1 / 43

Napadi na Internet bankarstvo

Napadi na Internet bankarstvo. Bojan Ždrnja, CISSP, GCIA, GCIH < Bojan.Zdrnja @ infigo.hr > INFIGO IS http://www.infigo.hr. Partneri. Medijski pokrovitelji. Sadržaj predavanja. Motivacija Internet bankarstvo s naglaskom na autentikaciju Napadi na klijente Trojan.Banker , Clampi

akina
Download Presentation

Napadi na Internet bankarstvo

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Napadi na Internet bankarstvo Bojan Ždrnja, CISSP, GCIA, GCIH <Bojan.Zdrnja@infigo.hr> INFIGO IS http://www.infigo.hr

  2. Partneri Medijski pokrovitelji

  3. Sadržaj predavanja • Motivacija • Internet bankarstvo • s naglaskom na autentikaciju • Napadi na klijente • Trojan.Banker, Clampi • Napadi na poslužiteljsku infrastrukturu • Što s ukradenim računima • Metode zaštite

  4. 2009. Po čemu ćemo je zapamtiti?

  5. Recesija, kriza, stezanje remena …

  6. … svinjska gripa

  7. Prva godina u kojoj je šteta od napada s Interneta veća od pljačaka u stvarnom svijetu

  8. Prva godina u kojoj je šteta od napada s Interneta veća od pljačaka u stvarnom svijetu • Šteta od fizičkih pljačaka banaka oko 60 milijuna USD* • Šteta od napada na Internet bankarstvo veća od 100 milijuna USD * Izvor: FBI

  9. Motivacija “tamne” strane • “Money makesthe world goaround” • Još 2003. početak djelovanja organiziranih kriminalnih skupina • najnapredniji napadi na banke u Brazilu • tri vodeće države u “industriji” trojanskih programa koji napadaju banke • Rusija • Ukrajina • Brazil

  10. Motivacija “tamne” strane • Poprilično siguran business • proxy + proxy + proxy = poprilično dobra sigurnost • Uhićenja su još uvijek rijetkost • ali tu i tamo se dese

  11. Motivacija “tamne” strane • Akcija brazilske policije iz 2004.

  12. Autentikacija, prva linija zaštite • Igra mačke i miša između banaka i kriminalaca • Osnovna autentikacija: korisničko ime i zaporka • Još uvijek (!) u upotrebi u USA, Australiji … • Krađa podataka običnim keyloggerom • Specijalizirani trojanski programi za Internet bankarstvo • Zapravo samo gledaju URL u pregledniku

  13. Autentikacija, prva linija zaštite • Vizualne tipkovnice • Prvo uvele banke u Brazilu da bi spriječile keyloggere • Screenshot-loggeri • Screenshot malog prostora oko miša kada korisnik posjeti banku

  14. Autentikacija, prva linija zaštite • Dvofaktorska autentikacija • Najnapredniji način zaštite • HNB propisao obavezno korištenje u Hrvatskoj • Tokeni, pametne kartice, TAN tablice • MitM napadi • Ne tako jednostavni u praksi, lako uočljivi • MitB napadi (Man-in-the-Browser) • Zaobilaženje dvofaktorskeautentikacije

  15. DLL injectiontehnike wininet.dll InternetOpenUrlA Trojanski program InternetReadFile HttpSendRequestExA

  16. Trojan.Banker • Porodica trojanskih programa još iz 2007. • Prvi trojanski program koji napada i hrvatske banke • Provodi jednostavne MitB napade • Prepoznaje veliki broj banaka • Dvije razine napada • generički keylogger • promjena HTML koda web stranica

