Vagy hogyan kell használni az e-bankot, és nem esni a csalók áldozatául

Mint egy másik cikkben megállapítottam, ma a materiális javak mellett az immateriális javak és a jogok is tulajdonnak minősülnek. A digitális korban ezeket kifejezetten ún "Információs eszközök".

Ha a csalók időről időre anyagi haszonra tettek szert a bankok által kezelt információs eszközökből tulajdonosaik, ügyfeleik, újságírók számára, mint egy meg nem nevezett nagybank biztonsági vezetője, gyakran megkérdezték tőlem, hogy egy adott esemény valójában hogyan történt, milyen volt a támadás jellege és mi akadályozhatta meg az ilyen cselekedetet. Megpróbálom összefoglalni az elektronikus banki rendszerek elleni támadás alapvető vektorait.

Előre szeretném hangsúlyozni, hogy a cikk címe szándékosan félrevezető. Az esetek túlnyomó többségében ezek nem kifinomult behatolások és a bank hálózati kereteinek megsértései, hanem különösen a személyazonosság-lopás, a szociális mérnöki technikákkal kombinálva.

Bankok, csalók és hackerek

Hisz abban, hogy a bankok jelentős forrásokat költenek a kockázatok minimalizálására és az ügyfelek eszközeivel szembeni esetleges támadások elleni védelemre. Minden, még a legártatlanabb megjelenésű kompromisszum is legalább kihatással van a bank hírnevére. Ezt a kockázatot nevezzük jó hírű. A reputációs kockázatértékelés a bank napi kockázatkezelési folyamatának tárgya. Még a hírnév részleges elvesztését sem engedheti meg magának egyetlen bank sem ebben az érzékeny üzletágban, mert ez potenciális profitot veszítene. A bank elleni sikeres támadás a felmerült veszteségen túlmenően hatalmas pénzbírságokat is eredményezhet a pénzpiaci szabályozó részéről, szélsőséges esetben a banki engedély visszavonásával.

Az informatikai kockázatok folyamatos értékelése tehát a bankok belső folyamatainak kötelező része. Annak ellenére, hogy az informatikai kockázatkezelés bonyolult folyamat, a bankoknak van bizonyos hátrányuk - ez az időbeli paradoxon az információs eszközök védelmének. A bankoknak tisztában kell lenniük az információs eszközök jelenlegi és jövőbeni értékével, azzal az időtartammal, amely alatt meg akarják védeni őket, és ugyanakkor kiszámolniuk kell az ellenintézkedések végrehajtásához szükséges aktuális költségeket. A kockázatértékelésnek tartalmaznia kell a támadók számára az információs eszközök értékének becslését és azt az árat, amelyen a támadók megtörhetik a telepített védelmet.

Az ellentmondás abban rejlik, hogy bár a biztonsági intézkedésekért azonnal fizetni kell, a támadók addig várhatnak a támadással, amíg a támadás számukra hatékonyabbá válik. A támadóknak van idejük támadásukra, a bankoknak nincs idejük ellenintézkedésekre. Ebben a támadóknak mindig a "felső" lesz, mert előrébb vannak.

Ne feledje, hogy kerülöm a "hackerek" kifejezést. Mivel egy elszánt hackert "hackernek" tekintenek (szlovákul is a kevésbé használt kifejezésben "behatoló"), aki megfelelő képességekkel rendelkezik ahhoz, hogy technikai eszközökkel megtörje a hálózati kerület védelmét. Vagyis olyan ember, aki technikailag annyira jártas, hogy csalás nélkül is elegendő hozzáférési jogot szerezhet a bank belső rendszereihez egy külső környezetből. A társadalmi tervezés, a megtévesztés, a hamis magatartás, a megszemélyesítés, az ügyfél megtévesztése és az ügyfél nevének manipulálása kétségtelenül nem technikai készség. A csaló nem hacker. És sok szempontból az ellenkezője igaz.

