Mobilno RSS Facebook Twitter E-novice Nastavi za domačo stran Dodaj med priljubljene Podcast Rock Radio Pozabljeno geslo Registriraj se Prijava facebook_connect.gif



  • A- A+

25.04.2013      1:44
|

Zlorabe e-bančništva: Za radovedne

  • A- A+

 
Piše: Tadej Vodopivec, Vodja informacijske varnosti, ComTrade.

Vsebinsko nadaljevanje članka iz aktualne številke revije Računalniške novice 8 XVIII (Varno e-bančništvo).

V preteklih kolumnah sem obdelal osnovno zaščito - avtentikacijo uporabnika in strežnika ter zaščito prometa (TLS). Danes bom opisal nekaj tipičnih napadov. Pri večini resničnih napadov je tarča komitent kot človek ali komitentov računalnik.

 

Phishing je napad, kjer napadalec žrtev zvabi na ponarejeno spletno stran, v katero vpiše npr. uporabniško ime in geslo. Napadalec uporabi »ulov« , da bi se v imenu žrtve prijavil na pravo stran. Poznan je primer, ko je napadalec napeljal žrtev na izvoz privatnega ključa certifikata, in poskus prestrezanja enkratnih gesel OTP. Phishing je ena od pod-vrst napada man-in-the-middle (MITM) - napadalec »sedi« med komitentom in banko, kjer bere in spreminja promet. Npr. uporabnikov plačilni nalog spremeni tako, da se denar prenese napadalcu.

 

Največji izziv za omrežnega napadalca MITM je TLS. Da bi ga zaobšel, se »preseli« v brskalnik, kjer je TLS kanal že odšifriran. Postane man-in-the-browser (MITB). Za to mora predhodno vdreti v žrtvin računalnik, tipično s pomočjo zlonamernega bančnega trojanskega konja (primer: Zeus), ki računalnik vključi v botnet, skupino omreženih računalnikov pod nadzorom napadalca. Ko so banke pričele širše uporabljati SMS sporočila za avtentikacijo uporabnika, se je pojavil tudi man-in-the-mobile oz. Zeus-in-the-mobile (MITMo/ZITMo), zlonamerni program na telefonu, »sinhroniziran« z računalnikom, ki prestreže SMS potrditveno kodo in jo posreduje napadalcu.

 

Od 2012 pa so tu ugrabitve namizja in pametne kartice - napadalci s prevaro ali zlonamernim programom pridobijo oddaljeni dostop do žrtvinega računalnika (z vtaknjeno pametno kartico). S keylogger-jem prestrežejo PIN. Sledi nepooblaščen prenos denarja. Tako so bila napadena podjetja – za razliko od fizičnih oseb je tu pametna kartica standardni element zaščite.

 

Pomemben element so denarne mule, ki prejmejo nepooblaščen prenos (včasih zavestno, drugič so tudi same zavedene), ga dvignejo in v gotovini prenesejo anonimnemu napadalcu. Za sodobne zlorabe je značilna organiziranost kriminalne združbe in delitev vlog, poleg mul so tu npr. še kolovodje in avtorji zlonamernega programja, včasih pa se na črnem trgu kar najame vzpostavljen botnet kot storitev.

Za lažje razumevanje podajam nekaj shem napadov.

 

Potek legitimne transakcije

1. Prijava

1.1. Uporabnik se prijavi s certifikatom na pametni kartici

1.2. Dodatno mora vnesti še geslo

2. Vnos podakov (plačilni nalog)

3. Potrditev transakcije (digitalni podpis s cerifikatom na pametni kartici)

 

Phishing

Phishing pokažem na primeru storitve, kjer se uporabnik prijavlja z enkranim geslom OTP, saj je v primeru pravilno implementirane zaščite z TLS avtentikacijo odjemalca s certifikatom na pametni kartici praktično nemogoč.

 

MITB (man-in-the-browser)

Sofisticiran MITB napad na storitev, kjer se za prijavo uporabi enkratno geslo prek TLS. Storitev je brez verifikacije posameznih plačil. Napadalec okuži računalnik žrtve z bančnim trojanskim konjem in si pridobi nadzor nad njim. Nato se aktivira šele, ko uporabnik vnese plačilni nalog, in ga nepooblaščeno spremeni – plačilo preusmeri k sebi oz. k denarni muli.

Poznani so primeri, ko MITB poskrbi tudi za prilagajanje prikaza v pregledu prometa in stanja – nepooblaščenih transakcij in njihovih učinkov (znižanje stanja) ne pokaže uporabniku.

 

Ugrabitev namizja

Napadalec okuži računalnik žrtve z bančnim trojanskim konjem in si pridobi nadzor nad njim. Napadalec ob prijavi uporabnika s keylogger-jem prestreže PIN pametne kartice. Nato prek oddaljenega nadzora namizja vnese in podpiše plačilni nalog za nepooblaščeno transakcijo.