  17. Trojan.Banker • Generički keylogger provjerava da li je posjećeni URL na listi • ako je, krade sve unesene informacije • napada stotine banaka, uglavnom europske .abnamro.nl .bng.nl .friba.nl .vanlanschot.nl .veronica.nl .limbu.nl .bmo.com .desjardins.com .canadatrust.com .citizenstrust.ca .coopcb.com .cdb.com.cy .fbme.com .sgcyprus.com .bristol-west.co.uk .cheltglos.co.uk .ebrd.com .ftbni.com .hdb.co.uk .hsbcib.com .hsbcgroup.com .mhbs.co.uk .natdsionwidde.co.auk .natwest.co.uk .rbos.co.uk .sbil.co.uk .careermosaic.com kb24.pl .rb-ismaning.de .rb-kimi.de .sunrise.it .well.it .delta.it .bsi.si .basl.sk .slsp.sk .rzb.co.at .bancpost.ro .kappa.ro .bdk.lublin.pl .pbz.hr .zaba.hr

  18. Trojan.Banker • Modificiranje HTML-a u ovisnosti o konfiguraciji trojanskog programa • Koja je slika prava? • SSL konekcija je u oba slučaja ispravna

  19. Clampi (Ilomo) • Jedan od najnaprednijih trojanskih programa • Izuzetno kompleksan za analizu • zaštita enkripcijom, virtualnim strojevima … • Kompletno modulariziran • modul za krađu osjetljivih informacija • napada PStore • koristi NsaSoftovSpotAuditor

  20. Clampi (Ilomo) • Moduli se enkriptirani pohranjuju u registry • samo jedna datoteka na tvrdom disku • Sva mrežna komunikacija preko porta 80 • enkriptirana s Blowfish algoritmom • Modul za SOCKS proxy • napadač se može spojiti preko inficiranog računala • zavarava sigurnosne mehanizme banaka

  21. Clampi (Ilomo) • Modul za napad na Internet bankarstvo • napredno modificiranje HTTP prometa • svi upiti se šalju i napadaču • Može zaobići dvofaktorskuautentikaciju! • na žalost nije jedini takav trojanski program • SilentBanker • ZEUS • ali je najrasprostranjeniji

  22. Clampi (Ilomo) POST /banka/transakcija.aspx HTTP/1.0 Host: www.banka.hr … User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1) Cookie: b078b37129671c0609ec186d7c940cc8 korak=2&a=14&b=17&c=b078&izvor=912212293&primatelj=1232034204&amount=100&valuta=kn

  23. Clampi (Ilomo) POST /banka/transakcija.aspx HTTP/1.0 Host: www.banka.hr … User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1) Cookie: b078b37129671c0609ec186d7c940cc8 korak=2&a=14&b=17&c=b078&izvor=912212293&primatelj=1232034204&amount=100&valuta=kn

  24. Clampi (Ilomo) POST /banka/transakcija.aspx HTTP/1.0 Host: www.banka.hr … User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1) Cookie: b078b37129671c0609ec186d7c940cc8 korak=2&a=14&b=17&c=b078&izvor=912212293&primatelj=3133731337&amount=10000&valuta=kn

  25. Clampi (Ilomo) HTTP/1.0 200 OK Date: Thu, 3 Dec 2009 09:00:54 GMT Content-Type: text/html Content-Length: 2322 … <html> ... Transakcija: 10000 kn <br>Primatelj: 3133731337 <br> … … APPL2: 12332125 …

  26. Clampi (Ilomo) HTTP/1.0 200 OK Date: Thu, 3 Dec 2009 09:00:54 GMT Content-Type: text/html Content-Length: 2322 … <html> ... Transakcija: 10000 kn <br>Primatelj: 3133731337<br> … … APPL2: 12332125 …

  27. Clampi (Ilomo) HTTP/1.0 200 OK Date: Thu, 3 Dec 2009 09:00:54 GMT Content-Type: text/html Content-Length: 2322 … <html> ... Transakcija: 100 kn <br>Primatelj: 1232034204<br> … … APPL2: 12332125 …

  28. Clampi (Ilomo) Korisnik ne može vjerovati ničemu prikazanome u web pregledniku Banka ne može vjerovati ničemu dobivenom od korisnika

  29. Clampi (Ilomo) • Konfiguracija definira banke koje se napadaju • Provjerava se domena banke • CRC koji se uspoređuje s listom • skrivanje cijele liste banaka koje se napadaju • analizom algoritma mogu se provjeriti napadnute banke

