今天我们想告诉你波兰银行的攻击者在实施攻击时到底有多么有创意？

本文我们就来介绍完整的攻击过程，首先从简单的Facebook帐户入侵开始，到盗取受害者的银行帐户余额，到最后将其转入攻击者自己的比特币BTC钱包。

攻击过程还原

这一切都是从Facebook帐户的入侵开始，攻击者可能是通过恶意软件或网络钓鱼而截获的帐户凭据，目前大多数用户仍然不会使用双因素验证，攻击者一旦登录受害者的帐户，就开始通过聊天记录，选择与该帐户所有者保持良好关系的好友，比如该受害者是孙子，而常聊天的是其祖母，攻击者就调出他们之间的特定对话进行分析，然后开始一种相同风格和语调，欺骗他的祖母：

“奶奶，我的话费不够了，你可以帮我充5欧元话费吗？”

如果奶奶同意支付5欧元话费，她将收到一个“付款链接”。

https://dotpay.pl.platnosc.link/

DotPay是波兰一家在线支付提供商，“platnosc”是波兰语的“付款”的意思。付款中介在波兰市场非常受欢迎，他们与所有主要银行签订合同，这样互联网购物就无需信用卡。在结帐期间，用户只需点击付款提供商给予的链接，登录到其银行帐户的网站即可，而且该账户已经将所需的信息都提前设置好了。银行只提供通过短信发送的一次性代码，以确定交易的发生。

于是攻击者就决定模仿其中一个支付中介商的网站：

一旦奶奶决定帮助她的孙子，并在假付款提供商网站上选择她的银行，她就将被重定向到假银行登录页面。波兰一些最受欢迎的银行的例子如下：

如果她输入了银行的登录名和密码，她将获得一个SMS代码，以确认发生5欧元的交易。虽然她只允许了一个5欧元的转账交易，但攻击者是如何盗取她的整个账户？

攻击者发现了一个简单而又聪明的技巧，以确保收到的短信内容为“您已进行了5欧元的转账”，而现实中该代码也将批准创建一个所谓的“信任转移”，这将使攻击者能够进一步转移从相同的帐号中进行资金转移，而无需通过短信代码的额外授权。几个月前我们在波兰观察到这个方案的一些改进版本。

为了方便网络银行的操作简单，大多数银行都允许客户将指定账户添加到“受信任”账户中，以方便银行转账，转账时用户只需要在要转移的账号前打个勾即可。不幸的是，批准一次转帐也可能意味着所有进一步的资金转移都指向同一帐户。

红色框中的文本表示“添加到收件人列表”，这意味着“不会要求短信代码以便将来转移到此帐号”。

攻击者的最后一个障碍便是建立他们自己的银行帐号，并将其设置为可信赖的账号，它们通常是为欺诈准备的钱骡子银行帐户。攻击者又将同一骡子帐户在波兰比特币交易所开了一个BTC钱包账户，并在那里预存了一些资金，以建立一个定期的转账模式，这样做是为了避免银行打电话询问“你确定今天要用加密的货币来转之类的问题。 “转账”账户通常被选为与受害人（奶奶）账户相同的银行（用于方便快速转账），一旦这笔钱从奶奶账户中被盗，则攻击者不到15分钟，就会将其转换为比特币。而在另一个变体中，攻击者直接是从受害人的账户直接转到比特币交易所的账户。

总结

整个计划很难被银行发现和阻止，因为它主要发生在银行管理的权限之外。攻击者从Facebook开始，等到账户被攻破后，就进入到攻击者所设计的平台，而攻击者登录银行进行资金转移都属于手续正常的操作，唯一的破绽就是主要是在受害者设备上的Socks代理端口上，只有配备高级检测机制的网络安检机构才能检测并处理这些攻击。