Útoky proti bankám neustanou

Oproti klasickému škodlivému kódu v současnosti při pokusech o podvody přibývá phishingu a postupů man-in-the-middle. Nenechte se oblafnout a naučte se bránit!

Článek vznikl ve spolupráci s časopisem Computer. Jeho plné znění najdete v čísle 4/09. Autorem článku je Aleš Pikora, ředitel divize DataGuard společnosti PCS, oficiálního distributora produktů Kaspersky Lab v České republice a na Slovensku.

Podíl malwaru zaměřeného na finanční instituce podle analýzy společnosti Kaspersky Lab stále roste. Studie zveřejněná na serveru Viruslist.com také shrnuje nejčastější metody používané útočníky, očekávané trendy a způsoby, jak banky mohou na tyto kriminální aktivity reagovat.

Útoky na banky lze mezi ostatními internetovými podvody samozřejmě vydělit jen přibližně. Malware může být víceúčelový (například prostě zaznamenává hesla zadávaná do webových formulářů) a finanční instituce pouze jedním z jeho cílů. V zásadě lze říci, že narušitelé se proti bance snaží postupovat buď pomocí škodlivého softwaru, nebo sociálním inženýrstvím, eventuálně mohou oba postupy kombinovat.

V letech 2007 až 2008 množství útoků na banky nejen rostlo, ale docházelo také ke změnám jejich povahy. Podobně jako u jiného škodlivého kódu zde útoky byly přesněji cíleny; na druhé straně se však objevilo také více útoků, jejich cílem nebyla jediná finanční instituce. Vzhledem k současně postupující „lokalizaci“ malwaru ale i při útoku směřovaného proti více bankám jde téměř vždy o finanční instituce v jediném státu.

E-mail už tolik neláká

Pokud jde o útoky realizované pomocí malwaru, lze říci, že k jeho šíření podvodníci stále méně používají e-mail. Dávají přednost nakažení uživatelova počítače během surfování po webu. K infekci může dojít bez uživatelova vědomí (například zneužitím zranitelností webového prohlížeče), častější je ale nákaza následující po nějaké neuvážené akci uživatele.

Rozesílání malwaru e-mailem je mezi podvodníky dnes populární podstatně méně. E-mailové „kampaně“ si spíše všimnou banky, antivirové firmy a ostatně i samotní uživatelé. Pro úspěch útoků tohoto typu je přitom klíčové utajení; uživatel nesmí o ničem vědět ani mít podezření, aby počítač nadále užíval „normálně“, třeba se přihlásil do internetového bankovnictví.

Klepněte pro větší obrázek  Klepněte pro větší obrázek  Klepněte pro větší obrázek  Klepněte pro větší obrázek
Škodlivé programy Cutwail, Cimuz, Huigezi a TT.pdf podle analýzy jejich kódu a v představách Alexe Dragulescu

Distribuce malwaru pomocí webu má pro útočníky i další výhody. Škodlivé programy jsou v tomto případě hostovány na serveru a útočníci je mohou snadno upravovat (tzv. polymorfismus na straně serveru), aby lépe unikly detekci bezpečnostním softwarem. Pro tyto změny mají k dispozici i automatické nástroje. Na rozdíl od kódů, které mají modifikační algoritmus přímo ve svém těle, nemají v tomto případě k algoritmu přístup dodavatelé zabezpečení, nemohou ho tedy tak snadno analyzovat a automaticky detekovat takto vytvořené varianty.

Phishing na vzestupu

Phishingem myslíme podvod realizovaný bez infekce počítače malwarem, tedy výlučně pomocí metod sociálního inženýrství. Tento způsob útoku (nejen) na banky je stále účinný, veškeré pokusy o vzdělávání uživatelů měly zatím jen malý efekt. Uživatelé například běžně ignorují varování o tom, že certifikát podvodného serveru je neplatný nebo se nepodařilo ho ověřit (stačí jim třeba, když v adresním řádku prohlížeče vidí https a připadají si bezpeční).

Podvodníci každým dnem vytvářejí další a další podvodné repliky bankovních serverů, a získávají tak jména a hesla uživatelů. Banky by neměly používat ověření uživatele v jednostupňovém procesu, bez dodatečného komunikačního kanálu a navíc podle statického uživatelského jména a hesla (v ČR je v tomto ohledu zabezpečení kupodivu na vyšší úrovni než u řady bank v Británii či USA). Útok v tomto případě mj. vůbec nemusí být proveden v reálném čase, podvodníci mohou přístupová práva nejprve shromažďovat a až pak zneužít.

Klepněte pro větší obrázek
Na začátku minulého roku obtěžoval phishing Českou spořitelnu

Phishing navíc není prakticky vázán na nějaký typ operačního systému, e-mailového klienta nebo prohlížeče. Jeho účinnost lze zvýšit i vazbou na aktuální události. Lze předpokládat, že třeba v době bankovních krachů budou nervózní uživatelé jednat ještě méně uvážlivě než obvykle.