  30. Clampi (Ilomo) • Velik broj hrvatskih banaka • Još nije otkrivena specijalna konfiguracijaza naše banke • ne smijemo ga zanemarivati mb.hr navabanka.hr pbz.hr primorska.hr rba.hr slatinska-banka.hr splitskabanka.hr zaba.hr banka-brod.hr bpc.hr centarbanka.hr croatiabanka.hr hypo-alpe-adria.hr ikb.hr jadranska-banka.hr kaba.hr

  31. Napadi na infrastrukturu • Rjeđi, ali se ipak dešavaju • dobre investicije u sigurnost Internet servisa banaka • aplikacije postaju slaba karika • 2009. obilježilo nekoliko velikih slučajeva • Uglavnom financijske institucije

  32. Napadi na infrastrukturu • HeartlandPayment Systems • šesti po veličini procesor kreditnih kartica u USA • 100 milijuna transakcija svaki mjesec • 250.000 trgovaca • Najveća krađa kreditnih kartica u povijesti • preko 100 milijuna kreditnih kartica • kazne od Vise i MasterCarda preko12 milijuna USD

  33. Napadi na infrastrukturu • Nekoliko jednostavnih koraka • SQL injection u javno dostupnoj aplikaciji • preuzimanje kontrole nad bazom podataka • pristup internoj mreži • postavljanje specijalnog trojanskog programa • Heartland je čak bio PCI-DSS sukladan! • provjera sustava/aplikacije očigledno je bilanedovoljna

  34. Napadi na infrastrukturu • Igrači na sceni Albert Gonzalez, doušnik tajne službe, optužen za 3 napada sudski proces u tijeku Stephen Watt, 25g zaposlenik Morgan Stanley banke, autor trojanskog programa

  35. Što s ukradenim računima • Cijela hijerarhija kriminalnih organizacija • hackeri preprodaju informacije kriminalcima • Crna tržišta • brojevi kreditnih kartica 0.10 USD – 25 USD • sa CVV-om! • bankovni računi 10 – 1000 USD

  36. Money mules

  37. Money mules • “Zapošljavanje” mazge • potreban njegov bankovni račun • Prebacivanje određene svote s ukradenog računa na mazgin • mazga smije zadržati velikodušnih 20% • Mazga diže gotovinu • Slanje novca Western Union servisom • možda drugoj mazgi

  38. Različiti načini prijevara • Pranje novca kroz mazge • “Money Transfer Agents”, lažne tvrtke • “Money launderingmules” • E-bay/Amazon/onlineshop prijevare • Prihvat pošiljki i daljnje slanje • “Reshippingdonkey” • Lažni zaposlenici, mysteryshopping … • mogućnosti su praktički beskonačne

  39. Što nam je činiti? • Zaštita teška jer banke ne kontroliraju klijentska računala • niti mogu vjerovati ničemu što dobiju od klijenta • Prvi korak: dvofaktorska autentikacija • zahvaljujući HNB-u to već imamo • Za korisnike standardne preporuke • instalacija zakrpi, anti-virusni programi • ne koristite Internet banking od bilo kuda!

  40. Savjeti za banke • Out-of-band notifikacija • napadač ju ne može (jednostavno) kontrolirati • popularne SMS poruke • OTP (APPL2) u SMS poruci • poruka mora sadržavati i podatke o transakciji • inače je beskorisna! • SMS može biti i samo obavijest • korisnik može vidjeti da nešto nije u redu • jeftina implementacija

  41. Savjeti za banke • Napredni uređaji za dvofaktorskuautentikaciju • Pametne kartice • ne smiju slijepo vjerovati web pregledniku • Interaktivni tokeni • primjer PINSentryuređajBarclay banke

  42. Savjeti za banke • Na poslužiteljskoj strani • sigurnost cjelokupnog informacijskog sustava • hardening sustava, vatrozidi, IPS-ovi • nadgledanje sustava i log zapisa + riskmonitoring • penetracijski testovi • i to ne samo zbog zadovoljavanja revizora! • sa stručnim osobljem, korištenje automatiziranogalata nije dovoljno

  43. Hvala.

More Related