Sau cum să folosiți o bancă electronică și să nu fiți victima fraudatorilor

După cum am menționat într-un alt articol, în zilele noastre, pe lângă bunurile corporale, bunurile și drepturile necorporale sunt, de asemenea, considerate proprietate. În era digitală, acestea sunt numite în mod specific „Active informaționale”.

Dacă, din când în când, fraudatorii au încercat să obțină beneficii financiare din activele informaționale pe care băncile le gestionează pentru proprietarii lor, clienții lor, jurnaliștii, în calitate de șef al securității unei bănci mari fără nume, m-au întrebat adesea cum se întâmplă de fapt un anumit eveniment cum sa întâmplat, natura atacului și ce ar fi putut împiedica un astfel de act. Voi încerca să rezum vectorii de bază ai atacului asupra sistemelor bancare electronice în prezent.

Aș dori să subliniez în avans că titlul articolului este în mod intenționat înșelător. În marea majoritate a cazurilor, acestea nu sunt intruziuni sofisticate și încălcări ale perimetrului rețelei băncii, ci mai ales furt de identitate, combinat cu tehnici de inginerie socială.

Bănci, fraudatori și hackeri

Credeți că băncile cheltuiesc resurse considerabile pentru minimizarea riscurilor și protejarea împotriva posibilelor atacuri asupra activelor clienților. Fiecare compromis, chiar și cel mai inocent, are cel puțin un impact asupra reputației băncii. Acest risc este numit reputat. Evaluarea riscului reputațional este subiectul procesului de gestionare a riscului de zi cu zi al băncii. Chiar și o pierdere parțială a reputației nu poate fi acordată de nicio bancă din această afacere sensibilă, deoarece ar pierde un potențial profit. Un atac reușit asupra unei bănci ar putea, pe lângă pierderea suferită, să conducă și la amenzi uriașe din partea autorității de reglementare a pieței financiare, în cazuri extreme, la revocarea unei licențe bancare.

Prin urmare, evaluarea continuă a riscurilor IT este o parte obligatorie a proceselor interne ale băncilor. Cu toate acestea, în ciuda faptului că gestionarea riscurilor IT este un proces elaborat, băncile au un anumit dezavantaj - și acesta este paradoxul timpului de protejare a activelor informaționale. Băncile trebuie să fie conștiente de valoarea actuală și viitoare a activelor informaționale, de perioada în care doresc să le protejeze și, în același timp, trebuie să calculeze costurile curente necesare pentru implementarea contramăsurilor. Evaluarea riscurilor trebuie să includă o estimare a valorii activelor informaționale pentru atacatori și a prețului la care atacatorii pot rupe protecția desfășurată.

Contradicția constă în faptul că, deși măsurile de securitate trebuie plătite imediat, atacatorii pot aștepta cu atacul până când atacul devine mai eficient pentru ei. Atacatorii au timp pentru atac, băncile nu au timp pentru contramăsuri. În acest sens, atacatorii vor avea întotdeauna „deasupra” pentru că sunt în față.

Rețineți că evit termenul „hackeri”. Deoarece un hacker hotărât este considerat un „hacker” (de asemenea în slovacă în termenul mai puțin folosit „penetrator”), care are abilitățile adecvate pentru a rupe protecția perimetrului rețelei prin mijloace tehnice. Adică, o persoană care este atât de competentă din punct de vedere tehnic încât, chiar și fără a înșela, poate obține suficiente drepturi de acces la sistemele interne ale băncii dintr-un mediu extern. Ingineria socială, înșelătorii, acțiunile false, uzurparea identității, înșelarea clientului și manipularea numelui clientului nu sunt, fără îndoială, abilități tehnice. Un fraudator nu este un hacker. Și, în multe privințe, este adevărat opusul.

„Suprafața de atac” este suma tuturor punctelor I/O ale mediului virtual, prin care utilizatorul neautorizat, i. un atacator ar putea încerca să introducă date sau să extragă date din acest mediu. Astfel, un vector de atac este, într-un sens figurat, orice cale, fiecare metodă, fiecare vulnerabilitate sau orice mijloc tehnic pe care un atacator îl poate exploata pentru acces neautorizat la activele informaționale.

Activitatea clientului în sistemul bancar electronic este în primul pas bazat pe autentificarea utilizatorului. Autentificarea este procesul de verificare a identității unui utilizator, i. aflați dacă identitatea pe care a furnizat-o utilizatorul este cu adevărat autentică. În cazul serviciilor bancare electronice, este chiar obligația legală a băncii să vă verifice identitatea. Fără verificarea identității, clientul nu se conectează la sistem. Punct.

Iată esența ascunsă a eforturilor celor care doresc să obțină acces neautorizat la banii clienților. Ei iau în considerare următoarea logică: „dacă reușim să convingem banca electronică că suntem un client legal, vom putea dispune de fondurile clientului în contul său”. Dar cum să realizăm acest lucru?

