ZeuS Mitmo: Man-in-the-mobile – Legyőzték az online bankok két faktoros autentikációját

Ebben a blog üzenetben a ZeuS csoport által kigondolt megoldásnál hatékonyabb alternatívát mutatunk be: Fertőzzük meg a mobil eszközöket és halgassuk le az összes SMS üzenetet! A forgatókönyv egyszűbbé vált:

  1. A támadó ellopja a felhasználónevet és jelszót a kártékony szoftver segítségével (ZeuS 2.x)
  2. A támadó megfertőzi a felhasználó mobil eszközét (link küldésével SMS-ben, mely egy kártékony mobil alkalmazásra mutat)
  3. A támadó belép az ellopott hozzáférési adatokkal, a felhasználó számítógépét socks/proxyként használva, és végrehajt valamilyen különleges műveletet, mely SMS autentikációt igényel.
  4. Egy SMS üzenet érkezik a felhasználó mobil eszközére, mely tartalmazza az autentikációs kódot. A kártékony szoftver az SMS-t továbbküldi egy, a támadó által kontrollált terminálra.
  5. A támadó megadja az autentikációs kódot és befejezi a műveletet.

http://securityblog.s21sec.com/2010/09/zeus-mitmo-man-in-mobile-i.htm
http://securityblog.s21sec.com/2010/09/zeus-mitmo-man-in-mobile-ii.html
http://securityblog.s21sec.com/2010/09/zeus-mitmo-man-in-mobile-iii.html
http://blog.fortinet.com/zeus-in-the-mobile-zitmo-online-bankings-two-factor-authentication-defeated/