Útoky proti bankám neustanou

Oproti klasickému škodlivému kódu v současnosti při pokusech o podvody přibývá phishingu a postupů man-in-the-middle. Nenechte se oblafnout a naučte se bránit!

Článek vznikl ve spolupráci s časopisem Computer. Jeho plné znění najdete v čísle 4/09. Autorem článku je Aleš Pikora, ředitel divize DataGuard společnosti PCS, oficiálního distributora produktů Kaspersky Lab v České republice a na Slovensku.

Podíl malwaru zaměřeného na finanční instituce podle analýzy společnosti Kaspersky Lab stále roste. Studie zveřejněná na serveru Viruslist.com také shrnuje nejčastější metody používané útočníky, očekávané trendy a způsoby, jak banky mohou na tyto kriminální aktivity reagovat.

Útoky na banky lze mezi ostatními internetovými podvody samozřejmě vydělit jen přibližně. Malware může být víceúčelový (například prostě zaznamenává hesla zadávaná do webových formulářů) a finanční instituce pouze jedním z jeho cílů. V zásadě lze říci, že narušitelé se proti bance snaží postupovat buď pomocí škodlivého softwaru, nebo sociálním inženýrstvím, eventuálně mohou oba postupy kombinovat.

V letech 2007 až 2008 množství útoků na banky nejen rostlo, ale docházelo také ke změnám jejich povahy. Podobně jako u jiného škodlivého kódu zde útoky byly přesněji cíleny; na druhé straně se však objevilo také více útoků, jejich cílem nebyla jediná finanční instituce. Vzhledem k současně postupující „lokalizaci“ malwaru ale i při útoku směřovaného proti více bankám jde téměř vždy o finanční instituce v jediném státu.

E-mail už tolik neláká

Pokud jde o útoky realizované pomocí malwaru, lze říci, že k jeho šíření podvodníci stále méně používají e-mail. Dávají přednost nakažení uživatelova počítače během surfování po webu. K infekci může dojít bez uživatelova vědomí (například zneužitím zranitelností webového prohlížeče), častější je ale nákaza následující po nějaké neuvážené akci uživatele.

Rozesílání malwaru e-mailem je mezi podvodníky dnes populární podstatně méně. E-mailové „kampaně“ si spíše všimnou banky, antivirové firmy a ostatně i samotní uživatelé. Pro úspěch útoků tohoto typu je přitom klíčové utajení; uživatel nesmí o ničem vědět ani mít podezření, aby počítač nadále užíval „normálně“, třeba se přihlásil do internetového bankovnictví.

cutwail.png  cimuz.png  huigezi.png  ttpdf.png
Škodlivé programy Cutwail, Cimuz, Huigezi a TT.pdf podle analýzy jejich kódu a v představách Alexe Dragulescu

Distribuce malwaru pomocí webu má pro útočníky i další výhody. Škodlivé programy jsou v tomto případě hostovány na serveru a útočníci je mohou snadno upravovat (tzv. polymorfismus na straně serveru), aby lépe unikly detekci bezpečnostním softwarem. Pro tyto změny mají k dispozici i automatické nástroje. Na rozdíl od kódů, které mají modifikační algoritmus přímo ve svém těle, nemají v tomto případě k algoritmu přístup dodavatelé zabezpečení, nemohou ho tedy tak snadno analyzovat a automaticky detekovat takto vytvořené varianty.

Phishing na vzestupu

Phishingem myslíme podvod realizovaný bez infekce počítače malwarem, tedy výlučně pomocí metod sociálního inženýrství. Tento způsob útoku (nejen) na banky je stále účinný, veškeré pokusy o vzdělávání uživatelů měly zatím jen malý efekt. Uživatelé například běžně ignorují varování o tom, že certifikát podvodného serveru je neplatný nebo se nepodařilo ho ověřit (stačí jim třeba, když v adresním řádku prohlížeče vidí https a připadají si bezpeční).

Podvodníci každým dnem vytvářejí další a další podvodné repliky bankovních serverů, a získávají tak jména a hesla uživatelů. Banky by neměly používat ověření uživatele v jednostupňovém procesu, bez dodatečného komunikačního kanálu a navíc podle statického uživatelského jména a hesla (v ČR je v tomto ohledu zabezpečení kupodivu na vyšší úrovni než u řady bank v Británii či USA). Útok v tomto případě mj. vůbec nemusí být proveden v reálném čase, podvodníci mohou přístupová práva nejprve shromažďovat a až pak zneužít.

phishing.png
Na začátku minulého roku obtěžoval phishing Českou spořitelnu

Phishing navíc není prakticky vázán na nějaký typ operačního systému, e-mailového klienta nebo prohlížeče. Jeho účinnost lze zvýšit i vazbou na aktuální události. Lze předpokládat, že třeba v době bankovních krachů budou nervózní uživatelé jednat ještě méně uvážlivě než obvykle.

Trendy do budoucna

Útoky na finanční instituce jsou pro podvodníky kromě zjevné výnosnosti lákavé i tím, že mnohdy nemusí být nijak sofistikované. Postup může být navržen na systém zabezpečení konkrétní banky. Pokud se například heslo zadává z klávesnice, stačí software pro zaznamenávání stisku kláves. Pokud banky používají virtuální klávesnici, nasadí útočníci software, který pořizuje otisky obrazovky.

