A Finjan biztonságtechnikai cég nemrégiben egy új trójai férget fedezett fel, mely nem csupán az online bankfiókunk belépési adatait képes megszerezni, hanem annak rendje és módja szerint le is szívja a számlánkon pihenő pénz egy részét, majd az akciót követően hamis egyenleginformációt jelenít meg. Az URLZone névre keresztelt kártevőt úgy tervezték, hogy kifürkéssze és átverje a bank csalásvédelmi mechanizmusait, melyek akkor lépnek működésbe, ha a rendszer szokatlan pénzmozgást detektál egy adott számlán: a féreg ugyanis látja, mennyi pénzzel rendelkezünk, majd ezen információt alapul véve számolja ki az eltulajdonítandó összeget. A lopott tőke egy másik számlán, illetve számlákon landol, melyek jórészt ártatlan balekok nevén futnak: a szerencsétlen flótásoknak rendszerint fogalmuk sincs arról, hogy a múltban távmunkát ajánlgató cég valójában egy bűnszervezetet takar.

Az új keletű csalássorozat meg nem nevezett német bankokat és azok ügyfeleinek egy részét érintette. A Finjan kielemezte a célszemélyek számítógépén rejtőző férget, s azt találta, hogy egy ukrán kontrollszerverrel áll kapcsoltban, mely az aktuális utasításokat küldi a kártékony szoftvernek. A kutatók nagyjából 90 ezer számítógépen bukkantak rá a trójaira, ebből 6400 fertőződött meg, amely 7 és fél százalékos infekciós arányt jelent. Mindent összevetne, néhány száz esetben került sor tényleges lopásra: az elmúlt hónapban 22 nap leforgása alatt bő 80 millió forintnak megfelelő eurót szívott le a bűnbanda az áldozatok számlájáról.

A trójai kódjának egy részlete (Forrás: Finjan)

A felhasználók a szokásos módon fertőzhették meg saját számítógépüket: e-mailben vagy más módon kapott hivatkozáson keresztül navigálhattak egy fertőzött weboldalra, illetve pusztán a levelet megnyitva is telepíthették a férget – állítja a Finjan. Előbbi esetben az összes főbb böngészőalkalmazásban rejlő egyik ismert sérülékenységet kihasználva érkezett meg a trójai a számítógépre, és amint érzékelte, hogy az ügyfél bejelentkezik a kiszemelt bank felületére, máris akcióba lendült. A szoftver elsőként leolvasta az aktuális egyenleget, majd ennek alapján kiszámította, mekkora összeget emelhet le a számláról anélkül, hogy az felkeltené a bank csalásvédelmi mechanizmusának figyelmét.

Rendkívül fontos körülmény, hogy a trójai láthatatlan módon dolgozik, a böngésző semmilyen üzenetet nem jelenít meg a féreg és a pénzintézet rendszere közti kommunikációból. Sőt, a kártékony szoftver az átutalás teljesülését követően kitörli a pénzmozgásról készített, az ügyfél számára is látható jelentéseket, illetőleg meghamisítja a kijelzett egyenleget is. A megkárosított ügyfél e módon semmit sem érzékel a lopásból egészen addig, amíg egy másik, „tiszta” számítógépről be nem jelentkezik a bank felületére, le nem olvassa az egyenlegét az ATM által kinyomtatott bizonylatról, avagy kezdeményezett átutalását vissza nem utasítja a pénzintézet elégtelen forrásra hivatkozva.

A Finjan értesítette a német hatóságokat, az ügy jelenleg nyomozati szakaszban áll.