reklama

Útoky proti bankám neustanou

Oproti klasickému škodlivému kódu v současnosti při pokusech o podvody přibývá phishingu a postupů man-in-the-middle. Nenechte se oblafnout a naučte se bránit!

Článek vznikl ve spolupráci s časopisem Computer. Jeho plné znění najdete v čísle 4/09. Autorem článku je Aleš Pikora, ředitel divize DataGuard společnosti PCS, oficiálního distributora produktů Kaspersky Lab v České republice a na Slovensku.

Podíl malwaru zaměřeného na finanční instituce podle analýzy společnosti Kaspersky Lab stále roste. Studie zveřejněná na serveru Viruslist.com také shrnuje nejčastější metody používané útočníky, očekávané trendy a způsoby, jak banky mohou na tyto kriminální aktivity reagovat.

Útoky na banky lze mezi ostatními internetovými podvody samozřejmě vydělit jen přibližně. Malware může být víceúčelový (například prostě zaznamenává hesla zadávaná do webových formulářů) a finanční instituce pouze jedním z jeho cílů. V zásadě lze říci, že narušitelé se proti bance snaží postupovat buď pomocí škodlivého softwaru, nebo sociálním inženýrstvím, eventuálně mohou oba postupy kombinovat.

V letech 2007 až 2008 množství útoků na banky nejen rostlo, ale docházelo také ke změnám jejich povahy. Podobně jako u jiného škodlivého kódu zde útoky byly přesněji cíleny; na druhé straně se však objevilo také více útoků, jejich cílem nebyla jediná finanční instituce. Vzhledem k současně postupující „lokalizaci“ malwaru ale i při útoku směřovaného proti více bankám jde téměř vždy o finanční instituce v jediném státu.

E-mail už tolik neláká

Pokud jde o útoky realizované pomocí malwaru, lze říci, že k jeho šíření podvodníci stále méně používají e-mail. Dávají přednost nakažení uživatelova počítače během surfování po webu. K infekci může dojít bez uživatelova vědomí (například zneužitím zranitelností webového prohlížeče), častější je ale nákaza následující po nějaké neuvážené akci uživatele.

Rozesílání malwaru e-mailem je mezi podvodníky dnes populární podstatně méně. E-mailové „kampaně“ si spíše všimnou banky, antivirové firmy a ostatně i samotní uživatelé. Pro úspěch útoků tohoto typu je přitom klíčové utajení; uživatel nesmí o ničem vědět ani mít podezření, aby počítač nadále užíval „normálně“, třeba se přihlásil do internetového bankovnictví.

Klepněte pro větší obrázek  Klepněte pro větší obrázek  Klepněte pro větší obrázek  Klepněte pro větší obrázek
Škodlivé programy Cutwail, Cimuz, Huigezi a TT.pdf podle analýzy jejich kódu a v představách Alexe Dragulescu

Distribuce malwaru pomocí webu má pro útočníky i další výhody. Škodlivé programy jsou v tomto případě hostovány na serveru a útočníci je mohou snadno upravovat (tzv. polymorfismus na straně serveru), aby lépe unikly detekci bezpečnostním softwarem. Pro tyto změny mají k dispozici i automatické nástroje. Na rozdíl od kódů, které mají modifikační algoritmus přímo ve svém těle, nemají v tomto případě k algoritmu přístup dodavatelé zabezpečení, nemohou ho tedy tak snadno analyzovat a automaticky detekovat takto vytvořené varianty.

Phishing na vzestupu

Phishingem myslíme podvod realizovaný bez infekce počítače malwarem, tedy výlučně pomocí metod sociálního inženýrství. Tento způsob útoku (nejen) na banky je stále účinný, veškeré pokusy o vzdělávání uživatelů měly zatím jen malý efekt. Uživatelé například běžně ignorují varování o tom, že certifikát podvodného serveru je neplatný nebo se nepodařilo ho ověřit (stačí jim třeba, když v adresním řádku prohlížeče vidí https a připadají si bezpeční).

Podvodníci každým dnem vytvářejí další a další podvodné repliky bankovních serverů, a získávají tak jména a hesla uživatelů. Banky by neměly používat ověření uživatele v jednostupňovém procesu, bez dodatečného komunikačního kanálu a navíc podle statického uživatelského jména a hesla (v ČR je v tomto ohledu zabezpečení kupodivu na vyšší úrovni než u řady bank v Británii či USA). Útok v tomto případě mj. vůbec nemusí být proveden v reálném čase, podvodníci mohou přístupová práva nejprve shromažďovat a až pak zneužít.

Klepněte pro větší obrázek
Na začátku minulého roku obtěžoval phishing Českou spořitelnu

Phishing navíc není prakticky vázán na nějaký typ operačního systému, e-mailového klienta nebo prohlížeče. Jeho účinnost lze zvýšit i vazbou na aktuální události. Lze předpokládat, že třeba v době bankovních krachů budou nervózní uživatelé jednat ještě méně uvážlivě než obvykle.

Trendy do budoucna

Útoky na finanční instituce jsou pro podvodníky kromě zjevné výnosnosti lákavé i tím, že mnohdy nemusí být nijak sofistikované. Postup může být navržen na systém zabezpečení konkrétní banky. Pokud se například heslo zadává z klávesnice, stačí software pro zaznamenávání stisku kláves. Pokud banky používají virtuální klávesnici, nasadí útočníci software, který pořizuje otisky obrazovky.