Je-li kód k transakci posílán dodatečným komunikačním kanálem, typicky přes SMS, útočníci musí nějakým způsobem kontrolovat spojení mezi uživatelem a bankou. Půjde pak o podstatně náročnější narušení typu man-in-the-middle, kdy útočník vloží mezi klienta a bankovní server, s nímž komunikuje, svůj falešný server. Banky se proti tomuto typu útoků samozřejmě brání; pokud se uživatel například přihlásí vždy z určité IP adresy, systému bude podezřelé, když se najednou přihlásí z IP adresy odpovídající prostřednickému serveru (který je typicky v jiné zemi). Podíl útoků man-in-the-middle ale stále roste a tato metoda bude zřejmě nejoblíbenější i v útocích příští generace.

Jednou z metod tohoto útoku je tzv. HTML injection, kterou nedávno používal trojský kůň Limbo. V tomto případě se při návštěvě bankovního serveru zobrazí další okno (pop-up), které uživatel pokládá za součást bankovního serveru. Zde mohou útočníci požadovat zadání nějakých dodatečných údajů, které normálně nejsou pro přístup k účtu vyžadovány. Typicky jde například o číslo platební karty a PIN.

Jinou variantu útoku představuje přesměrování. Nedávno byla zveřejněna vážná bezpečnostní chyba v protokolu DNS a ačkoliv je již vesměs opravena, útoky, které se snaží změnit nastavení DNS serveru, opravou rozhodně neskončily. Útočníci se mohou také pokusit podvodně upravit soubor Hosts ve Windows, jinou možností je použití trojského koně, který pak například přesměruje provoz z protokolu https na nezabezpečený protokol a potlačí varování, které by se v tomto případě jinak zobrazilo v prohlížeči.

Rady bankám

Ze studie společnosti Kaspersky Lab vyplývá, že banky musí především změnit systém ověřování uživatelů. Nevyhovující je jednostupňová autentizace. Hesla by měla být platná jen pro konkrétní relaci, aby útočníci museli zneužití docílit v reálném čase. Nutné je používat další komunikační kanál, například tokeny nebo SMS.

Dokonalejší autentizace problém samozřejmě natrvalo nevyřeší, protože následně se zdokonalí i metody útoků. Lze předpokládat, že autoři malwaru budou vytvářet podvodné kódy pro mobilní zařízení právě proto, aby odchytávali hesla posílaná přes SMS. Nejslabší článek řetězu stále představují samotní uživatelé a sotva lze předpokládat, že se to změní.

Článek patří do rubrik: Byznys, Internet, Bezpečnost

7 komentářů

Nejnovější komentáře

  • Honzicekcz , 9. 6. 2009 10:48:08
    dejme tomu, že jsem na jiném webu, ale i tak já dávám smsky jenom určitým...
  • Jarek4 , 23. 3. 2009 13:05:50
    Má někdo zkušenost s " man-in-the-middle"? Jak se to projeví u...
  • pepak , 16. 3. 2009 11:55:29
    Dohledejte si (třeba na Wikipedii) "Man in the Middle Attack" -...

Určitě si přečtěte


9 internetových příspěvků, které patří k legendám: jak se oznamovaly velké věci 30 let před Facebookem

9 internetových příspěvků, které patří k legendám: jak se oznamovaly velké věci 30 let před Facebookem

** Internet, fóra a komunita tu byly dávno před příchodem WWW ** Takto legendy oznamovaly své novinky ** Takto se tehdy svět dozvídal o Windows

25.  8.  2016 | Jakub Čížek | 15

Nová čísla Gartneru: Už si to konečně přiznejte. Telefony s Windows jsou mrtvé

Nová čísla Gartneru: Už si to konečně přiznejte. Telefony s Windows jsou mrtvé

** Microsoft se roky snažil prosadil Windows na telefonech ** Nepomohla mu ale ani Nokia ** Gartner nyní potvrzuje nekončící propad prodejů

21.  8.  2016 | Jakub Čížek | 288

Jak internet a chytrý telefon mění lidskou paměť a další části našeho mozku

Jak internet a chytrý telefon mění lidskou paměť a další části našeho mozku

** Máte stále horší paměť? Může za to chytrý telefon a internet ** Důvodem je snaha mozku ušetřit vlastní výkon ** Odkládání na „externí zařízení“ má pozitivní, ale i negativní důsledky

20.  8.  2016 | Karel Javůrek | 32

Seznam spustil Porno Detektor. Pokouší se poznat holé zadky i opravdové čuňárny

Seznam spustil Porno Detektor. Pokouší se poznat holé zadky i opravdové čuňárny

** Seznam.cz testuje nový algoritmus, který odhaluje pornografické obrázky ** Rozhodování, co je a co není za hranou, není jednoznačné ** Do budoucna může technologie pomoci při filtraci obsahu ve vyhledávači

25.  8.  2016 | Jakub Čížek | 23

Před 25 se zrodil Linux. Nejdůležitější a nejrozšířenější kus softwaru v dějinách

Před 25 se zrodil Linux. Nejdůležitější a nejrozšířenější kus softwaru v dějinách

** Linux je tu už 25 let ** Z malého projektu se proměnil v nejdůležitější program ** Řídí superpočítače, servery, Android a nejspíše i váš Wi-Fi router

23.  8.  2016 | Jakub Čížek | 159


Aktuální číslo časopisu Computer

Testy nejnovějších produktů na českém trhu.

Informace ze světa internetu i bezpečnosti.

Plné verze programů zdarma pro všechny čtenáře.