Zlorabe e-bančništva: Za radovedne

V preteklih kolumnah sem obdelal osnovno zaščito – avtentikacijo uporabnika in strežnika ter zaščito prometa (TLS). Danes bom opisal nekaj tipičnih napadov. Pri večini resničnih napadov je tarča komitent kot človek ali komitentov računalnik.

Phishing je napad, kjer napadalec žrtev zvabi na ponarejeno spletno stran, v katero vpiše npr. uporabniško ime in geslo. Napadalec uporabi »ulov« , da bi se v imenu žrtve prijavil na pravo stran. Poznan je primer, ko je napadalec napeljal žrtev na izvoz privatnega ključa certifikata, in poskus prestrezanja enkratnih gesel OTP. Phishing je ena od pod-vrst napada man-in-the-middle (MITM) – napadalec »sedi« med komitentom in banko, kjer bere in spreminja promet. Npr. uporabnikov plačilni nalog spremeni tako, da se denar prenese napadalcu.

Največji izziv za omrežnega napadalca MITM je TLS. Da bi ga zaobšel, se »preseli« v brskalnik, kjer je TLS kanal že odšifriran. Postane man-in-the-browser (MITB). Za to mora predhodno vdreti v žrtvin računalnik, tipično s pomočjo zlonamernega bančnega trojanskega konja (primer: Zeus), ki računalnik vključi v botnet, skupino omreženih računalnikov pod nadzorom napadalca. Ko so banke pričele širše uporabljati SMS sporočila za avtentikacijo uporabnika, se je pojavil tudi man-in-the-mobile oz. Zeus-in-the-mobile (MITMo/ZITMo), zlonamerni program na telefonu, »sinhroniziran« z računalnikom, ki prestreže SMS potrditveno kodo in jo posreduje napadalcu.

Od 2012 pa so tu ugrabitve namizja in pametne kartice – napadalci s prevaro ali zlonamernim programom pridobijo oddaljeni dostop do žrtvinega računalnika (z vtaknjeno pametno kartico). S keylogger-jem prestrežejo PIN. Sledi nepooblaščen prenos denarja. Tako so bila napadena podjetja – za razliko od fizičnih oseb je tu pametna kartica standardni element zaščite.

Pomemben element so denarne mule, ki prejmejo nepooblaščen prenos (včasih zavestno, drugič so tudi same zavedene), ga dvignejo in v gotovini prenesejo anonimnemu napadalcu. Za sodobne zlorabe je značilna organiziranost kriminalne združbe in delitev vlog, poleg mul so tu npr. še kolovodje in avtorji zlonamernega programja, včasih pa se na črnem trgu kar najame vzpostavljen botnet kot storitev.

Za lažje razumevanje podajam nekaj shem napadov.

Potek legitimne transakcije

1. Prijava

1.1. Uporabnik se prijavi s certifikatom na pametni kartici

1.2. Dodatno mora vnesti še geslo

2. Vnos podakov (plačilni nalog)

3. Potrditev transakcije (digitalni podpis s cerifikatom na pametni kartici)

Phishing

Phishing pokažem na primeru storitve, kjer se uporabnik prijavlja z enkranim geslom OTP, saj je v primeru pravilno implementirane zaščite z TLS avtentikacijo odjemalca s certifikatom na pametni kartici praktično nemogoč.

MITB (man-in-the-browser)

Sofisticiran MITB napad na storitev, kjer se za prijavo uporabi enkratno geslo prek TLS. Storitev je brez verifikacije posameznih plačil. Napadalec okuži računalnik žrtve z bančnim trojanskim konjem in si pridobi nadzor nad njim. Nato se aktivira šele, ko uporabnik vnese plačilni nalog, in ga nepooblaščeno spremeni – plačilo preusmeri k sebi oz. k denarni muli.

Poznani so primeri, ko MITB poskrbi tudi za prilagajanje prikaza v pregledu prometa in stanja – nepooblaščenih transakcij in njihovih učinkov (znižanje stanja) ne pokaže uporabniku.

Ugrabitev namizja

Napadalec okuži računalnik žrtve z bančnim trojanskim konjem in si pridobi nadzor nad njim. Napadalec ob prijavi uporabnika s keylogger-jem prestreže PIN pametne kartice. Nato prek oddaljenega nadzora namizja vnese in podpiše plačilni nalog za nepooblaščeno transakcijo.

Napad je učinkovit v primeru pametnih kartic in čitalnikov, ki omogočajo vnos PIN prek tipkovnice računalnika. Vnos PIN na zunanjem čitalniku pametnih kartic reši problem – napadalec ne more na daljavo vtipkati PIN v ločen čitalnik pri uporabniku.

Resnične zgodbe

Robert Škulj je leta že leta 2002 pokazal koncept MITB, uporabil je BHO (Browser Helper Object) v Microsoftovem IE, da je po tem, ko uporabnik vstopi v storitev, sprožil nepooblaščen plačilni nalog. Zaradi neuspelih pogajanj se je največkrat omenjal v kontekstu NLB in njihove storitev Klik, vendar so bile ranljive vse spletne banke na IE, ki ne uporabljajo potrjevanja transakcij z zunanjim elementom http://goo.gl/Y0zsb. Zgodba se je žal končala tragično, s samomorom.

V 2006 smo brali o prvih zlorabah e-bančnih storitev – phishing stran, ki uporabnika napeljuje k izvozu privatnega ključa certifikata, in zlorabi računalnika z naloženim certifikatom in privatnim ključem na servisu. V letu 2009 smo lahko spet brali o zlorabah, tokrat že naprednejših (bliže konceptu MITB).

Leta 2012 beremo o e-bančnih zlorabah pri podjetjih. http://goo.gl/iR0jf , http://goo.gl/5Qlf3

Marca 2013 slovenska policija objavi zaključek akcije, v kateri so prijeli kriminalno združbo, ki je delovala na področju e-bančnih zlorab http://goo.gl/gTNyU.