Или как да използвате електронна банка и да не станете жертва на измамници

Както заявих в друга статия, днес освен материални блага, нематериалните блага и права също се считат за собственост. В дигиталната ера те се наричат ​​специално "Информационни активи".

Ако от време на време измамниците са се опитвали да извлекат финансова полза от информационните активи, които банките управляват за своите собственици, техните клиенти, журналисти, като началник на сигурността в неназована голяма банка, често са ме питали как всъщност дадено събитие какво се е случило, какъв е бил характера на нападението и какво е могло да предотврати подобно действие. Ще се опитам да обобщя основните вектори на атаката срещу електронните банкови системи в момента.

Бих искал да подчертая предварително, че заглавието на статията е умишлено подвеждащо. В по-голямата част от случаите това не са сложни прониквания и пробиви в периметъра на мрежата на банката, а особено кражба на самоличност, съчетана с техники за социално инженерство.

Банки, измамници и хакери

Вярвайте, че банките харчат значителни ресурси за минимизиране на рисковете и защита срещу възможни атаки срещу активи на клиенти. Всеки, дори и най-невинно изглеждащият компромис има най-малко влияние върху репутацията на банката. Този риск се нарича уважаван. Оценката на репутационния риск е предмет на ежедневния процес на управление на риска на банката. Дори частична загуба на репутация не може да си позволи никоя банка в този чувствителен бизнес, защото ще загуби потенциална печалба. Успешната атака срещу банка би могла, в допълнение към претърпените загуби, да доведе и до огромни глоби от страна на регулатора на финансовия пазар, в краен случай до отнемане на банков лиценз.

Следователно непрекъснатата оценка на ИТ рисковете е задължителна част от вътрешните процеси на банките. Въпреки факта, че управлението на ИТ рискове е сложен процес, банките имат известен недостатък - и това е парадоксът на времето за защита на информационните активи. Банките трябва да са наясно с настоящата и бъдещата стойност на информационните активи, периода, през който искат да ги защитят, и в същото време трябва да изчислят текущите разходи, необходими за прилагане на контрамерките. Оценката на риска трябва да включва оценка на стойността на информационните активи за нападателите и цената, на която нападателите могат да нарушат използваната защита.

Противоречието се крие във факта, че докато мерките за сигурност трябва да бъдат заплатени незабавно, нападателите могат да изчакат с атаката, докато атаката стане по-ефективна за тях. Нападателите имат време за атаката си, банките нямат време за контрамерки. В това нападателите винаги ще имат "върха", защото те са напред.

Имайте предвид, че избягвам термина „хакери“. Тъй като решителният хакер се счита за „хакер“ (също на словашки в по-рядко използвания термин „проникващ“), който притежава подходящите умения да нарушава защитата на периметъра на мрежата чрез технически средства. Тоест човек, който е толкова технически опитен, че дори без измама, той може да получи достатъчни права за достъп до вътрешните системи на банката от външна среда. Социалното инженерство, заблуждаващите, фалшиви действия, представянето за себе си, измамата на клиента и манипулирането на името на клиента несъмнено не са технически умения. Измамникът не е хакер. И в много отношения е точно обратното.

"Повърхността за атака" е сумата от всички входно-изходни точки на виртуалната среда, чрез които неоторизираният потребител, т.е. нападателят може да се опита да въведе данни или да извлече данни от тази среда. По този начин, векторът на атака е в преносен смисъл всеки път, всеки метод, всяка уязвимост или всякакви технически средства, които нападателят може да използва за неоторизиран достъп до информационни активи.

Дейността на клиента в системата за електронно банкиране е в първата стъпка, базирана на удостоверяване на потребителя. Удостоверяването е процес на проверка на самоличността на потребителя, т.е. разберете дали самоличността, предоставена от потребителя, наистина е истинска. В случай на електронно банкиране, дори законното задължение на банката е да провери вашата самоличност. Без проверка на самоличността клиентът не влиза в системата. Точка.

Тук е скритата същност на усилията на тези, които искат да получат неоторизиран достъп до парите на клиентите. Те разглеждат следната логика: „ако успеем да убедим електронната банка, че сме легален клиент, ще можем да се разпореждаме със средствата на клиента в неговата сметка“. Но как да постигна това?

„Класически“ фишинг

Условието този вид престъпление да бъде извършено е нападателят да подготви предварително най-съвършеното копие на оригиналния сървър за електронно банкиране на съответната банка. Колкото по-подобно е това копие на оригиналната EB страница, толкова по-голям е шансът да бъде хванат невнимателен клиент.