Trendy do budoucna

Útoky na finanční instituce jsou pro podvodníky kromě zjevné výnosnosti lákavé i tím, že mnohdy nemusí být nijak sofistikované. Postup může být navržen na systém zabezpečení konkrétní banky. Pokud se například heslo zadává z klávesnice, stačí software pro zaznamenávání stisku kláves. Pokud banky používají virtuální klávesnici, nasadí útočníci software, který pořizuje otisky obrazovky.

Je-li kód k transakci posílán dodatečným komunikačním kanálem, typicky přes SMS, útočníci musí nějakým způsobem kontrolovat spojení mezi uživatelem a bankou. Půjde pak o podstatně náročnější narušení typu man-in-the-middle, kdy útočník vloží mezi klienta a bankovní server, s nímž komunikuje, svůj falešný server. Banky se proti tomuto typu útoků samozřejmě brání; pokud se uživatel například přihlásí vždy z určité IP adresy, systému bude podezřelé, když se najednou přihlásí z IP adresy odpovídající prostřednickému serveru (který je typicky v jiné zemi). Podíl útoků man-in-the-middle ale stále roste a tato metoda bude zřejmě nejoblíbenější i v útocích příští generace.

Jednou z metod tohoto útoku je tzv. HTML injection, kterou nedávno používal trojský kůň Limbo. V tomto případě se při návštěvě bankovního serveru zobrazí další okno (pop-up), které uživatel pokládá za součást bankovního serveru. Zde mohou útočníci požadovat zadání nějakých dodatečných údajů, které normálně nejsou pro přístup k účtu vyžadovány. Typicky jde například o číslo platební karty a PIN.

Jinou variantu útoku představuje přesměrování. Nedávno byla zveřejněna vážná bezpečnostní chyba v protokolu DNS a ačkoliv je již vesměs opravena, útoky, které se snaží změnit nastavení DNS serveru, opravou rozhodně neskončily. Útočníci se mohou také pokusit podvodně upravit soubor Hosts ve Windows, jinou možností je použití trojského koně, který pak například přesměruje provoz z protokolu https na nezabezpečený protokol a potlačí varování, které by se v tomto případě jinak zobrazilo v prohlížeči.

Rady bankám

Ze studie společnosti Kaspersky Lab vyplývá, že banky musí především změnit systém ověřování uživatelů. Nevyhovující je jednostupňová autentizace. Hesla by měla být platná jen pro konkrétní relaci, aby útočníci museli zneužití docílit v reálném čase. Nutné je používat další komunikační kanál, například tokeny nebo SMS.

Dokonalejší autentizace problém samozřejmě natrvalo nevyřeší, protože následně se zdokonalí i metody útoků. Lze předpokládat, že autoři malwaru budou vytvářet podvodné kódy pro mobilní zařízení právě proto, aby odchytávali hesla posílaná přes SMS. Nejslabší článek řetězu stále představují samotní uživatelé a sotva lze předpokládat, že se to změní.

Témata článku: Byznys, Bezpečnost, Internet

7 komentářů

Nejnovější komentáře

  • Honzicekcz 9. 6. 2009 10:48:08
    dejme tomu, že jsem na jiném webu, ale i tak já dávám smsky jenom určitým...
  • Jarek4 23. 3. 2009 13:05:50
    Má někdo zkušenost s " man-in-the-middle"? Jak se to projeví u...
  • pepak 16. 3. 2009 11:55:29
    Dohledejte si (třeba na Wikipedii) "Man in the Middle Attack" -...

Určitě si přečtěte


Deset tipů, jak ovládnout Google: Vyhledávejte jako mistři

Deset tipů, jak ovládnout Google: Vyhledávejte jako mistři

** Vyhledávače jsou natolik dobré, že si poradí i s frází v běžné češtině ** Pokud to ale nebude stačit, můžete vyzkoušet pokročilé funkce ** Vybrali jsme ty nejzajímavější

25.  9.  2016 | Jakub Čížek | 19

9 nejlepších programů na úpravu fotek. Placené i zdarma

9 nejlepších programů na úpravu fotek. Placené i zdarma

** Pro běžné úpravy fotek nemusíte pirátit Photoshop, vystačíte si s levnějšími programy ** Ceny pokročilých editorů se většinou vejdou do dvou tisíc korun ** Mnohdy stačí i bezplatné nástroje

26.  9.  2016 | Stanislav Janů | 49

Jak zastavit nechtěné programy na Windows? Koukněte na Plánovač úloh

Jak zastavit nechtěné programy na Windows? Koukněte na Plánovač úloh

** V systému se mohou periodicky spouštět nechtěné aplikace ** Anebo si vyberou tu nejméně vhodnou chvíli ** Prozkoumejte Plánovač úloh na Windows

23.  9.  2016 | Jakub Čížek | 128

Týden Živě: Zvyknou si Češi platit paušál za software?

Týden Živě: Zvyknou si Češi platit paušál za software?

** Zoner vypustil do světa nové Photo Studio. Je za paušál. ** HP nechce neoficiální inkoust ** Koutek časopisu Computer

25.  9.  2016 | Časopis Computer | 65