Схемы мошенничества в онлайн-банкинге:типовые атаки и методы защиты

Павел ЕсаковКомпания CompuTel

Заместитель директора по продажам в финансовом секторе

2

Содержание

•Виды атак• Фишинг• Атаки с помощью Spyware • Атака «человек-в-середине» (MITM)

•Статистика мошеннических операций

•Механизмы защиты• Одноразовый пароль• Электронные подписи• Обучение пользователей

•Заключение

3

Фишинг

•Определение фишинговых атак

– Попытка мошенническим путем получить важную информацию, такую как имя пользователя, пароли или данные о параметрах платежных карт, путем представления мошенника в качестве заслуживающей доверия организации с использованием электронных каналов

– Использует трудности достоверной аутентификации стороны, запрашивающей информацию

•Стандартный механизм фишинговой атаки

End-user

Phishing webserver

Phisher

E-banking server

$$$

1

4

Целенаправленный фишинг (1/2)

•Контекстно-зависимый фишинг (“spear phishing”)– Хорошо нацеленная фишинговая атака– Фишер посылает письмо, которое кажется подлинным для сотрудников

предприятия, учреждения, организации или группы– Примеры: Mock Bank (Australia), AT&T scam; Альфа-Банк (Россия)

1 Aus-cert.org: http://www.auscert.org.au/render.html?it=5932 ² SFGate.com: http://sfgate.com/cgi-bin/article.cgi?f=/c/a/2006/09/01/BUGVBKSUIE1.DTL

Альфа-Банк предупреждает: попытки мошенничества в отношении клиентов26.09.2007Альфа-Банк не рассылал писем о необходимости получения электронного ключа для предотвращения блокировки доступа в систему «Альфа-Клиент On-Line». Подобные рассылки направлены на хищение паролей и персональных данных пользователей интернет-банка «Альфа-Клик». Служба безопасности банка ведет расследование данного инцидента.В случае получения данного сообщения ни в коем случае не переходите по ссылкам, указанным в письме, — на самом деле они ведут на интернет-сайт мошенников. Если Вы уже перешли по этим ссылкам, необходимо обновить антивирусную базу и выполнить полную проверку компьютера на вредоносные программы. Также для обеспечения безопасной работы в интернет-банке «Альфа-Клик» необходимо сменить пароль, используя для этого виртуальную клавиатуру. Будьте бдительны: ни при каких обстоятельствах не вводите логин и пароль интернет-банка «Альфа-Клик» ни на каких других сайтах, кроме https://click.alfabank.ru.Для получения дополнительной информации обращайтесь в Телефонный центр «Альфа-Консультант» по телефону в Москве: (+7 495) 78-888-78 или (8 800) 2-000-000 (для бесплатного звонка из регионов России).Пресс-служба Альфа-Банкател.: (+7 495) 788-69-80786-29-21783-53-90факс: (+7 495) 788-69-81press@alfabank.ru

5

Целенаправленный фишинг (2/2)

•«Охота на китов»– Тщательно нацеленная фишинговая атака, направленная на высокопоставленных

сотрудников, как правило, в пределах одной организации или связанных организаций

(CEO, CIO, PM)

– Мошенник может послать письмо по электронной почте или письмо с CD, который

содержит шпионское ПО

– Пример: MessageLabs (June 2007)

1 MessageLabs Intelligence Report June 2007: http://www.messagelabs.com/resources/mlireports

6

• Голосовой фишинг (“Vishing”)

– Концепция: мошенник делает звонки по телефону от имени банка

– Преимущества голосового фишинга:

• Телефон имеет более высокий уровень

доверия по сравнению с другими каналами

• Более широкая аудитория

(особенно пожилые люди)

• Люди привыкли к общению с

автоответчиками

• Телефонная связь достаточно дешевая

• Телефонный номер легко подделать

Альтернативные каналы (1/2)

На этой неделе сразу несколько банков, в том числе Альфа-банк, Банк Москвы, Промсвязьбанк, предупредили через интернет-сайты своих клиентов о телефонных мошенниках, которые начали охоту за реквизитами пластиковых карт частных лиц. О первых случаях телефонного фишинга (выуживания паролей и реквизитов пластиковой карты) стало известно еще на прошлой неделе.

