- Konference Security

Online Banking Fraud
útok a obrana
Michal Tresner
AEC, spol. s r.o.
Útoky na banky od roku 2009
 Množství a síla útoků botnetů cílených na uživatele stagnuje
vs. ZeuS leak 2009 (Money mules problem)
 Pouze 200 bank z 6500 registrovaných instituci (FDIC) bylo
cílem útoků do roku 2014
 48 z 50 top bank bylo cílem útoků opakovaně
 EU banky jsou více zasaženy než US banky (zbytek světa)
18. února 2015
SMS OTP
• Poměrně dlouhou dobu bezpečná metoda
• Mobilní malware odesílá SMS bez vědomí
uživatele
Mobilní
autentizace
2003
Certifikáty
• Snaha o zavedení 2. faktoru (něco vlastním)
• Malware se snadno adaptoval -> odcizení
certifikátu
2006
Login + heslo
• Počátky online bankovnictví
• Jednoduchý malware s funkcí keylogger
2014
1998
Vývoj hlavních autentizačních metod a útoků proti nim
• Opatrně nasazovaná technologie
• Výzva pro tvůrce mobilního malware
Anatomie útoku
1. Příprava kampaně
 Tvorba malware
 Nábor bílých koní (money mule)
 Phishingová kampaň – příprava webu
OBRANA
 Vyhledávání vznikajících hrozeb
 Nástroje a služby pro detekci phishingu
2. Infekce
 Šíření malware
 Emailové přílohy
 Phishingové weby
 Drive-by download
OBRANA
 AV software
 Anti banking malware software
 Vzdělávání uživatelů
3. Sběr citlivých údajů
 Man-in-The-Browser
 Webinjects
 Mobilní malware
 OTP stealer
OBRANA
 Detekce změn v HTML kódu
 Ochrana telefonu pomocí bezpečnostních
aplikací nebo modulů
4. Převzetí účtu a převod peněz
 Přihlášení k cizímu účtu
 Z počítače útočníka
 Přes počítač oběti
 ATS
 Převod prostředků a zametání stop
OBRANA
 WFD, FDS a Adaptivní autentizace
 Biometrická autentizace
 Autentizace a autorizace operací pomocí
speciální mobilní aplikace
Technická opatření a jejich účinnost
Fáze
útoku
Detekce
phishingu
1. Příprava
kampaně
ČÁSTEČNĚ
Speciální
AV
Detekce
webinjectů
2. Infekce
malware
ANO
ČÁSTEČNĚ
3. Sběr
informací
ČÁSTEČNĚ
ANO
4. Přihlášení
a autorizace
ČÁSTEČNĚ
ČÁSTEČNĚ
ANO
Biometrie
FDS
Mobilní
Sec. App.
ČÁSTEČNĚ
ANO
5. Převod
prostředků
6. Zametání
stop
WFD
ANO
ANO
ANO
Příklad - KB Phishing
18. února 2015
Vložení certifikátu
18. února 2015
Výzva k ověření platnosti hesla
18. února 2015
Výzva k zadání OTP
18. února 2015
Jak zabránit popsanému útoku?
 Kód a grafické elementy phishingového webu
 Použití skriptů ke zpracování údajů a zadávání platby
 Jak je použita myš?
 Jaká je rychlost navigace?
 Jaká je rychlost a posloupnost akcí?
 Použití více účtů (nezvyklé IDs) z jednoho stroje
 Přihlášení z nezvyklé lokality v nezvyklém čase za
použití nezvyklé konfigurace stanice, atd.
 Zadání přihlašovacích údajů nezvyklým způsobem
 a další…
Moderní systémy prevence online podvodů
 Moderní systémy kombinují vlastnosti FDS a WFD systémů


Client side komponenty (client based x client less)
Server side engine
 Signature based
+ nízká míra falešných detekcí
– neschopnost reagovat na zero day hrozby a obfuskované webinjecty!
– nutnost sběru a analýzy malware vzorků
 Signature less
+ reaguje na zero day útoky, dynamické a obfuskované webinjecty!
+ nevyžaduje sběr vzorků malware
– vyžaduje částečné manuální vyhodnocení
Některé z používaných technik a detekčních metod:





Detekce phishingu
Detekce webinjectů
Analýza zabezpečení klientské stanice a sítě
Behaviorální analýza
Biometrie (dynamika stisků kláves, dráhy pohybu myši, atd.)
Závěry – lesson learned
 Žádný nástroj nepokrývá všechny typy útoků
 Je potřeba kombinovat nebo mít komplexní
řešení
 Je potřeba disponovat nástroji, které umožňují
hledat anomálie v běžných datech a dávat je
do kontextu s útoky
 Je potřeba uchovávat dostatek dat v detailu
umožňující efektivní vyšetření útoku
Děkuji za pozornost
Dotazy?
Michal Tresner
AEC, spol. s r.o.
[email protected]
16. února 2011