Útoky proti bankám neustanou

Oproti klasickému škodlivému kódu v současnosti při pokusech o podvody přibývá phishingu a postupů man-in-the-middle. Nenechte se oblafnout a naučte se bránit!

Článek vznikl ve spolupráci s časopisem Computer. Jeho plné znění najdete v čísle 4/09. Autorem článku je Aleš Pikora, ředitel divize DataGuard společnosti PCS, oficiálního distributora produktů Kaspersky Lab v České republice a na Slovensku.

Podíl malwaru zaměřeného na finanční instituce podle analýzy společnosti Kaspersky Lab stále roste. Studie zveřejněná na serveru Viruslist.com také shrnuje nejčastější metody používané útočníky, očekávané trendy a způsoby, jak banky mohou na tyto kriminální aktivity reagovat.

Útoky na banky lze mezi ostatními internetovými podvody samozřejmě vydělit jen přibližně. Malware může být víceúčelový (například prostě zaznamenává hesla zadávaná do webových formulářů) a finanční instituce pouze jedním z jeho cílů. V zásadě lze říci, že narušitelé se proti bance snaží postupovat buď pomocí škodlivého softwaru, nebo sociálním inženýrstvím, eventuálně mohou oba postupy kombinovat.

V letech 2007 až 2008 množství útoků na banky nejen rostlo, ale docházelo také ke změnám jejich povahy. Podobně jako u jiného škodlivého kódu zde útoky byly přesněji cíleny; na druhé straně se však objevilo také více útoků, jejich cílem nebyla jediná finanční instituce. Vzhledem k současně postupující „lokalizaci“ malwaru ale i při útoku směřovaného proti více bankám jde téměř vždy o finanční instituce v jediném státu.

E-mail už tolik neláká

Pokud jde o útoky realizované pomocí malwaru, lze říci, že k jeho šíření podvodníci stále méně používají e-mail. Dávají přednost nakažení uživatelova počítače během surfování po webu. K infekci může dojít bez uživatelova vědomí (například zneužitím zranitelností webového prohlížeče), častější je ale nákaza následující po nějaké neuvážené akci uživatele.

Rozesílání malwaru e-mailem je mezi podvodníky dnes populární podstatně méně. E-mailové „kampaně“ si spíše všimnou banky, antivirové firmy a ostatně i samotní uživatelé. Pro úspěch útoků tohoto typu je přitom klíčové utajení; uživatel nesmí o ničem vědět ani mít podezření, aby počítač nadále užíval „normálně“, třeba se přihlásil do internetového bankovnictví.

Klepněte pro větší obrázek  Klepněte pro větší obrázek  Klepněte pro větší obrázek  Klepněte pro větší obrázek
Škodlivé programy Cutwail, Cimuz, Huigezi a TT.pdf podle analýzy jejich kódu a v představách Alexe Dragulescu

Distribuce malwaru pomocí webu má pro útočníky i další výhody. Škodlivé programy jsou v tomto případě hostovány na serveru a útočníci je mohou snadno upravovat (tzv. polymorfismus na straně serveru), aby lépe unikly detekci bezpečnostním softwarem. Pro tyto změny mají k dispozici i automatické nástroje. Na rozdíl od kódů, které mají modifikační algoritmus přímo ve svém těle, nemají v tomto případě k algoritmu přístup dodavatelé zabezpečení, nemohou ho tedy tak snadno analyzovat a automaticky detekovat takto vytvořené varianty.

Phishing na vzestupu

Phishingem myslíme podvod realizovaný bez infekce počítače malwarem, tedy výlučně pomocí metod sociálního inženýrství. Tento způsob útoku (nejen) na banky je stále účinný, veškeré pokusy o vzdělávání uživatelů měly zatím jen malý efekt. Uživatelé například běžně ignorují varování o tom, že certifikát podvodného serveru je neplatný nebo se nepodařilo ho ověřit (stačí jim třeba, když v adresním řádku prohlížeče vidí https a připadají si bezpeční).

Podvodníci každým dnem vytvářejí další a další podvodné repliky bankovních serverů, a získávají tak jména a hesla uživatelů. Banky by neměly používat ověření uživatele v jednostupňovém procesu, bez dodatečného komunikačního kanálu a navíc podle statického uživatelského jména a hesla (v ČR je v tomto ohledu zabezpečení kupodivu na vyšší úrovni než u řady bank v Británii či USA). Útok v tomto případě mj. vůbec nemusí být proveden v reálném čase, podvodníci mohou přístupová práva nejprve shromažďovat a až pak zneužít.