Napad je učinkovit v primeru pametnih kartic in čitalnikov, ki omogočajo vnos PIN prek tipkovnice računalnika. Vnos PIN na zunanjem čitalniku pametnih kartic reši problem – napadalec ne more na daljavo vtipkati PIN v ločen čitalnik pri uporabniku.

 

Resnične zgodbe

Robert Škulj je leta že leta 2002 pokazal koncept MITB, uporabil je BHO (Browser Helper Object) v Microsoftovem IE, da je po tem, ko uporabnik vstopi v storitev, sprožil nepooblaščen plačilni nalog. Zaradi neuspelih pogajanj se je največkrat omenjal v kontekstu NLB in njihove storitev Klik, vendar so bile ranljive vse spletne banke na IE, ki ne uporabljajo potrjevanja transakcij z zunanjim elementom http://goo.gl/Y0zsb. Zgodba se je žal končala tragično, s samomorom.

 

V 2006 smo brali o prvih zlorabah e-bančnih storitev -  phishing stran, ki uporabnika napeljuje k izvozu privatnega ključa certifikata, in zlorabi računalnika z naloženim certifikatom in privatnim ključem na servisu. V letu 2009 smo lahko spet brali o zlorabah, tokrat že naprednejših (bliže konceptu MITB).

 

Leta 2012 beremo o e-bančnih zlorabah pri podjetjih. http://goo.gl/iR0jf , http://goo.gl/5Qlf3

Marca 2013 slovenska policija objavi zaključek akcije, v kateri so prijeli kriminalno združbo, ki je delovala na področju e-bančnih zlorab http://goo.gl/gTNyU.




Povezave:Comtrade.si






KOMENTIRAJ

X


ANKETA
Arhiv anket

Za kateri telefon boste pisali Božičku?










ZADNJE RAČUNALNIŠKE TEŽAVE IN REŠITVE

ZADNJE KOMENTIRANE NOVICE

Samsung Galaxy S8 skoraj zagotovo brez priklj... 7
NubCake  |  nebodo odstranli audio jack-a, to so sam...
Samsung Galaxy S8 skoraj zagotovo brez priklj... 7
NubCake  |  ne čakaj na Samsung, kupi OnePlus 3T, ki...
Apple neposredno utišal govorice o slabi prod... 2
FerdoPiš  |  Lara, ni ti je treba imet. Nihče ne prav...
Tesla Model 3 zgolj z volanom in zaslonom! 1
dselj  |  uff to zgleda grdo
5 kod za odklep skritih možnosti iPhona 1
laracroft  |  ma boga mati. kaj na RN obstaja samo ifo...
RN KANAL




e-novice Želim brezplačno izdajo uredniškega izbora
najboljših računalniških novic na e-mail
Potrdi
(predogled)
(predogled)
(predogled)
(predogled)
(predogled)


100% skrbno bomo varovali vašo zasebnost in odnaročili se boste lahko kadarkoli!
Twitter




V zgornje okence vpišite vaš elektronski naslov, na katerega boste prejeli nadaljna navodila.

Mozilla Firefox

Kliknite na meni Orodja (Tools) in izberite Možnosti (Options)
V zavihku Splošno (Main) v polje Domača stran (Home Page) vpišite naslov rn.si
Kliknite na gumb V redu (OK)

Internet Explorer

Kliknite na meni Orodja (Tools) in izberite Internetne možnosti (Internet Options)
V zavihku Splošno (General) v polje Home Page (Domača stran) vpišite naslov rn.si
Kliknite na gumb V redu (OK)

Chrome

Hkrati pritisnite ALT+F in izberite Možnosti
V zavihku Osnove kliknite na gumb Uporabi trenutno stran
Kliknite na gumb Zapri

Netscape Navigator

Kliknite na meni Tools in izberite Options
V zavihku Main v polje Home Page vpišite naslov rn.si
Kliknite na gumb OK

Opera

Hkrati pritisnite CRTL+F12
Kliknite gumb »Use current«
Kliknite na gumb OK

Safari

Hkrati pritisnite tipki CTRL+","
Izberete zavihek General
Kliknite gumb »Set to current page«

Mozilla Firefox

Hkrati pritisnite tipki CTRL+D
Kliknite na gumb Shrani (Save)

Internet Explorer

Hkrati pritisnite tipki CTRL+D
Kliknite na gumb Dodaj (Add)

Chrome

Hkrati pritisnite tipki CTRL+D
Kliknite na gumb Končano (Finish)

Netscape Navigator

Hkrati pritisnite tipki CTRL+D
Kliknite na gumb OK

Opera

Hkrati pritisnite tipki CTRL+D
Kliknite na gumb OK

Safari

Hkrati pritisnite tipki CTRL+D
Kliknite na gumb OK