Phishing „clasic”

Condiția pentru comiterea acestui tip de infracțiune este ca atacatorul să pregătească în prealabil cea mai perfectă copie a serverului original bancar electronic al băncii respective. Cu cât această copie este mai asemănătoare cu pagina EB originală, cu atât sunt mai mari șansele ca un client neatent să fie prins.

În al doilea pas, atacatorul trimite către un număr mare de adrese de e-mail numite E-mailurile de „phishing” în care se preface că este o bancă și, în numele băncii, solicită clienților să se conecteze la adresa unui fals server fals fals. Motivele sunt diverse - de la necesitatea unor întrețineri tehnice, până la un avertisment împotriva unui posibil virus, cu recomandarea de a schimba parola. Este important să imitați argoul bancar cât mai mult posibil și să justificați pe cât posibil necesitatea de a vă conecta la o adresă URL falsă.

În al treilea pas, clientul este prins. Cu bună credință, făcând clic pe o linie drop-down, se conectează la serverul EB al băncii sale, de fapt ajunge doar la formularul de autentificare al unui server fals, a cărui singură sarcină este de a intercepta datele de conectare ale clientului și de a le trimite la serverul de colectare al atacatorului. „Server).

Ultimul pas este evident - atacatorul folosește detalii de conectare furate pentru a se conecta la serviciile bancare electronice în numele clientului și pentru a introduce un ordin de transfer real. Ca număr de cont al destinatarului, atacatorii folosesc de obicei așa-numitul Cai albi.

Termenul „cal alb” se referă la o persoană care este ascunsă pentru a acoperi persoana făptuitorului real. Un cal alb este adesea forțat să joace rolul unui cal alb, dar poate fi, de asemenea, o persoană naivă sau incultă, care poate să nu suspecteze că comite o crimă. Oamenii sunt adesea folosiți ca cai albi care, datorită vârstei sau stării lor mentale, sunt judecați ușor de instanță sau se abțin de la pedepsirea lor.

Schema vectorului de phishing este prezentată în următoarea figură:

hackezi

Utilizarea acestui vector de atac are un dezavantaj semnificativ pentru atacatori. Toate băncile cunoscute folosesc o parolă unică, dinamică (OTP) pentru autentificarea utilizatorului, precum și pentru autorizarea tranzacțiilor. Majoritatea băncilor folosesc autentificarea cu mai mulți factori, iar unele bănci dispun de sisteme suplimentare pentru a detecta posibile fraude. Serverele și echipamentele de rețea ale băncilor sunt tratate în mod adecvat. Nu va fi posibil fără manipularea parțială a clientului.

MITM (Man In The Middle) - „om în mijloc”

Și aici, existența unei copii perfecte a serverului original de bancă electronică a băncii relevante este o condiție pentru săvârșirea infracțiunii. În plus, un atacator trebuie să aibă pregătită o copie falsă a software-ului clientului EB, precum și un mecanism pentru redirecționarea comunicării criptate originale între client și server. Acest instrument este un cod rău intenționat, cum ar fi un „cal troian”, pe care clientul băncii trebuie să-l fi infectat anterior.

Captarea și decriptarea comunicării în timpul unui atac MITM arată astfel:

În al doilea pas, deși clientul se conectează cu bună-credință la adresa serverului EB original al băncii sale, datorită calului troian controlat de atacator, întreaga comunicare este disponibilă în formă necriptată către atacator, care poate schimba orice datele pe care clientul le trimite băncii. Desigur, subiectul modificării este numărul de cont al destinatarului și suma trimisă.

Ultimul pas este similar cu cazul phishingului - deși clientul se conectează la serviciile bancare electronice și introduce o comandă de transfer reală. Cu toate acestea, el habar nu are că datele pe care le-a trimis vor fi diferite de cele primite de bancă, deoarece între timp au fost modificate de atacator. Ca număr de cont al destinatarului, atacatorii folosesc din nou așa-numitul Cai albi.

MITB (Om în browser) - „Om în browser”

Atacul MITB este deja unul dintre cele mai sofisticate, deși chiar și în acest atac, atacatorul se bazează pe un anumit grad de iresponsabilitate a clientului.

Atacatorul trebuie mai întâi să se asigure că computerul clientului este infiltrat de un cal troian specializat, adaptat special pentru atacurile asupra băncilor. Aceasta se bazează de obicei pe presupunerea că computerul clientului nu este protejat de niciunul dintre programele antivirus standard.

Clientul se conectează la pagina de bancă electronică reală a băncii sale. Troianul se va asigura că conținutul modificat este injectat în conținutul original al formularului web pe care clientul îl vede în fundal, fără știrea acestuia. Ca de obicei, obiectul modificării este numărul de cont al destinatarului și suma trimisă. Clientul trimite un ordin de plată, neștiind că trimite ceva diferit băncii decât vede.

