1 / 37

Схемы мошенничества в онлайн-банкинге : типовые атаки и методы защиты

Схемы мошенничества в онлайн-банкинге : типовые атаки и методы защиты. Павел Есаков Компания CompuTel Заместитель директора по продажам в финансовом секторе. Содержание. Виды атак Фишинг Атаки с помощью Spyware Атака «человек-в-середине» (MITM) Статистика мошеннических операций

thi
Download Presentation

Схемы мошенничества в онлайн-банкинге : типовые атаки и методы защиты

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Схемы мошенничества в онлайн-банкинге:типовые атаки и методы защиты Павел Есаков Компания CompuTel Заместитель директора по продажам в финансовом секторе

  2. Содержание • Виды атак • Фишинг • Атаки с помощью Spyware • Атака «человек-в-середине» (MITM) • Статистика мошеннических операций • Механизмы защиты • Одноразовый пароль • Электронные подписи • Обучение пользователей • Заключение

  3. Фишинг • Определение фишинговых атак • Попытка мошенническим путем получить важную информацию, такую как имя пользователя, пароли или данные о параметрах платежных карт, путем представления мошенника в качестве заслуживающей доверия организациис использованием электронных каналов • Использует трудности достоверной аутентификации стороны, запрашивающей информацию • Стандартный механизм фишинговой атаки

  4. Целенаправленный фишинг (1/2) • Контекстно-зависимый фишинг (“spear phishing”) • Хорошо нацеленная фишинговая атака • Фишер посылает письмо, которое кажется подлинным для сотрудников предприятия, учреждения, организации или группы • Примеры: Mock Bank (Australia), AT&T scam; Альфа-Банк (Россия) Альфа-Банк предупреждает: попытки мошенничества в отношении клиентов 26.09.2007 Альфа-Банк не рассылал писем о необходимости получения электронного ключа для предотвращения блокировки доступа в систему «Альфа-Клиент On-Line». Подобные рассылки направлены на хищение паролей и персональных данных пользователей интернет-банка «Альфа-Клик». Служба безопасности банка ведет расследование данного инцидента. В случае получения данного сообщения ни в коем случае не переходите по ссылкам, указанным в письме, — на самом деле они ведут на интернет-сайт мошенников. Если Вы уже перешли по этим ссылкам, необходимо обновить антивирусную базу и выполнить полную проверку компьютера на вредоносные программы. Также для обеспечения безопасной работы в интернет-банке «Альфа-Клик» необходимо сменить пароль, используя для этого виртуальную клавиатуру. Будьте бдительны: ни при каких обстоятельствах не вводите логин и пароль интернет-банка «Альфа-Клик» ни на каких других сайтах, кроме https://click.alfabank.ru. Для получения дополнительной информации обращайтесь в Телефонный центр «Альфа-Консультант» по телефону в Москве: (+7 495) 78-888-78 или (8 800) 2-000-000 (для бесплатного звонка из регионов России). Пресс-служба Альфа-Банка тел.: (+7 495) 788-69-80786-29-21783-53-90факс: (+7 495) 788-69-81press@alfabank.ru 1 Aus-cert.org: http://www.auscert.org.au/render.html?it=5932 ² SFGate.com: http://sfgate.com/cgi-bin/article.cgi?f=/c/a/2006/09/01/BUGVBKSUIE1.DTL

  5. Целенаправленный фишинг (2/2) • «Охота на китов» • Тщательно нацеленная фишинговая атака, направленная на высокопоставленных сотрудников, как правило, в пределах одной организации или связанных организаций (CEO, CIO, PM) • Мошенник может послать письмо по электронной почте или письмо с CD, который содержит шпионское ПО • Пример: MessageLabs (June 2007) 1 MessageLabs Intelligence Report June 2007: http://www.messagelabs.com/resources/mlireports

  6. Альтернативные каналы (1/2) • Голосовой фишинг (“Vishing”) • Концепция: мошенник делает звонки по телефону от имени банка • Преимуществаголосового фишинга: • Телефон имеет более высокий уровень доверия по сравнению с другими каналами • Более широкая аудитория (особенно пожилые люди) • Люди привыкли к общению с автоответчиками • Телефонная связь достаточно дешевая • Телефонный номер легкоподделать На этой неделе сразу несколько банков, в том числе Альфа-банк, Банк Москвы, Промсвязьбанк, предупредили через интернет-сайты своих клиентов о телефонных мошенниках, которые начали охоту за реквизитами пластиковых карт частных лиц. О первых случаях телефонного фишинга (выуживания паролей и реквизитов пластиковой карты) стало известно еще на прошлой неделе.

