reklama

Útoky proti bankám neustanou

Oproti klasickému škodlivému kódu v současnosti při pokusech o podvody přibývá phishingu a postupů man-in-the-middle. Nenechte se oblafnout a naučte se bránit!

Článek vznikl ve spolupráci s časopisem Computer. Jeho plné znění najdete v čísle 4/09. Autorem článku je Aleš Pikora, ředitel divize DataGuard společnosti PCS, oficiálního distributora produktů Kaspersky Lab v České republice a na Slovensku.

Podíl malwaru zaměřeného na finanční instituce podle analýzy společnosti Kaspersky Lab stále roste. Studie zveřejněná na serveru Viruslist.com také shrnuje nejčastější metody používané útočníky, očekávané trendy a způsoby, jak banky mohou na tyto kriminální aktivity reagovat.

Útoky na banky lze mezi ostatními internetovými podvody samozřejmě vydělit jen přibližně. Malware může být víceúčelový (například prostě zaznamenává hesla zadávaná do webových formulářů) a finanční instituce pouze jedním z jeho cílů. V zásadě lze říci, že narušitelé se proti bance snaží postupovat buď pomocí škodlivého softwaru, nebo sociálním inženýrstvím, eventuálně mohou oba postupy kombinovat.

V letech 2007 až 2008 množství útoků na banky nejen rostlo, ale docházelo také ke změnám jejich povahy. Podobně jako u jiného škodlivého kódu zde útoky byly přesněji cíleny; na druhé straně se však objevilo také více útoků, jejich cílem nebyla jediná finanční instituce. Vzhledem k současně postupující „lokalizaci“ malwaru ale i při útoku směřovaného proti více bankám jde téměř vždy o finanční instituce v jediném státu.

E-mail už tolik neláká

Pokud jde o útoky realizované pomocí malwaru, lze říci, že k jeho šíření podvodníci stále méně používají e-mail. Dávají přednost nakažení uživatelova počítače během surfování po webu. K infekci může dojít bez uživatelova vědomí (například zneužitím zranitelností webového prohlížeče), častější je ale nákaza následující po nějaké neuvážené akci uživatele.

Rozesílání malwaru e-mailem je mezi podvodníky dnes populární podstatně méně. E-mailové „kampaně“ si spíše všimnou banky, antivirové firmy a ostatně i samotní uživatelé. Pro úspěch útoků tohoto typu je přitom klíčové utajení; uživatel nesmí o ničem vědět ani mít podezření, aby počítač nadále užíval „normálně“, třeba se přihlásil do internetového bankovnictví.

Klepněte pro větší obrázek  Klepněte pro větší obrázek  Klepněte pro větší obrázek  Klepněte pro větší obrázek
Škodlivé programy Cutwail, Cimuz, Huigezi a TT.pdf podle analýzy jejich kódu a v představách Alexe Dragulescu

Distribuce malwaru pomocí webu má pro útočníky i další výhody. Škodlivé programy jsou v tomto případě hostovány na serveru a útočníci je mohou snadno upravovat (tzv. polymorfismus na straně serveru), aby lépe unikly detekci bezpečnostním softwarem. Pro tyto změny mají k dispozici i automatické nástroje. Na rozdíl od kódů, které mají modifikační algoritmus přímo ve svém těle, nemají v tomto případě k algoritmu přístup dodavatelé zabezpečení, nemohou ho tedy tak snadno analyzovat a automaticky detekovat takto vytvořené varianty.

Phishing na vzestupu

Phishingem myslíme podvod realizovaný bez infekce počítače malwarem, tedy výlučně pomocí metod sociálního inženýrství. Tento způsob útoku (nejen) na banky je stále účinný, veškeré pokusy o vzdělávání uživatelů měly zatím jen malý efekt. Uživatelé například běžně ignorují varování o tom, že certifikát podvodného serveru je neplatný nebo se nepodařilo ho ověřit (stačí jim třeba, když v adresním řádku prohlížeče vidí https a připadají si bezpeční).

Podvodníci každým dnem vytvářejí další a další podvodné repliky bankovních serverů, a získávají tak jména a hesla uživatelů. Banky by neměly používat ověření uživatele v jednostupňovém procesu, bez dodatečného komunikačního kanálu a navíc podle statického uživatelského jména a hesla (v ČR je v tomto ohledu zabezpečení kupodivu na vyšší úrovni než u řady bank v Británii či USA). Útok v tomto případě mj. vůbec nemusí být proveden v reálném čase, podvodníci mohou přístupová práva nejprve shromažďovat a až pak zneužít.

Klepněte pro větší obrázek
Na začátku minulého roku obtěžoval phishing Českou spořitelnu

Phishing navíc není prakticky vázán na nějaký typ operačního systému, e-mailového klienta nebo prohlížeče. Jeho účinnost lze zvýšit i vazbou na aktuální události. Lze předpokládat, že třeba v době bankovních krachů budou nervózní uživatelé jednat ještě méně uvážlivě než obvykle.