A "támadási felület" a virtuális környezet összes I/O pontjának összege, amelyen keresztül az illetéktelen felhasználó, azaz. egy támadó megpróbálhat adatokat bevinni vagy adatokat kivonni ebből a környezetből. Tehát a támadási vektor átvitt értelemben minden út, minden módszer, minden sebezhetőség vagy bármilyen technikai eszköz, amelyet a támadó kihasználhat az információs eszközök jogosulatlan hozzáférése érdekében.

Az ügyfél tevékenysége az elektronikus banki rendszerben első lépésben a felhasználói hitelesítésen alapul. A hitelesítés a felhasználó személyazonosságának ellenőrzési folyamata, azaz. derítse ki, hogy a felhasználó által megadott személyazonosság valóban eredeti-e. Az elektronikus banki ügyintézés esetében akár jogi kötelezettség is a bank számára az Ön személyazonosságának igazolása. Azonosítás ellenőrzése nélkül az ügyfél nem jelentkezik be a rendszerbe. Pont.

Itt rejlik azoknak az erőfeszítéseknek a rejtett lényege, akik illetéktelen hozzáférést akarnak szerezni az ügyfelek pénzéhez. A következő logikát tartják szem előtt: "ha sikerül meggyőznünk az e-bankot arról, hogy legális ügyfél vagyunk, akkor az ügyfél pénzeszközeivel rendelkezhetünk a számláján". De hogyan lehet ezt elérni?

"Klasszikus" adathalászat

Az ilyen típusú bűncselekmény elkövetésének feltétele, hogy a támadó előre elkészítse az adott bank eredeti elektronikus banki szerverének legtökéletesebb példányát. Minél hasonlóbb ez a példány az eredeti EB-oldalhoz, annál nagyobb az esélye, hogy figyelmetlen ügyfelet fognak el.

A második lépésben a támadó nagyszámú hívott e-mail címre küld "Adathalász" e-mailek, amelyekben úgy tesz, mintha bank lenne, és a bank nevében arra kéri az ügyfeleket, hogy jelentkezzenek be egy hamis hamis EB szerver címére. Az okok különbözőek - kezdve bizonyos műszaki karbantartás szükségességétől kezdve az esetleges vírusok elleni figyelmeztetésig, a jelszó megváltoztatásának ajánlásával. Fontos, hogy a lehető legnagyobb mértékben utánozzuk a banki szlenget, és amennyire csak lehetséges, meg kell indokolni, hogy be kell jelentkezni egy dummy URL-be.

A harmadik lépésben az ügyfelet elkapják. Jóhiszeműen, egy legördülő sorra kattintva bejelentkezik bankja EB szerverére, valójában csak egy hamis szerver bejelentkezési űrlapjához jut el, amelynek egyetlen feladata az ügyfél bejelentkezési adatainak lehallgatása és elküldése a támadó gyűjtőkiszolgálója.

Az utolsó lépés magától értetődő - a támadó ellopott bejelentkezési adatokat használ, hogy az ügyfél nevében bejelentkezzen az elektronikus banki szolgáltatásba, és valódi átutalási megbízást adjon meg. A címzett számlaszámaként a támadók általában az ún Fehér lovak.

A „fehér ló” szleng kifejezés olyan személyre vonatkozik, akit felhúznak, hogy fedezze a valódi elkövető személyét. A fehér ló gyakran kényszerül a fehér ló szerepére, de lehet egy naiv vagy műveletlen ember is, aki nem sejtheti, hogy bűncselekményt követ el. Az embereket gyakran használják fehér lovakként, akiket életkoruk vagy mentális állapotuk miatt a bíróság kissé megítél, vagy tartózkodik a büntetéstől.

Az adathalász vektor sémáját a következő ábra mutatja:

e-bankot

Ennek a támadási vektornak a használata jelentős hátránnyal jár a támadók számára. Az összes ismert bank egyszeri, dinamikus jelszót (OTP) használ a felhasználói hitelesítéshez, valamint a tranzakciók engedélyezéséhez. A legtöbb bank többtényezős hitelesítést használ, és néhány bank további rendszerrel rendelkezik az esetleges csalások felderítésére. A bankok szervereit és hálózati berendezéseit megfelelően kezelik. Ez nem lesz lehetséges az ügyfél részleges manipulálása nélkül.