  7. Альтернативные каналы (2/2) • SMS Фишинг (“smishing”) • Концепция: дополнительный канал доступа к клиенту для мошенника • Как правило, SMS присылается с сообщением о подписке клиента на какую-либо услугу • Часто сообщение исходит от «службы безопасности банка» и содержит контактный телефон службы безопасности Рынок «пластика» захлестнула волна мошенничеств с использованием SMS (05.07.2010 08:22) На рынке банковских карт появилась новая схема мошенничества. Владельцам «пластика» приходят SMS-сообщения о блокировке карты, а для ее разблокировки просят все данные по ней. Получив их, мошенники списывают средства через Интернет. Альфа-банк и Ситибанк уже предупредили своих клиентов об SMS-уловках. Альфа-банк разместил на своем сайте предупреждение о случаях получения держателями карт мошеннических SMS-сообщений с информацией о блокировке карты и просьбой перезвонить для ее разблокировки, как правило, на указанный мобильный номер. В беседе с клиентом мошенники просят указывать реквизиты пластиковой карты: ее номер (включая CVV/CVC-коды), срок действия, кодовое слово.

  8. Предотвращение блокировки сайтов • Стандартный механизм защиты от фишинга: • Спам фильтр: Предотвращает поступление фишинговых рассылок конечному пользователю • Браузер: Предупреждает пользователя о посещении фишингового сервера • В основе этих решений лежит черный список фишинговых сайтов • Мошенники принимают меры с целью избежать попадания в черный список • Изменения URL, напримерhttp://www.secure-bank.com:80 • Регистрация субдоменов, имеющих тот же IP-адрес • До рандомизации: URL -http://www.barclays.co.uk.lot80.info/ • После рандомизации: URLs http://www.barclays.co.uk.XXXXXX.lot80.info/, где XXXXXX есть случайное целое число • Появление возможности отслеживания ответов пользователей

  9. Фарминг (1/2) • Концепция: вмешательство в систему разрешения доменных имен • Вариант 1:разрушение файла «hosts» • Система разрешения доменных имен до обращения к внешнему DNS серверу ищет имена хостов на компьютере пользователя • Файл « Hosts» содержит пары «доменное имя – IP адрес» • Microsoft Windows NT/2000/XP/2003/Vista: %SystemRoot%\system32\drivers\etc • Вредоносное ПО на компьютере пользователя может модифицировать данный файл 01.10.10 10:20Вирус уводит деньги со счетов клиентов ВТБ 24 и Альфа-банка Новая вирусная программа, в последнее время активно атакующая клиентов интернет-банкинга, модифицирует системный файл host, прописывая переадресацию. Таким образом, когда пользователь набирает в браузере адрес сайта банка, то попадает на вредоносный сайт, где злоумышленники могут получить параметры доступа в систему интернет-банкинга. Как объясняет Валерий Ледовской, аналитик по вирусной обстановке Dr.Web, при этом в адресной строке находится адрес настоящего сайта . «В Россию такие программы «мигрировали». Раньше они писались, причем русскими программистами, в основном для атаки на зарубежные банки, например: RBS, Райффайзенбанк, HSBC. Около месяца назад злоумышленники переквалифицировали эти вредоносные программы под российские банки», - рассказывает Сергей Голованов, ведущий вирусный аналитик «Лаборатории Касперского».

  10. Фарминг (2/2) • Вариант 2: отравление DNS сервера • Заставить DNS-серверпередать ложную пару «доменное имя - IP-адрес» • Эксплуатируемые уязвимости: • DNS сервера не определяют источник ответов • DNS сервера не всегда могут определить, был ли отправлен запрос

  11. Отмывка денег • В чем проблема фишеров: • Система электронного банкинга может быть лишена возможности трансграничных денежных переводов • Решение: • Мошенники нанимают сообщников («money mules») с банковскими счетами на территории, которая будет подвергаться атаке • Мошенник переводит деньги на счет сообщника • Сообщник («money mule») переводит деньги мошеннику (например Western Union, Moneygram) • Постоянный процесс поиски сообщников по отмыванию • Стандартные каналы для рекламы рабочих мест • “Financial service manager”, “shipping manager”, “private financial retreiver”, etc. • Более подробно:http://bobbear.co.uk/

  12. Содержание • Виды атак • Фишинг • Атаки с помощью Spyware • Атака «человек-в-середине» (MITM) • Статистика мошеннических операций • Механизмы защиты • Одноразовый пароль • Электронные подписи • Обучение пользователей • Заключение

  13. Шпионское ПО • Определение атаки с применением шпионского ПО • Попытка незаконным путем получить доступ к важной информации, как-то: имена пользователей, пароли, номера платежных карт путем скрытого перехвата информации, передаваемой во время информационного обмена • Использует уязвимость компьютера пользователя • Типовая диаграмма атаки с шпионским ПО • Две характеристики: • Слежение и маскировка