Schema vectorului de atac MITB este prezentată în următoarea figură:

Pentru a înșela mecanismul de autorizare, atacatorul încearcă, de asemenea, să se asigure că calul troian de pe computerul infectat se asigură că SMS-ul de autorizare este trimis la un număr diferit de numărul de telefon mobil implicit al clientului. Alternativ, dacă vă bazați pe neglijența sau neatenția clientului, riscați posibilitatea ca acesta să confirme plata, chiar dacă aceasta este incorectă - dovadă fiind datele modificate în SMS-ul de autorizare.

Vă întrebați dacă o bancă folosește un alt mecanism pentru a autoriza plăți, cum ar fi datele SW token? Tupeul atacatorilor nu are limite. Au existat, de asemenea, cazuri în care fraudatorii au sunat la telefonul mobil al clientului imediat după trimiterea plății modificate, s-au prezentat ca bancă și au solicitat date de autorizare clientului de pe jeton. Probabil că nu este nimic de adăugat că unii clienți pot transmite aceste date unui apelant complet necunoscut.

Smishing - atacuri asupra autentificării prin SMS

Se estimează că în Slovacia mai mult de 60% dintre oameni dețin deja un smartphone sau un alt tip de dispozitive mobile puternice cu conexiune la internet de mare viteză. Marea majoritate a acestor dispozitive se bazează pe sistemul de operare Android. A fost doar o chestiune de timp înainte ca lumea interlopă de programare să se concentreze și asupra dezvoltării unui cod rău intenționat pentru acest sistem de operare. Din păcate, realitatea de astăzi este existența troienilor axați pe platforma Android. Și ca altfel - una dintre sarcinile principale ale acestui cod rău intenționat este orice formă de avantaj financiar, eforturile de albire a conturilor clienților bancari, inclusiv.

Cea mai ocupată formă de utilizare a malware-ului Android este atacurile împotriva autentificării prin SMS. Ca atare, atacul funcționează?

Clientul descarcă fără să știe software-ul infectat, mai ales de pe diverse site-uri web discutabile sau din depozite neoficiale de software Android. Să presupunem că se infectează cu un tip de cal troian care vizează băncile.

Dacă banca utilizează SMS-ul ca canal de comunicare pentru autentificare sau autorizare, atunci este literal un lucru banal să redirecționezi un astfel de SMS de autentificare către atacator sau, în același timp, să-l ascunzi de destinatarul inițial. Restul atacului este atunci foarte asemănător cu phishingul, cu excepția faptului că atacatorul nu trebuie să trimită niciun mesaj de e-mail, deoarece telefonul mobil al clientului îi va trimite automat datele de autentificare, chiar și fără interacțiune cu clientul.

Doare doar dacă unele bănci nu acceptă alte canale de autentificare decât trimiterea unei parole unice prin SMS. Cu toate acestea, trebuie spus că, chiar dacă banca oferă clienților alte instrumente de autentificare, este extrem de dificil să convingi o masă de clienți să părăsească voluntar autentificarea prin SMS și să o înlocuiască cu, de exemplu, jeton SW, HW sau EMV. Dar despre asta vom vorbi într-unul din articolele următoare.

Fii suspect dacă cineva te sună și te prezintă ca angajat al băncii tale. Banca nu va solicita niciodată în mod activ datele de autentificare ale clientului, cu excepția cazului în care clientul a decis să se conecteze la sistemul relevant. Și banca nu ar face-o deloc prin telefon. Încheiați rapid conversația suspectă și contactați banca dvs. personal sau prin numărul de telefon publicat pe site-ul băncii.

În niciun caz nu furnizați date personale sensibile, date de autorizare (SMS-uri de autorizare sau coduri de pe alte dispozitive de autorizare), parole de acces la internet banking sau număr de card de plată altor persoane. Împărtășirea identității dvs. digitale, chiar și cu membrii familiei, este un obicei care, mai devreme sau mai târziu, duce la probleme.

Subliniez din nou că programul antivirus și firewall-ul software de pe computer și smartphone trebuie considerate astăzi o necesitate absolută. Am dat instrucțiuni mai detaliate despre cum să securizați un computer în articolul Ten Secure Computers.

În ceea ce privește autentificarea în sine pentru sistemele bancare electronice, alegeți un element de autentificare mai sigur decât SMS - de exemplu, un simbol software sau hardware, un cititor de carduri sau mecanisme de autentificare criptografică (de exemplu, autentificarea utilizând un certificat de semnătură electronică, dacă este acceptată de bancă).

Cu toate acestea, nu totul poate fi rezolvat prin contramăsuri tehnice. Cel mai riscant element al întregii activități bancare pe internet este clientul însuși. Prin urmare, fiți vigilenți, acționați cu grijă și, nu în ultimul rând, păstrați în contul dvs. notificări despre activitate. Mulți clienți și-au economisit banii din tipurile de atacuri descrise mai sus doar datorită atenției și răspunsului imediat la plăți neautorizate.