželjene goste - nove malvere, uključujući i bankarske Trojance.

Sada kada je računar zaražen bankarskim Trojancem, pljačkaši banke mogu da počnu sa svojim poslom. Vreme je za četvrti korak. Računar je sada pod kontrolom pljačkaša koji ga nadziru očekujući da će zaraženi računar biti korišćen za eBanking. Napredni bankarski Trojanci obavljaju svoje zadatke u realnom vremenu, u takozvanim „man-in-the-middle“ napadima. I dok korisnik veruje da je upravo platio neki račun, novc namenjen plaćanju računa je završio negde drugde.

Korak peti je i poslednje što treba da urade pljačkaši banaka. Kada je pljačka uspela, novac treba izvući iz banke. Da ne bi rizikovali da budu uhvaćeni, pljačkaši moraju da unajme nekog da umesto njih obavi posao izvlačenja ukradenog novca iz banke. Tu na scenu stupaju takozvani „money mules“ (doslovce - „mazge za prenos novca“, ljudi koji na svoje legitimne račune primaju uplate ukradenog novca koji zatim brzo prebacuju na račune kriminalaca uz zanemarljivu nadoknadu). Kako ih pronaći i unajmiti? Odgovor je ponovo - spam! Mamac je obično ponuda navodno legitimne kompanije za posao „agenta za prenos novca“, „finansijskog menadžera“, „menadžera prodaje“ itd. Posao se obavlja od kuće, radno vreme je nekoliko sati nedeljno, a kandidat za posao treba da ima samo pristup internetu, dok predznanje i iskustvo nisu potrebni. „Zaposleni“ samo treba da podigne 90% iznosa sa računa i prebaci ih na račune pljačkaša. Idealan posao sve dok jednog dana policija na zakuca na vrata posrednika koji je u međuvremenu pred zakonom postao saučesnik u pljački.