  14. Традиционное шпионское ПО • Концепция: запись клавиатурной активности пользователя • Недостатки • Слабая маскировка: • Отдельный процесс, который легко обнаруживается антивирусным ПО • Персональный брандмауэр на компьютере клиента блокирует работу такого шпионского ПО • Низкое качество слежения: • Запись всех нажатий клавиатуры, включая ошибочные • Не определяет, имеется ли в данный момент связь с банком • Не определяет поля для ввода

  15. Банковские Трояны • Созданы специально с целью похищения банковских реквизитов (середина 2004года) • Torpig/Anserin/Sinowal, Banksniff, Haxdoor, … • Japan: Infostealer.Jginko: Japan Net Bank, SMBC, Mizuho, Shinsei • UK: Tarno.L: Natwest, Abbey National, HSBC, Barclays, Lloyds, ... • Zeus (2008-2009) - более 200 000 000 USD (США), 70 000 000 фунтов -Великобритания • Механизмы слежения: • Использование стандартных вызовов, например, HTTPSendRequestA • Доступ к Document Object Model (DOM) на веб-странице с применением Browser Helper Object (BHO) • Использование LSP архитектуры:обеспечивает подключение приложений • Механизмы маскировки: • Технология Rootkit : использовать вызовы операционной системы и изменять возвращаемые значения • Отключение антивирусного ПО

  16. Пример: Infostealer.Banker (1/2) • Внедрение • Регистрация в качестве BHO вреестре Windows • Генерация случайного числа как идентификатора зараженного компьютера • Регистрация данного компьютера на сервере с помощью РHP-script • Работа • BHO связывается с сервером для загрузки свежего “help.txt” • BHO просматривает подключения к сайтам, указанным в файле “help.txt” • Определив связь с банковским сервером • BHO находит HTML-код в файле “help.txt” • BHO встраивает HTML код в просматриваемую страницу • Браузер отображает модифицированную страницу • Когда пользователь вводит свои данные на модифицированной странице, BHO вызывает РHP-script для передачи данных на сервер мошенников

  17. Пример: Infostealer.Banker (2/2)

  18. Содержание • Виды атак • Фишинг • Атаки с помощью Spyware • Атака «человек-в-середине» (MITM) • Статистика мошеннических операций • Механизмы защиты • Одноразовый пароль • Электронные подписи • Обучение пользователей • Заключение

  19. Атака «человек-в–середине» (1/2) • Определение атаки «человек-в-середине» (MITM) • Перехват и модификация в реальном времени информации, которой обмениваются два объекта скрытым для объектов образом • Используются технологии фишинга и/или шпионского ПО • Два основных метода реализации атаки: • Удаленный: с применением ложного веб-узла • Локальный: шпионское ПО на компьютере клиента

  20. Атаки «человек-в-середине»(2/2) • Локальная MITMатака (шпионское ПО) • Зарегистрированный случай: E-gold (Ноябрь 2004) – Win32.Grams • Проверка веб-адресов, чтение баланса, перевод денег • Удаленная MITM атака (фишинговый сайт) • Зарегистрированные случаи: ABN Amro (Март 2007): • Infostealer.Banker.C иложный веб сайт • Потери: 4 клиента, сумма потерь - неизвестна • Зарегистрированные случаи: Swedbank (Март 2007) • Зарегистрированные случаи: Dexia (Май/Июнь 2007) • Потери: 3 клиента, ~ 10 000 euro 1 Secureworks.com: http://www.secureworks.com/research/threats/grams/ ² ABN Amro Press Room: http://www.abnamro.com/pressroom/releases/2007/2007-03-30-nl-i.jsp ³ IDG.se: http://www.idg.se/2.1085/1.101318

  21. Содержание • Виды атак • Фишинг • Атаки с помощью Spyware • Атака «человек-в-середине» (MITM) • Статистика мошеннических операций • Механизмы защиты • Одноразовый пароль • Электронные подписи • Обучение пользователей • Заключение

  22. Количество фишинговых писем (1/2) • Количество уникальных писем в месяц (Первый квартал 2010 года) Source: Anti-Phishing Working Group (APWG)

  23. Сегментация атак по секторам Страны, распространяющие троянские программы Основные цели фишеров в 1 квартале 2010 Классификация атак по странам ( 1кв. 2010) Количество зараженных компьютеров ( 1кв. 2010)

  24. Экономика мошенничества

  25. Содержание • Виды атак • Фишинг • Атаки с помощью Spyware • Атака «человек-в-середине» (MITM) • Статистика мошеннических операций • Механизмы защиты • Одноразовый пароль • Электронные подписи • Обучение пользователей • Заключение