MITM (Man In The Middle) - "ember középen"

Itt is a bűncselekmény elkövetésének feltétele az érintett bank eredeti elektronikus banki szerverének tökéletes másolatának megléte. Ezenkívül a támadónak készen kell állnia az EB kliens szoftver hamis másolatára, valamint egy mechanizmusra az ügyfél és a szerver közötti eredeti titkosított kommunikáció átirányítására. Ez az eszköz egy rosszindulatú kód, például egy "trójai faló", amelyet a bank ügyfele már korábban megfertőzött.

A kommunikáció rögzítése és visszafejtése egy MITM-támadás során így néz ki:

A második lépésben, bár az ügyfél jóhiszeműen bejelentkezik bankja eredeti EB szerverének címére, a támadó által irányított trójai falónak köszönhetően a teljes kommunikáció titkosítatlan formában elérhető a támadó számára, aki bármelyiket megváltoztathatja. az ügyfél által a banknak küldött adatok. Természetesen a változás tárgya a címzett számlaszáma és az elküldött összeg.

Az utolsó lépés hasonló az adathalász esetéhez - bár az ügyfél bejelentkezik az elektronikus banki szolgáltatásba, és valódi átutalási megbízást ad be. Fogalma sincs azonban arról, hogy az általa küldött adatok eltérnek a banktól kapott adatoktól, mert időközben megváltoztatta őket a támadó. A címzett számlaszámaként a támadók ismét az ún Fehér lovak.

MITB (Man in the Browser) - "Ember a böngészőben"

A MITB támadása már a kifinomultabbak közé tartozik, bár a támadó még ezzel a támadással is az ügyfél bizonyos fokú felelőtlenségére támaszkodik.

A támadónak először meg kell bizonyosodnia arról, hogy az ügyfél számítógépébe egy speciális, kifejezetten a bankok elleni támadásokhoz adaptált trójai faló hatol be. Ez általában azon a feltételezésen alapul, hogy az ügyfél számítógépét egyetlen szabványos víruskereső program sem védi.

Az ügyfél bejelentkezik bankja tényleges elektronikus banki oldalára. A trójai biztosítja, hogy a módosított tartalmat beillesszék az internetes űrlap eredeti tartalmába, amelyet az ügyfél a háttérben lát az ügyfél tudta nélkül. Szokás szerint a változás tárgya a címzett számlaszáma és az elküldött összeg. Az ügyfél fizetési megbízást küld, nem tudva, hogy valami mást küld a banknak, mint amit lát.

Az MITB támadási vektor sémáját a következő ábra mutatja:

Az engedélyezési mechanizmus megtévesztése érdekében a támadó arra is törekszik, hogy a fertőzött számítógépen található trójai faló biztosítsa, hogy az engedélyezési SMS-t más számra küldjék, mint az ügyfél alapértelmezett mobiltelefon-száma. Alternatív megoldásként, ha az ügyfél gondatlanságára vagy figyelmetlenségére támaszkodik, megkockáztatja annak lehetőségét, hogy az ügyfél visszaigazolja a fizetést, annak ellenére, hogy az helytelen - amint azt az engedélyezési SMS-ben megváltozott adatok bizonyítják.

Kíváncsi vagy, ha egy bank egy másik mechanizmust használ a fizetések engedélyezésére, például SW token adatokat? A támadók merészsége nem ismer határokat. Volt olyan eset is, amikor a csalók a módosított fizetés elküldése után azonnal felhívták az ügyfél mobiltelefonját, bankként mutatkoztak be, és a tokentől engedélyezési adatokat kértek az ügyféltől. Valószínűleg nincs mit hozzáfűzni, hogy egyes ügyfelek képesek átadni ezeket az adatokat egy teljesen ismeretlen hívónak.