Klepněte pro větší obrázek
Na začátku minulého roku obtěžoval phishing Českou spořitelnu

Phishing navíc není prakticky vázán na nějaký typ operačního systému, e-mailového klienta nebo prohlížeče. Jeho účinnost lze zvýšit i vazbou na aktuální události. Lze předpokládat, že třeba v době bankovních krachů budou nervózní uživatelé jednat ještě méně uvážlivě než obvykle.

Trendy do budoucna

Útoky na finanční instituce jsou pro podvodníky kromě zjevné výnosnosti lákavé i tím, že mnohdy nemusí být nijak sofistikované. Postup může být navržen na systém zabezpečení konkrétní banky. Pokud se například heslo zadává z klávesnice, stačí software pro zaznamenávání stisku kláves. Pokud banky používají virtuální klávesnici, nasadí útočníci software, který pořizuje otisky obrazovky.

Je-li kód k transakci posílán dodatečným komunikačním kanálem, typicky přes SMS, útočníci musí nějakým způsobem kontrolovat spojení mezi uživatelem a bankou. Půjde pak o podstatně náročnější narušení typu man-in-the-middle, kdy útočník vloží mezi klienta a bankovní server, s nímž komunikuje, svůj falešný server. Banky se proti tomuto typu útoků samozřejmě brání; pokud se uživatel například přihlásí vždy z určité IP adresy, systému bude podezřelé, když se najednou přihlásí z IP adresy odpovídající prostřednickému serveru (který je typicky v jiné zemi). Podíl útoků man-in-the-middle ale stále roste a tato metoda bude zřejmě nejoblíbenější i v útocích příští generace.

Jednou z metod tohoto útoku je tzv. HTML injection, kterou nedávno používal trojský kůň Limbo. V tomto případě se při návštěvě bankovního serveru zobrazí další okno (pop-up), které uživatel pokládá za součást bankovního serveru. Zde mohou útočníci požadovat zadání nějakých dodatečných údajů, které normálně nejsou pro přístup k účtu vyžadovány. Typicky jde například o číslo platební karty a PIN.

Jinou variantu útoku představuje přesměrování. Nedávno byla zveřejněna vážná bezpečnostní chyba v protokolu DNS a ačkoliv je již vesměs opravena, útoky, které se snaží změnit nastavení DNS serveru, opravou rozhodně neskončily. Útočníci se mohou také pokusit podvodně upravit soubor Hosts ve Windows, jinou možností je použití trojského koně, který pak například přesměruje provoz z protokolu https na nezabezpečený protokol a potlačí varování, které by se v tomto případě jinak zobrazilo v prohlížeči.

Rady bankám

Ze studie společnosti Kaspersky Lab vyplývá, že banky musí především změnit systém ověřování uživatelů. Nevyhovující je jednostupňová autentizace. Hesla by měla být platná jen pro konkrétní relaci, aby útočníci museli zneužití docílit v reálném čase. Nutné je používat další komunikační kanál, například tokeny nebo SMS.

Dokonalejší autentizace problém samozřejmě natrvalo nevyřeší, protože následně se zdokonalí i metody útoků. Lze předpokládat, že autoři malwaru budou vytvářet podvodné kódy pro mobilní zařízení právě proto, aby odchytávali hesla posílaná přes SMS. Nejslabší článek řetězu stále představují samotní uživatelé a sotva lze předpokládat, že se to změní.

Diskuze (7) Další článek: Domácí sítě: poraďte ostatním

Témata článku: Byznys, Internet, Bezpečnost, Bank, Ban, Útočník, Aleš Pikora, Kaspersky, Infekce, Změna klávesnice, Zjevná výhoda, Banka, Pikora, Mana, Pro, Banky, Token, Oficiální distributor, Falešná klávesnice, TomTom, Útok, Nejslabší článek



Bude to o prsa. Facebook a Instagram pořád neví, kdy jsou zobrazené bradavky porno

Bude to o prsa. Facebook a Instagram pořád neví, kdy jsou zobrazené bradavky porno