7

Альтернативные каналы (2/2)

•SMS Фишинг (“smishing”)

– Концепция: дополнительный канал

доступа к клиенту для мошенника

– Как правило, SMS присылается с

сообщением о подписке клиента на

какую-либо услугу

– Часто сообщение исходит от

«службы безопасности банка» и

содержит контактный телефон

службы безопасности

Рынок «пластика» захлестнула волна мошенничеств с использованием SMS (05.07.2010 08:22)На рынке банковских карт появилась новая схема мошенничества. Владельцам «пластика» приходят SMS-сообщения о блокировке карты, а для ее разблокировки просят все данные по ней. Получив их, мошенники списывают средства через Интернет. Альфа-банк и Ситибанк уже предупредили своих клиентов об SMS-уловках. Альфа-банк разместил на своем сайте предупреждение о случаях получения держателями карт мошеннических SMS-сообщений с информацией о блокировке карты и просьбой перезвонить для ее разблокировки, как правило, на указанный мобильный номер. В беседе с клиентом мошенники просят указывать реквизиты пластиковой карты: ее номер (включая CVV/CVC-коды), срок действия, кодовое слово.

8

Предотвращение блокировки сайтов

•Стандартный механизм защиты от фишинга:

– Спам фильтр: Предотвращает поступление фишинговых рассылок конечному пользователю

– Браузер: Предупреждает пользователя о посещении фишингового сервера•В основе этих решений лежит черный список фишинговых сайтов

•Мошенники принимают меры с целью избежать попадания в черный список– Изменения URL, например http://www.secure-bank.com:80 – Регистрация субдоменов, имеющих тот же IP-адрес

• До рандомизации: URL - http://www.barclays.co.uk.lot80.info/• После рандомизации: URLs

http://www.barclays.co.uk.XXXXXX.lot80.info/, где XXXXXX есть случайное целое число

•Появление возможности отслеживания ответов пользователей

9

Фарминг (1/2)

•Концепция: вмешательство в систему разрешения доменных имен

•Вариант 1:разрушение файла «hosts»– Система разрешения доменных имен до обращения к внешнему DNS

серверу ищет имена хостов на компьютере пользователя– Файл « Hosts» содержит пары «доменное имя – IP адрес»

• Microsoft Windows NT/2000/XP/2003/Vista: %SystemRoot%\system32\drivers\etc

– Вредоносное ПО на компьютере пользователя может модифицировать данный файл

01.10.10 10:20Вирус уводит деньги со счетов клиентов ВТБ 24 и Альфа-банка

Новая вирусная программа, в последнее время активно атакующая клиентов интернет-банкинга, модифицирует системный файл host, прописывая переадресацию. Таким образом, когда пользователь набирает в браузере адрес сайта банка, то попадает на вредоносный сайт, где злоумышленники могут получить параметры доступа в систему интернет-банкинга. Как объясняет Валерий Ледовской, аналитик по вирусной обстановке Dr.Web, при этом в адресной строке находится адрес настоящего сайта . «В Россию такие программы «мигрировали». Раньше они писались, причем русскими программистами, в основном для атаки на зарубежные банки, например: RBS, Райффайзенбанк, HSBC. Около месяца назад злоумышленники переквалифицировали эти вредоносные программы под российские банки», - рассказывает Сергей Голованов, ведущий вирусный аналитик «Лаборатории Касперского».

10

Фарминг (2/2)

•Вариант 2: отравление DNS сервера– Заставить DNS-сервер передать ложную пару «доменное имя - IP-адрес»

– Эксплуатируемые уязвимости: • DNS сервера не определяют источник ответов• DNS сервера не всегда могут определить, был ли отправлен запрос

DNS-server for pharming.comEnd-user PC

4: IP of www.pharming.com?

5: IP of www.pharming.comIP of www.bank.com

DNS-server for .com TLD

DNS-server for root

2: IP of D

NS-server for .c

om

3: IP of DNS-server for

pharming.com

ISP DNS-resolver

1: IP of www.pharming.com?