Smishing - támadások az SMS-hitelesítés ellen

Becslések szerint Szlovákiában az emberek több mint 60% -a rendelkezik okostelefonnal vagy más típusú, nagy sebességű internetkapcsolattal rendelkező nagy teljesítményű mobil eszközzel. Ezen eszközök túlnyomó többsége az Android operációs rendszeren alapul. Csak idő kérdése volt, hogy a programozó alvilág ezen operációs rendszer rosszindulatú kódjának fejlesztésére is összpontosítson. Sajnos a mai valóság az Android platformra összpontosító trójaiak létezése. És mint másként - ennek a rosszindulatú kódnak az egyik fő feladata a pénzügyi előny bármilyen formája, a banki ügyfelek számláinak fehérítésére irányuló erőfeszítések, beleértve.

Az Android rosszindulatú programjainak legforgalmasabb formája az SMS-hitelesítés elleni támadások. Mint ilyen, a támadás működik?

Az ügyfél tudtán kívül tölti le a fertőzött szoftvert, főleg különböző megkérdőjelezhető webhelyekről, vagy az androidos szoftverek nem hivatalos tárházaiból. Tegyük fel, hogy megfertõzõdik valamilyen típusú trójai program, amely a bankokat célozza meg.

Ha a bank kommunikációs csatornaként használja az SMS-t hitelesítéshez vagy hitelesítéshez, akkor szó szerint triviális dolog egy ilyen hitelesítési SMS-t átirányítani a támadóra, vagy egyúttal elrejteni az eredeti címzett elől. A támadás többi része ekkor nagyon hasonlít az adathalászathoz, azzal a különbséggel, hogy a támadónak nem kell e-mailt kérnie, mert az ügyfél mobiltelefonja automatikusan elküldi a hitelesítési adatokat, még az ügyféllel való interakció nélkül is.

Csak akkor fáj, ha egyes bankok az egyszeri jelszó SMS-ben történő elküldésén kívül nem támogatják a hitelesítési csatornákat. Azt azonban el kell mondani, hogy annak ellenére, hogy a bank más hitelesítési eszközöket is biztosít az ügyfeleknek, rendkívül nehéz meggyőzni az ügyfelek tömegét, hogy önként hagyják el az SMS-hitelesítést, és helyettesítsék azt például SW, HW vagy EMV tokennel. De erről a következő cikkek egyikében fogunk beszélni.

Legyen gyanús, ha valaki felhívja Önt, és bemutatja magát a bankja alkalmazottjának. A bank soha nem fogja aktívan kérni az ügyfél hitelesítési adatait, kivéve, ha az ügyfél úgy dönt, hogy bejelentkezik a megfelelő rendszerbe. És a bank egyáltalán nem csinálná telefonon. Gyorsan fejezze be a gyanús beszélgetést, és vegye fel a kapcsolatot bankjával személyesen, vagy a bank weboldalán közzétett telefonszámon keresztül.

Semmilyen körülmények között ne nyújtson másoknak érzékeny személyes adatokat, engedélyezési adatokat (engedélyezési SMS-eket vagy más engedélyező eszközökről származó kódokat), internetbank-hozzáférési jelszavakat vagy fizetési kártyaszámokat. Digitális identitásának megosztása, még a családtagokkal is, olyan szokás, amely előbb-utóbb problémákhoz vezet.

Még egyszer hangsúlyozom, hogy a számítógépen és az okostelefonon található víruskereső programot és szoftveres tűzfalat ma abszolút szükségszerűségnek kell tekinteni. Részletesebb utasításokat adtam a számítógép biztonságáról a Ten Secure Computers cikkben.

Az elektronikus banki rendszerek hitelesítésével kapcsolatban válasszon egy biztonságosabb hitelesítési elemet, mint az SMS - például szoftveres vagy hardveres tokent, kártyaolvasót vagy kriptográfiai hitelesítési mechanizmusokat (pl. Hitelesítés elektronikus aláírási tanúsítvánnyal, ha a bank támogatja).

A technikai ellenintézkedésekkel azonban nem lehet mindent megoldani. Az egész internetes bankolás legkockázatosabb eleme maga az ügyfél. Ezért legyen éber, járjon el átgondoltan, és nem utolsó sorban tartsa meg a fiókjában végzett tevékenységekkel kapcsolatos értesítéseket. Sok ügyfél csak a figyelem és az illetéktelen fizetésekre adott azonnali válasz miatt takarított meg pénzt a fent leírt támadásoktól.