**Meta má zjednodušit pravidla a být ke všem spravedlivá **Facebook s Instagram věnují samostatný odstavec bradavkám **Pravidla ale neřeší nebinární, transsexuální a intersexuální osoby

Petr Urban
InstagramFacebookSociální sítě
Víte, co znamená „i“ ve slovu iPhone? Jeden význam se přímo nabízí, před 25 lety jich však bylo hned pět

Víte, co znamená „i“ ve slovu iPhone? Jeden význam se přímo nabízí, před 25 lety jich však bylo hned pět

** Před šestnácti lety byl předstven první iPhone ** Historie písmena „i“ však sahá až do roku 1998 ** Tedy pro něj měl Steve Jobs hned pět možných významů

Martin Chroust
ZnačeníiPhone
Za WhatsApp se bude platit! Za předplatné dostanete funkci, která je u konkurence zadarmo

Za WhatsApp se bude platit! Za předplatné dostanete funkci, která je u konkurence zadarmo

** Bylo to jen otázkou času ** Už i WhatsApp nabízí prémiové předplatné ** Za poplatek dostanete funkci, která je u konkurence zadarmo

Martin Chroust
předplatnéWhatsAppMobilní aplikace
Telefon jako kapesní skener v klubech. Vědci přišli se snadnou metodou pro detekci drog v nápojích

Telefon jako kapesní skener v klubech. Vědci přišli se snadnou metodou pro detekci drog v nápojích

** Drogy nasypané do nápojů jsou stále velkým problémem ** Jejich odhalení a dokázání je časově i technicky velmi náročné ** K detekci GHB v nápoji nově poslouží jakýkoliv smartphone

Martin Chroust
StudieDrogySmartphony
Šedý trh s předplatným se vymyká kontrole. Spotify, Netflix nebo Disney+ můžete mít doslova za pár korun

Šedý trh s předplatným se vymyká kontrole. Spotify, Netflix nebo Disney+ můžete mít doslova za pár korun

** Sdílení účtů mezi kamarády je jen začátek ** Dnes letí nákupy předplatných v Indii nebo na Aliexpressu ** Superlevné „netflixy“ ale mohou nakonec spíš škodit

Lukáš Václavík
PředplatnéNetflixSpotify
Jak rozmazat dům, aby vás sousedi nemohli šmírovat. Jde to v Mapách Google i na Mapy.cz

Jak rozmazat dům, aby vás sousedi nemohli šmírovat. Jde to v Mapách Google i na Mapy.cz

** Nelibí se vám, když cizí lidé okukují váš dům? ** Všechny mapové aplikace nabízejí možnost rozmazání snímku ** Máme návod pro Apple Maps, Bing Maps, Mapy Google a Mapy.cz

Karel Kilián
SoukromíNávodyMapy
Pět důvodů, proč si nekupovat bezdrátová Bluetooth sluchátka. A dva důležité, proč ano

Pět důvodů, proč si nekupovat bezdrátová Bluetooth sluchátka. A dva důležité, proč ano

Bezdrátová sluchátka jsou skvělá. Ale mají i spoustu nevýhod, o kterých byste měli vědět a připravit se na ně.

Jaromír Puk
Sluchátka
Facebook má nejspíš vaše telefonní číslo, i když jste mu ho nikdy nedali. Tímto tajným nástrojem ho můžete smazat

Facebook má nejspíš vaše telefonní číslo, i když jste mu ho nikdy nedali. Tímto tajným nástrojem ho můžete smazat

**Meta poskytuje nástroj na vymazání telefonních čísel a e-mailových adres z Facebooku a Instagramu **V minulosti Mark Zuckebrg popřel, že by Facebook vytvářel stínové profily **Metě teď můžete sebrat klíčové iddentifikátory, pořád o vás ale nejspíš ví mnoho dalšího

Petr Urban
MetaSledováníSociální sítě
Google Translate našel přemožitele. Vyzkoušeli jsme překladač DeepL

Google Translate našel přemožitele. Vyzkoušeli jsme překladač DeepL

** DeepL Translator využívající strojové učení se konečně naučil česky ** Na 22 příkladech vám ukážeme, jak si stojí oproti Googlu a Microsoftu ** Překladatelé nebudou mít brzy co žrát, jak by řekl klasik

Lukáš Václavík
PřekladačSoftware