6: IP of www.pharming.com

11

Отмывка денег

•В чем проблема фишеров: – Система электронного банкинга может быть лишена возможности трансграничных

денежных переводов

•Решение:– Мошенники нанимают сообщников («money mules») с банковскими счетами на

территории, которая будет подвергаться атаке – Мошенник переводит деньги на счет сообщника– Сообщник («money mule») переводит деньги мошеннику (например Western Union,

Moneygram)

•Постоянный процесс поиски сообщников по отмыванию– Стандартные каналы для рекламы рабочих мест– “Financial service manager”, “shipping manager”, “private financial retreiver”, etc.

•Более подробно: http://bobbear.co.uk/

12

Содержание

•Виды атак•Фишинг•Атаки с помощью Spyware •Атака «человек-в-середине» (MITM)

•Статистика мошеннических операций

•Механизмы защиты• Одноразовый пароль• Электронные подписи• Обучение пользователей

•Заключение

13

Шпионское ПО

•Определение атаки с применением шпионского ПО– Попытка незаконным путем получить доступ к важной информации, как-то: имена

пользователей, пароли, номера платежных карт путем скрытого перехвата информации, передаваемой во время информационного обмена

– Использует уязвимость компьютера пользователя

•Типовая диаграмма атаки с шпионским ПО

•Две характеристики:– Слежение и маскировка

End-user’s PC

Adversary

E-banking server

2

34

$$$

End-user

14

Традиционное шпионское ПО

• Концепция: запись клавиатурной активности пользователя• Недостатки

– Слабая маскировка: • Отдельный процесс, который легко обнаруживается антивирусным ПО• Персональный брандмауэр на компьютере клиента блокирует работу такого шпионского

ПО

– Низкое качество слежения:• Запись всех нажатий клавиатуры, включая ошибочные• Не определяет, имеется ли в данный момент связь с банком• Не определяет поля для ввода

IExplore.exe

Keylogger.exe

Internet

Port 80 (HTTP)

Personal firewall

E-mail

FTP

Port 30000

15

Банковские Трояны

•Созданы специально с целью похищения банковских реквизитов (середина 2004года)

– Torpig/Anserin/Sinowal, Banksniff, Haxdoor, …– Japan: Infostealer.Jginko: Japan Net Bank, SMBC, Mizuho, Shinsei

– UK: Tarno.L: Natwest, Abbey National, HSBC, Barclays, Lloyds, ...– Zeus (2008-2009) - более 200 000 000 USD (США), 70 000 000 фунтов -

Великобритания

•Механизмы слежения:– Использование стандартных вызовов, например, HTTPSendRequestA– Доступ к Document Object Model (DOM) на веб-странице с применением Browser

Helper Object (BHO)– Использование LSP архитектуры:обеспечивает подключение приложений

•Механизмы маскировки:– Технология Rootkit : использовать вызовы операционной системы и изменять

возвращаемые значения– Отключение антивирусного ПО

16

Пример: Infostealer.Banker (1/2)

•Внедрение1. Регистрация в качестве BHO в реестре Windows

2. Генерация случайного числа как идентификатора зараженного компьютера

3. Регистрация данного компьютера на сервере с помощью РHP-script

•Работа1. BHO связывается с сервером для загрузки свежего “help.txt”

2. BHO просматривает подключения к сайтам, указанным в файле “help.txt”

3. Определив связь с банковским сервером

a) BHO находит HTML-код в файле “help.txt”

b) BHO встраивает HTML код в просматриваемую страницу

c) Браузер отображает модифицированную страницу4. Когда пользователь вводит свои данные на модифицированной странице, BHO

вызывает РHP-script для передачи данных на сервер мошенников

17

Пример: Infostealer.Banker (2/2)

18

Содержание

•Виды атак• Фишинг• Атаки с помощью Spyware • Атака «человек-в-середине» (MITM)

•Статистика мошеннических операций

•Механизмы защиты• Одноразовый пароль• Электронные подписи• Обучение пользователей