Във втората стъпка атакуващият изпраща на голям брой извикани имейл адреси Имейли с „фишинг“, в които той се представя за банка и от името на банката моли клиентите да влязат на адреса на неуспешен фалшив EB сървър. Причините са различни - от необходимостта от някаква техническа поддръжка, до предупреждение срещу възможен вирус, с препоръка за смяна на паролата. Важно е да имитирате банков жаргон колкото е възможно повече и да обосновате колкото е възможно повече необходимостта да влезете в неуспешен URL адрес.

В третата стъпка клиентът е заловен. Добросъвестно, като щракне върху падащ ред, той влиза в EB сървъра на банката си, всъщност стига само до формата за вход на фалшив сървър, чиято единствена задача е да прихване данните за вход на клиента и да ги изпрати на сървърът за събиране на нападателя. “Сървър).

Последната стъпка се разбира от само себе си - нападателят използва откраднати данни за вход, за да влезе в електронното банкиране от името на клиента и да въведе реална поръчка за превод. Като номер на акаунт на получателя, нападателите обикновено използват т.нар Бели коне.

Терминът „жаргон на бял кон“ се отнася до лице, което е прибрано, за да покрие лицето на истинския извършител. Белият кон често е принуждаван да играе ролята на бял кон, но може да бъде и наивен или необразован човек, който може да не подозира, че извършва престъпление. Хората често се използват като бели коне, които поради възрастта или психическото си състояние са съдени леко от съда или се въздържат да ги наказват.

Схемата на фишинг вектора е показана на следната фигура:

електронна

Използването на този вектор за атака има значителен недостатък за нападателите. Всички известни банки използват еднократна, динамична парола (OTP) за удостоверяване на потребителя, както и за упълномощаване на транзакции. Повечето банки използват многофакторно удостоверяване, а някои банки разполагат с допълнителни системи за откриване на възможни измами. Сървърите и мрежовото оборудване на банките са адекватно третирани. Няма да е възможно без частична манипулация на клиента.

MITM (Човекът в средата) - "човек в средата"

И тук наличието на перфектно копие на оригиналния сървър за електронно банкиране на съответната банка е условие за извършване на престъплението. Освен това нападателят трябва да има фалшиво копие на клиентския софтуер на EB, както и механизъм за пренасочване на оригиналната криптирана комуникация между клиента и сървъра. Този инструмент е злонамерен код като "троянски кон", който клиентът на банката трябва да е инфектирал преди това.

Заснемането и дешифрирането на комуникация по време на MITM атака изглежда така:

Във втората стъпка, въпреки че клиентът влиза добросъвестно на адреса на оригиналния EB сървър на своята банка, благодарение на троянския кон, контролиран от нападателя, цялата комуникация е достъпна в некриптиран вид на нападателя, който може да промени всеки данни, които клиентът изпраща на банката. Разбира се, предметът на промяната е номерът на сметката на получателя и изпратената сума.

Последната стъпка е подобна на случая с фишинг - въпреки че клиентът влиза в електронното банкиране и въвежда реална поръчка за превод. Той обаче няма представа, че изпратените от него данни ще се различават от получените от банката, тъй като междувременно те са променени от нападателя. Като номер на акаунт на получателя, нападателите отново използват т.нар Бели коне.

MITB (Човек в браузъра) - "Човек в браузъра"

Атаката MITB вече е една от най-сложните, въпреки че дори при тази атака нападателят разчита на определена степен на безотговорност на клиента.

Атакуващият първо трябва да гарантира, че компютърът на клиента е проникнат от специализиран троянски кон, адаптиран специално за атаки срещу банки. Това обикновено се основава на предположението, че компютърът на клиента не е защитен от никоя от стандартните антивирусни програми.

Клиентът влиза в действителната страница за електронно банкиране на своята банка. Троянецът ще гарантира, че промененото съдържание се инжектира в оригиналното съдържание на уеб формата, което клиентът вижда във фонов режим, без знанието на клиента. Както обикновено, предметът на промяната е номерът на сметката на получателя и изпратената сума. Клиентът изпраща платежно нареждане, без да знае, че изпраща нещо различно до банката, отколкото вижда.