  26. Одноразовый пароль • Назначение: аутентификация пользователя • Преимущества • Снижает ценность реквизитов пользователя, в силу ограниченности времени применения • Ограничивает временной интервал между хищением личных данных и их использованием в корыстных целях • Разрушение традиционной экономической модели фишинга • Экономическая модель: специализация предполагает торговлю данными • Торговля данными требует временных затрат • Одноразовые пароли устаревают ранее, чем их предполагается использовать 1 C. Abad, The economy of phishing, First Monday 10(9), 2005 ² R. Thomas et al., The underground economy: priceless, USENIX LOGIN, 2006

  27. Сравнение методов создания одноразовых паролей • Пароль на базе счетчика событий • Достоверен до момента использования или до представления нового пароля • Время действия пароля определяется клиентом • Пароль на базе счетчика времени • Становится недействителен после предопределенного временного интервала (time window) • Время действия пароля определяет сервер • Пароль на основе механизма «запрос-ответ» • Только один пароль для любого момента времени (временное окно отсутствует) • Время действия пароля определяется сервером

  28. Сравнение одноразовых паролей • Выводы • Наивысшийуровень безопасности: «запрос-ответ» и генерация по времени • Генерация по времени: наилучший компромисс между безопасностью и удобством использования

  29. Электронные подписи • Назначение: • Одноразовый пароль обеспечивает только аутентификацию пользователя • Сервер может только определить присутствие подлинного клиента в момент авторизации • Сервер не может определить модификацию данных после авторизации пользователя • Электронная подпись обеспечивает аутентификацию транзакций • Сервер может обнаруживать и игнорировать неаутентичные транзакции

  30. Электронные подписи и методы социальной инженерии • Методы социальной инженерии являются возможным методам атак против электронных подписей • Атаки с применением приемов социальной инженерии направлены на то, чтобы клиент подписал мошенническую транзакцию • Применение электронных подписей должно учитывать возможности социальной инженерии

  31. Электронные подписи и социальная инженерия (2/2) • Рекомендация 1: • В чем опасность: • Вывод: используйте дополнительное значение • Например,общую сумму транзакции • Например, часть номера счета бенефициара Не применяйте хэш-код как единственное значение для подписания клиентом

  32. Электронные подписи и методы социальной инженерии(3) • Рекомендация 2: • Пользователь должен знать, когда нужно предъявить пароль, а когда подпись • В результате пользователь не предоставит подпись при тех операциях, где он привык использовать пароль • Рекомендация 3: • Пользователь будет более внимателен, если предъявление подписи выходит за рамки основных действий • Например, аутентификация, основанная на оценке рисков (следующие слайды) Пользователь должен ощущать разницу между входом в систему и подписью Процесс подписания должен быть по возможности редким событием

  33. Аутентификация транзакций на базеоценки рисков • Противоречие: безопасность или удобство пользователя • Решение: политики безопасности • Политики определяют, когда и что нуждается в подписании • Применяются на стороне сервера – гибкость в изменении • Возможные критерии • Сумма транзакции (насколько велика?) • Номер банковского счета бенефициара (использовался ранее?) • Вычисление риск характеристик транзакции • Результат • Электронная подпись необходима только для транзакций с высоким уровнем риска • Уплата налогов и счетов, носящая регулярный характер – подпись не нужна • Перевод средств между счетами самого клиента – подпись не требуется • Подписание пакета транзакций одной подписью

  34. Обеспечение грамотности клиента • В цепочке средств обеспечения безопасности самое слабое звено – это человек • Предотвратить мошеннические операции только за счет технических средств невозможно • Обучение пользователей: • Ни в коем случае не отвечать на письма с просьбой о подключении к системе и передаче персональных данных • Инсталлировать программное обеспечение только из источника, заслуживающего доверия • Самостоятельно набирать адреса сайтов или использовать закладки • Проверять правильность работы протокола HTTPS • Стимулировать клиента к установке фаервола и антивирусного ПО • Например, Barclays UK и F-Secure • Например, Firstrade Securities US и Trend Micro • Например, ABN Amro Netherlands и Kaspersky • Выполняйте свои собственные инструкции! • NTA Monitor 2007: Финансовые институты Великобритании не смогли обновить в срок свои SSL-сертификаты в 2007 году

  35. Содержание • Виды атак • Фишинг • Атаки с помощью Spyware • Атака «человек-в-середине» (MITM) • Статистика мошеннических операций • Механизмы защиты • Одноразовый пароль • Электронные подписи • Обучение пользователей • Заключение

  36. Заключение • Мошенничество в онлайн-банкинге постоянно совершенствуется • Фишинг • Использование альтернативных каналов доставки • Целенаправленный фишинг • Шпионское ПО • Улучшение маскировки, более широкое применение технологии rootkit • Более совершенные механизмы краж денежных средств • Необходимость в механизмах строгой аутентификации растет • Безопасные решения существуют • Необходимо сочетать аутентификацию клиента и аутентификацию транзакции • Необходимо учитывать защиту от методов социальной инженерии

  37. Спасибо за внимание!Вопросы?

More Related