Je-li kód k transakci posílán dodatečným komunikačním kanálem, typicky přes SMS, útočníci musí nějakým způsobem kontrolovat spojení mezi uživatelem a bankou. Půjde pak o podstatně náročnější narušení typu man-in-the-middle, kdy útočník vloží mezi klienta a bankovní server, s nímž komunikuje, svůj falešný server. Banky se proti tomuto typu útoků samozřejmě brání; pokud se uživatel například přihlásí vždy z určité IP adresy, systému bude podezřelé, když se najednou přihlásí z IP adresy odpovídající prostřednickému serveru (který je typicky v jiné zemi). Podíl útoků man-in-the-middle ale stále roste a tato metoda bude zřejmě nejoblíbenější i v útocích příští generace.

Jednou z metod tohoto útoku je tzv. HTML injection, kterou nedávno používal trojský kůň Limbo. V tomto případě se při návštěvě bankovního serveru zobrazí další okno (pop-up), které uživatel pokládá za součást bankovního serveru. Zde mohou útočníci požadovat zadání nějakých dodatečných údajů, které normálně nejsou pro přístup k účtu vyžadovány. Typicky jde například o číslo platební karty a PIN.

Jinou variantu útoku představuje přesměrování. Nedávno byla zveřejněna vážná bezpečnostní chyba v protokolu DNS a ačkoliv je již vesměs opravena, útoky, které se snaží změnit nastavení DNS serveru, opravou rozhodně neskončily. Útočníci se mohou také pokusit podvodně upravit soubor Hosts ve Windows, jinou možností je použití trojského koně, který pak například přesměruje provoz z protokolu https na nezabezpečený protokol a potlačí varování, které by se v tomto případě jinak zobrazilo v prohlížeči.

Rady bankám

Ze studie společnosti Kaspersky Lab vyplývá, že banky musí především změnit systém ověřování uživatelů. Nevyhovující je jednostupňová autentizace. Hesla by měla být platná jen pro konkrétní relaci, aby útočníci museli zneužití docílit v reálném čase. Nutné je používat další komunikační kanál, například tokeny nebo SMS.

Dokonalejší autentizace problém samozřejmě natrvalo nevyřeší, protože následně se zdokonalí i metody útoků. Lze předpokládat, že autoři malwaru budou vytvářet podvodné kódy pro mobilní zařízení právě proto, aby odchytávali hesla posílaná přes SMS. Nejslabší článek řetězu stále představují samotní uživatelé a sotva lze předpokládat, že se to změní.

Témata článku: Byznys, Internet, Bezpečnost, Bank, Banky, Kaspersky, TomTom, Mana, Změna klávesnice

7 komentářů

Nejnovější komentáře

  • Honzicekcz 9. 6. 2009 10:48:08
    dejme tomu, že jsem na jiném webu, ale i tak já dávám smsky jenom určitým...
  • Jarek4 23. 3. 2009 13:05:50
    Má někdo zkušenost s " man-in-the-middle"? Jak se to projeví u...
  • pepak 16. 3. 2009 11:55:29
    Dohledejte si (třeba na Wikipedii) "Man in the Middle Attack" -...
reklama
Určitě si přečtěte

Vybíráte herní periferii nebo hardware? Pak zapomeňte na nálepku Gaming

Vybíráte herní periferii nebo hardware? Pak zapomeňte na nálepku Gaming

** Herní hardware se od toho běžného často liší jen vzhledem ** Při výběru stále nezapomínejte na základní parametry ** Poradíme jak vybrat herní hardware i periferie

20.  2.  2017 | Stanislav Janů | 36

10 nejhorších produktů v historii Microsoftu

10 nejhorších produktů v historii Microsoftu

20.  2.  2017 | Karel Javůrek | 141

AMD oficiálně představilo procesory Ryzen. Známe i jejich české ceny

AMD oficiálně představilo procesory Ryzen. Známe i jejich české ceny

** AMD uvedlo první tři procesory Ryzen 7 ** Všechny budou pracovat s osmi jádry a šestnácti vlákny ** Na pulty obchodů se dostanou už za týden

22.  2.  2017 | Stanislav Janů | 132

Pojďme programovat elektroniku: Žádný bastlíř se neobejde bez armády švábů

Pojďme programovat elektroniku: Žádný bastlíř se neobejde bez armády švábů

** Každý bastlíř se po čase neobjede bez armády švábů ** Dnes si některé z nich vyzkoušíme ** Třeba zázračný posuvný registr

19.  2.  2017 | Jakub Čížek | 40

EU se děsí Windows 10. Prý o nás vědí až příliš. Microsoft chystá změny

EU se děsí Windows 10. Prý o nás vědí až příliš. Microsoft chystá změny

** Evropští úředníci chtějí, aby byly Desítky transparentnější ** Microsoft od jara skutečně chystá změny ** Ochráncům soukromí to ale nestačí

21.  2.  2017 | Jakub Čížek | 218

Remix Singularity: Microsoft si na tom vylámal zuby. Jak dopadne Android?

Remix Singularity: Microsoft si na tom vylámal zuby. Jak dopadne Android?

** Microsoft do svých telefonů integroval desktopové prostředí ** Moc to ale nevyšlo, chyběl pořádný výkon ** Teď to zkoušejí ex-googleři s Remix Singularity

23.  2.  2017 | Jakub Čížek | 74


Aktuální číslo časopisu Computer

Supertéma o počítačové bezpečnosti

AMD Ryzen přichází

Velké testy kinoprojektorů a levných špuntových sluchátek

Příslušenství do USB-C

reklama
reklama