Схемата на вектора за атака на MITB е показана на следната фигура:

За да заблуди механизма за упълномощаване, нападателят също се опитва да гарантира, че троянският кон на заразения компютър гарантира, че SMS за упълномощаване се изпраща на номер, различен от мобилния телефонен номер по подразбиране на клиента. Като алтернатива, ако разчитате на небрежност или невнимание на клиента, рискувате възможността клиентът да потвърди плащането, въпреки че е неправилно - както се вижда от променените данни в SMS за оторизация.

Чудите се какво ще стане, ако банка използва друг механизъм за разрешаване на плащания, като например SW токен данни? Дързостта на нападателите няма граници. Имаше и случаи, когато измамници се обаждаха на мобилния телефон на клиента веднага след изпращане на измененото плащане, представяха се като банка и искаха данни за оторизация от клиента от маркера. Вероятно няма какво да се добави, че някои клиенти могат да предават тези данни на напълно непознат повикващ.

Smishing - атаки срещу SMS удостоверяване

Смята се, че в Словакия повече от 60% от хората вече притежават смартфон или друг вид мощни мобилни устройства с високоскоростна интернет връзка. По-голямата част от тези устройства са базирани на операционната система Android. Въпрос на време беше подземният свят на програмирането да се съсредоточи и върху разработването на зловреден код за тази операционна система. За съжаление, реалността днес е съществуването на троянци, фокусирани върху платформата Android. И както е иначе - една от основните задачи на този зловреден код е всяка форма на финансова изгода, усилия за избелване на сметките на банкови клиенти, в т.ч.

Най-натоварената форма за използване на зловреден софтуер за Android е атаките срещу удостоверяване чрез SMS. Като такава атаката работи?

Клиентът несъзнателно изтегля заразения софтуер, най-вече от различни съмнителни уебсайтове или от неофициални хранилища на Android софтуер. Да приемем, че се заразява с някакъв тип троянски кон, който е насочен към банки.

Ако банката използва SMS като комуникационен канал за удостоверяване или оторизация, тогава буквално е тривиално нещо да се пренасочи такъв SMS за удостоверяване към нападателя или в същото време да се скрие от първоначалния получател. След това останалата част от атаката е много подобна на фишинг, с изключение на това, че нападателят не трябва да изпраща никакви подкани по имейл, тъй като мобилният телефон на клиента ще му изпраща данни за удостоверяване автоматично, дори без взаимодействие с клиента.

Боли само ако някои банки не поддържат канали за удостоверяване, различни от изпращането на еднократна парола чрез SMS. Трябва обаче да се каже, че въпреки че банката предоставя на клиентите и други инструменти за удостоверяване, е изключително трудно да убедиш маса клиенти да напуснат доброволно SMS удостоверяване и да го заменят с, например, SW, HW или EMV токен. Но ще говорим за това в една от следващите статии.

Бъдете подозрителни, ако някой ви се обади и се представи като служител на вашата банка. Банката никога няма да изиска активно данните за удостоверяване на клиента, освен ако клиентът не е решил да влезе в съответната система. А банката изобщо не би го направила по телефона. Бързо прекратете подозрителния разговор и се свържете лично с банката си или чрез телефонния номер, публикуван на уебсайта на банката.

При никакви обстоятелства не предоставяйте на други лица чувствителни лични данни, данни за оторизация (SMS за оторизация или кодове от други устройства за оторизация), пароли за достъп до интернет банкиране или номер на платежна карта. Споделянето на вашата цифрова идентичност, дори с членове на семейството, е навик, който рано или късно води до проблеми.

Повтарям отново, че антивирусната програма и софтуерната защитна стена както на компютър, така и на смартфон трябва да се считат за абсолютна необходимост днес. Дадох по-подробни инструкции как да защитите компютър в статията Ten Secure Computers.

По отношение на самото удостоверяване за системи за електронно банкиране, изберете по-сигурен елемент за удостоверяване от SMS - например софтуер или хардуерен маркер, четец на карти или криптографски механизми за удостоверяване (например удостоверяване с помощта на сертификат за електронен подпис, ако се поддържа от банката).

Не всичко обаче може да бъде решено чрез технически контрамерки. Най-рисковият елемент от цялото интернет банкиране е самият клиент. Затова бъдете бдителни, действайте замислено и не на последно място пазете известия за активност във вашия акаунт. Много клиенти спестиха парите си от видовете атаки, описани по-горе, само заради вниманието и незабавната реакция на неразрешени плащания.