Trendy do budoucna

Útoky na finanční instituce jsou pro podvodníky kromě zjevné výnosnosti lákavé i tím, že mnohdy nemusí být nijak sofistikované. Postup může být navržen na systém zabezpečení konkrétní banky. Pokud se například heslo zadává z klávesnice, stačí software pro zaznamenávání stisku kláves. Pokud banky používají virtuální klávesnici, nasadí útočníci software, který pořizuje otisky obrazovky.

Je-li kód k transakci posílán dodatečným komunikačním kanálem, typicky přes SMS, útočníci musí nějakým způsobem kontrolovat spojení mezi uživatelem a bankou. Půjde pak o podstatně náročnější narušení typu man-in-the-middle, kdy útočník vloží mezi klienta a bankovní server, s nímž komunikuje, svůj falešný server. Banky se proti tomuto typu útoků samozřejmě brání; pokud se uživatel například přihlásí vždy z určité IP adresy, systému bude podezřelé, když se najednou přihlásí z IP adresy odpovídající prostřednickému serveru (který je typicky v jiné zemi). Podíl útoků man-in-the-middle ale stále roste a tato metoda bude zřejmě nejoblíbenější i v útocích příští generace.

Jednou z metod tohoto útoku je tzv. HTML injection, kterou nedávno používal trojský kůň Limbo. V tomto případě se při návštěvě bankovního serveru zobrazí další okno (pop-up), které uživatel pokládá za součást bankovního serveru. Zde mohou útočníci požadovat zadání nějakých dodatečných údajů, které normálně nejsou pro přístup k účtu vyžadovány. Typicky jde například o číslo platební karty a PIN.

Jinou variantu útoku představuje přesměrování. Nedávno byla zveřejněna vážná bezpečnostní chyba v protokolu DNS a ačkoliv je již vesměs opravena, útoky, které se snaží změnit nastavení DNS serveru, opravou rozhodně neskončily. Útočníci se mohou také pokusit podvodně upravit soubor Hosts ve Windows, jinou možností je použití trojského koně, který pak například přesměruje provoz z protokolu https na nezabezpečený protokol a potlačí varování, které by se v tomto případě jinak zobrazilo v prohlížeči.

Rady bankám

Ze studie společnosti Kaspersky Lab vyplývá, že banky musí především změnit systém ověřování uživatelů. Nevyhovující je jednostupňová autentizace. Hesla by měla být platná jen pro konkrétní relaci, aby útočníci museli zneužití docílit v reálném čase. Nutné je používat další komunikační kanál, například tokeny nebo SMS.

Dokonalejší autentizace problém samozřejmě natrvalo nevyřeší, protože následně se zdokonalí i metody útoků. Lze předpokládat, že autoři malwaru budou vytvářet podvodné kódy pro mobilní zařízení právě proto, aby odchytávali hesla posílaná přes SMS. Nejslabší článek řetězu stále představují samotní uživatelé a sotva lze předpokládat, že se to změní.

Témata článku: Byznys, Internet, Bezpečnost, Bank, Banky, Kaspersky, TomTom, Mana, Změna klávesnice

7 komentářů

Nejnovější komentáře

  • Honzicekcz 9. 6. 2009 10:48:08
    dejme tomu, že jsem na jiném webu, ale i tak já dávám smsky jenom určitým...
  • Jarek4 23. 3. 2009 13:05:50
    Má někdo zkušenost s " man-in-the-middle"? Jak se to projeví u...
  • pepak 16. 3. 2009 11:55:29
    Dohledejte si (třeba na Wikipedii) "Man in the Middle Attack" -...
reklama
Určitě si přečtěte

Facebook o nás ví vše. Díky dobře skrytému vyhledávači se to dozví i ostatní

Facebook o nás ví vše. Díky dobře skrytému vyhledávači se to dozví i ostatní

** Facebook o nás ví vše, protože mu to sami řekneme ** V jeho nitru se skrývá mocný vyhledávač ** Mohou jej zneužít stalkeři, sociální inženýři a další nezbedníci

16.  2.  2017 | Jakub Čížek | 76

Pojďme programovat elektroniku: Žádný bastlíř se neobejde bez armády švábů

Pojďme programovat elektroniku: Žádný bastlíř se neobejde bez armády švábů

** Každý bastlíř se po čase neobjede bez armády švábů ** Dnes si některé z nich vyzkoušíme ** Třeba zázračný posuvný registr

19.  2.  2017 | Jakub Čížek | 36

K čemu jsou v zimě dobré chytré hodinky? Z lyžování vám udělají datové orgie

K čemu jsou v zimě dobré chytré hodinky? Z lyžování vám udělají datové orgie

** Chytré hodinky našly uplatnění především ve sportu ** Běhání či jízdu na kole zvládnou všechny, ale co třeba lyžování? ** Podívejte se, jak jsou na zimní sporty připraveny hodinky Garmin Fenix 3

15.  2.  2017 | David Polesný | 22


Aktuální číslo časopisu Computer

Stavba 3D tiskárny

Výbava domácí elektrodílničky

Budoucnost 5G sítí

Velké testy microSD karet a vodních chladičů

Přehled mobilních tarifů

reklama
reklama