•Заключение

19

Атака «человек-в–середине» (1/2)

•Определение атаки «человек-в-середине» (MITM) – Перехват и модификация в реальном времени информации, которой

обмениваются два объекта скрытым для объектов образом

– Используются технологии фишинга и/или шпионского ПО

•Два основных метода реализации атаки:– Удаленный: с применением ложного веб-узла

– Локальный: шпионское ПО на компьютере клиента

MITME-banking

serverEnd-user

20

Атаки «человек-в-середине»(2/2)

1 Secureworks.com: http://www.secureworks.com/research/threats/grams/ ² ABN Amro Press Room: http://www.abnamro.com/pressroom/releases/2007/2007-03-30-nl-i.jsp ³ IDG.se: http://www.idg.se/2.1085/1.101318

•Локальная MITM атака (шпионское ПО)Зарегистрированный случай: E-gold (Ноябрь 2004) – Win32.Grams

Проверка веб-адресов, чтение баланса, перевод денег

•Удаленная MITM атака (фишинговый сайт)Зарегистрированные случаи: ABN Amro (Март 2007):

Infostealer.Banker.C и ложный веб сайт

Потери: 4 клиента, сумма потерь - неизвестна

Зарегистрированные случаи : Swedbank (Март 2007)Зарегистрированные случаи : Dexia (Май/Июнь 2007)

Потери: 3 клиента, ~ 10 000 euro

21

Содержание

•Виды атак• Фишинг• Атаки с помощью Spyware • Атака «человек-в-середине» (MITM)

•Статистика мошеннических операций

•Механизмы защиты• Одноразовый пароль• Электронные подписи• Обучение пользователей

•Заключение

22

Количество фишинговых писем (1/2)

•Количество уникальных писем в месяц

(Первый квартал 2010 года)

Source: Anti-Phishing Working Group (APWG)

23

Сегментация атак по секторам

Страны, распространяющие троянские программыОсновные цели фишеров в 1 квартале 2010

Количество зараженных компьютеров ( 1кв. 2010)

Классификация атак по странам ( 1кв. 2010)

24

Экономика мошенничества

25

Содержание

•Виды атак• Фишинг• Атаки с помощью Spyware • Атака «человек-в-середине» (MITM)

•Статистика мошеннических операций

•Механизмы защиты• Одноразовый пароль• Электронные подписи• Обучение пользователей

•Заключение

26

Одноразовый пароль

•Назначение: аутентификация пользователя•Преимущества

– Снижает ценность реквизитов пользователя, в силу ограниченности времени применения

– Ограничивает временной интервал между хищением личных данных и их использованием в корыстных целях

– Разрушение традиционной экономической модели фишинга

• Экономическая модель: специализация предполагает торговлю данными

• Торговля данными требует временных затрат• Одноразовые пароли устаревают ранее, чем их

предполагается использовать1 C. Abad, The economy of phishing, First Monday 10(9), 2005² R. Thomas et al., The underground economy: priceless, USENIX LOGIN, 2006

27

Сравнение методов создания одноразовых паролей

•Пароль на базе счетчика событий– Достоверен до момента использования или до представления нового пароля– Время действия пароля определяется клиентом

•Пароль на базе счетчика времени– Становится недействителен после предопределенного временного интервала

(time window)– Время действия пароля определяет сервер

•Пароль на основе механизма «запрос-ответ»– Только один пароль для любого момента времени (временное окно отсутствует)– Время действия пароля определяется сервером

28

Сравнение одноразовых паролей•Выводы

– Наивысший уровень безопасности: «запрос-ответ» и генерация по времени

– Генерация по времени: наилучший компромисс между безопасностью и удобством использования

Value of compromised credential

Strength of user authentication mechanism

Static passwordCounter-based

One-time passwordTime-based

One-time password

Complexity of attack

Challenge-basedOne-time password

Time/Challenge-basedOne-time password

29

•Назначение: – Одноразовый пароль обеспечивает только аутентификацию пользователя

• Сервер может только определить присутствие подлинного клиента в момент авторизации

