Προσοχή σε “δήθεν” ηλεκτρονική πώληση του iPhone!

Ένας δούρειος ίππος που παριστάνει ένα βίντεο του iPhone είναι στο επίκεντρο μιας νέας επίθεσης pharming.

Η κυκλοφορία του iPhone της Apple σε πολλές χώρες χρησιμοποιείται από τους κυβερνο-απατεώνες ως δόλωμα για την προσέλκυση των χρηστών και την μόλυνση τους με malware. Το κακόβουλο φορτίο του δούρειου ίππου μπορεί να οδηγήσει τους χρήστες σε ψευδείς ιστοσελίδες όταν προσπαθούν να εισέλθουν στην online τράπεζά τους. Ο στόχος είναι η κλοπή των εμπιστευτικών πληροφοριών των χρηστών.
Η πιο πρόσφατη περίπτωση που αναφέρεται από τα Εργαστήρια Panda (PandaLabs), το εργαστήριο ανίχνευσης και ανάλυσης malware της Panda Security, περιλαμβάνει μια νέα επίθεση pharming που χρησιμοποιεί το δούρειο ίππο Banker.LKC. Τα θύματα αυτής της επίθεσης μπορεί να διαπιστώσουν ότι οι τα τραπεζικά τους στοιχεία έχουν καταλήξει στα χέρια των κυβερνο-απατεώνων.

Το pharming είναι μια περίπλοκη έκδοση του phishing. Περιλαμβάνει την εκμετάλλευση του DNS (Domain Name Server) μέσω ειδικής παραμετροποίησης του πρωτοκόλλου TCP/IP ή του host file. Οι DNS servers αποθηκεύουν την αριθμητική διεύθυνση ή τη διεύθυνση IP (π.χ. 62.14.63.187.) που συνδέεται με κάθε όνομα περιοχής ή URL (π.χ. www.mibanco.com). Το αποτέλεσμα της παρέμβασης των κυβερνο-εγκληματιών είναι ότι όταν ένας χρήστης εισάγει το όνομα μιας ιστοσελίδας, ο κεντρικός υπολογιστής τον οδηγεί σε έναν άλλο αριθμό, δηλ. μια άλλη διεύθυνση IP που φιλοξενεί μια ψευδή ιστοσελίδα, σχεδιασμένη να έχει την εμφάνιση της αρχικής σελίδας.

Σε αυτήν την περίπτωση, ο δούρειος ίππος Banker.LKC είναι αρμόδιος για την παραποίηση του DNS. Αυτός ο κακόβουλος κώδικας φθάνει στα συστήματα με το όνομα “VideoPhone[1]_exe”. Μόλις εγκατασταθεί, και προκειμένου να εξαπατηθούν οι χρήστες, ανοίγει ένα παράθυρο που επιδεικνύει μια ιστοσελίδα πώλησης iPhone (δείτε την εικόνα).

Ενώ οι χρήστες βλέπουν αυτήν την σελίδα, ο δούρειος ίππος τροποποιεί το hosts file που προωθώντας τα URLs τραπεζών και άλλων επιχειρήσεων σε μια ψεύτικη ιστοσελίδα. Με αυτόν τον τρόπο, οι χρήστες που προσπαθούν να εισέλθουν σε αυτές τις τράπεζες πληκτρολογώντας τη διεύθυνση ή αποκτώντας πρόσβαση σε αυτές από μια αναζήτηση στο Internet θα οδηγηθούν στην σελίδα απάτη. Εκεί θα ερωτηθούν για τα προσωπικά τους δεδομένα (αριθμός λογαριασμού, κωδικός πρόσβασης συναλλαγής, κ.λπ.) που θα περιέρχονται άμεσα στα χέρια των κυβερνο-απατεώνων.

Η παραποίηση του hosts file δεν έχει καμία άλλη ύποπτη επίδραση στον υπολογιστή. Στην πραγματικότητα, ολόκληρη η απάτη πραγματοποιείται χωρίς να δημιουργήσει υποψία στους χρήστες, καθώς το μόνο που πρέπει να κάνουν για να γίνουν θύματα είναι να εισάγουν τη διεύθυνση της τράπεζας. Αυτό καθιστά την επίθεση ακόμα πιο επικίνδυνη.

“Οι κυβερνο-απατεώνες προφανώς στοχεύουν στην χρήση των πληροφοριών που συγκεντρώνουν για να “αδειάσουν” τους λογαριασμούς των χρηστών”, εξηγεί ο Luis Corrons, Τεχνικός Διευθυντής των Εργαστηρίων Panda (PandaLabs). Το iPhone χρησιμοποιείται σε αυτήν την περίπτωση ως δόλωμα για να προσελκύσει τους χρήστες στην εκτέλεση του αρχείου που περιέχει τον κακόβουλο κώδικα”.

Πώς να προστατευθείτε από το pharming

– Όταν συνδέεστε σε μια σελίδα στην οποία ζητούνται προσωπικά δεδομένα σιγουρευτείτε ότι το URL είναι το ίδιο με αυτό που δακτυλογραφήσατε και ότι δεν υπάρχει κανένα επιπρόσθετο γράμμα ή αριθμός, κ.λπ.

– Ελέγξτε το πιστοποιητικό ασφάλειας των ιστοχώρων που επισκέπτεστε. Οποιαδήποτε αξιόπιστη επιχείρηση ηλεκτρονικού εμπορίου θα έχει την πιστοποίηση ασφάλειας για τους κεντρικούς υπολογιστές της που εκδίδεται από μια αναγνωρισμένη αρχή ασφάλειας. Υπάρχουν διάφορες αρχές πιστοποίησης, αν και η VeriSign είναι η πιο ευρέως αναγνωρισμένη.

– Σιγουρευτείτε ότι έχετε αποτελεσματική, ενημερωμένη προστασία antivirus, επειδή, όπως συμβαίνει εδώ, η τροποποίηση του DNS πραγματοποιείται συχνά με κακόβουλο κώδικα.