• Сервер не может определить модификацию данных после авторизации пользователя

– Электронная подпись обеспечивает аутентификацию транзакций

• Сервер может обнаруживать и игнорировать неаутентичные транзакции

Электронные подписи

End-user MITME-banking

server

1: Username 2: Username

3: One-time password

5: One-time password

4: Error

6: Transaction data

30

Электронные подписи и методы социальной инженерии

• Методы социальной инженерии являются возможным методам атак против электронных подписей

• Атаки с применением приемов социальной инженерии направлены на то, чтобы клиент подписал мошенническую транзакцию

• Применение электронных подписей должно учитывать возможности социальной инженерии

31

Электронные подписи и социальная инженерия (2/2)

• Рекомендация 1:

• В чем опасность:

• Вывод: используйте дополнительное значение– Например, общую сумму транзакции– Например, часть номера счета бенефициара

Не применяйте хэш-код как единственное значение для подписания клиентом

End-user MITME-banking

server

1: Username 2: Username

3: Challenge4: Challenge

5: Response

11: Signature

9: Hash

6: Response

7: Transaction data 8: Altered data

10: Hash

12: Signature

32

Электронные подписи и методы социальной инженерии(3)

• Рекомендация 2:

– Пользователь должен знать, когда нужно предъявить пароль, а когда подпись– В результате пользователь не предоставит подпись при тех операциях, где он привык

использовать пароль

• Рекомендация 3:

– Пользователь будет более внимателен, если предъявление подписи выходит за рамки основных действий

– Например, аутентификация, основанная на оценке рисков (следующие слайды)

Пользователь должен ощущать разницу между входом в систему и подписью

Процесс подписания должен быть по возможности редким событием

33

Аутентификация транзакций на базеоценки рисков

•Противоречие: безопасность или удобство пользователя•Решение: политики безопасности

– Политики определяют, когда и что нуждается в подписании– Применяются на стороне сервера – гибкость в изменении

•Возможные критерии– Сумма транзакции (насколько велика?)– Номер банковского счета бенефициара (использовался ранее?)– Вычисление риск характеристик транзакции

•Результат– Электронная подпись необходима только для транзакций с высоким

уровнем риска• Уплата налогов и счетов, носящая регулярный характер –

подпись не нужна• Перевод средств между счетами самого клиента – подпись не

требуется– Подписание пакета транзакций одной подписью

34

Обеспечение грамотности клиента

•В цепочке средств обеспечения безопасности самое слабое звено – это человек– Предотвратить мошеннические операции только за счет технических средств

невозможно•Обучение пользователей:

– Ни в коем случае не отвечать на письма с просьбой о подключении к системе и передаче персональных данных

– Инсталлировать программное обеспечение только из источника, заслуживающего доверия

– Самостоятельно набирать адреса сайтов или использовать закладки– Проверять правильность работы протокола HTTPS– Стимулировать клиента к установке фаервола и антивирусного ПО

• Например, Barclays UK и F-Secure• Например, Firstrade Securities US и Trend Micro• Например, ABN Amro Netherlands и Kaspersky

– Выполняйте свои собственные инструкции!

• NTA Monitor 2007: Финансовые институты Великобритании не смогли обновить в срок свои SSL-сертификаты в 2007 году

35

Содержание

•Виды атак• Фишинг• Атаки с помощью Spyware • Атака «человек-в-середине» (MITM)

•Статистика мошеннических операций

•Механизмы защиты• Одноразовый пароль• Электронные подписи• Обучение пользователей

•Заключение

36

Заключение

•Мошенничество в онлайн-банкинге постоянно совершенствуется

– Фишинг• Использование альтернативных каналов доставки• Целенаправленный фишинг

– Шпионское ПО• Улучшение маскировки, более широкое применение технологии rootkit• Более совершенные механизмы краж денежных средств

•Необходимость в механизмах строгой аутентификации растет – Безопасные решения существуют– Необходимо сочетать аутентификацию клиента и аутентификацию

транзакции– Необходимо учитывать защиту от методов социальной инженерии

37

Спасибо за внимание!

Вопросы?