- Konference Security
Transkript
- Konference Security
Online Banking Fraud útok a obrana Michal Tresner AEC, spol. s r.o. Útoky na banky od roku 2009 Množství a síla útoků botnetů cílených na uživatele stagnuje vs. ZeuS leak 2009 (Money mules problem) Pouze 200 bank z 6500 registrovaných instituci (FDIC) bylo cílem útoků do roku 2014 48 z 50 top bank bylo cílem útoků opakovaně EU banky jsou více zasaženy než US banky (zbytek světa) 18. února 2015 SMS OTP • Poměrně dlouhou dobu bezpečná metoda • Mobilní malware odesílá SMS bez vědomí uživatele Mobilní autentizace 2003 Certifikáty • Snaha o zavedení 2. faktoru (něco vlastním) • Malware se snadno adaptoval -> odcizení certifikátu 2006 Login + heslo • Počátky online bankovnictví • Jednoduchý malware s funkcí keylogger 2014 1998 Vývoj hlavních autentizačních metod a útoků proti nim • Opatrně nasazovaná technologie • Výzva pro tvůrce mobilního malware Anatomie útoku 1. Příprava kampaně Tvorba malware Nábor bílých koní (money mule) Phishingová kampaň – příprava webu OBRANA Vyhledávání vznikajících hrozeb Nástroje a služby pro detekci phishingu 2. Infekce Šíření malware Emailové přílohy Phishingové weby Drive-by download OBRANA AV software Anti banking malware software Vzdělávání uživatelů 3. Sběr citlivých údajů Man-in-The-Browser Webinjects Mobilní malware OTP stealer OBRANA Detekce změn v HTML kódu Ochrana telefonu pomocí bezpečnostních aplikací nebo modulů 4. Převzetí účtu a převod peněz Přihlášení k cizímu účtu Z počítače útočníka Přes počítač oběti ATS Převod prostředků a zametání stop OBRANA WFD, FDS a Adaptivní autentizace Biometrická autentizace Autentizace a autorizace operací pomocí speciální mobilní aplikace Technická opatření a jejich účinnost Fáze útoku Detekce phishingu 1. Příprava kampaně ČÁSTEČNĚ Speciální AV Detekce webinjectů 2. Infekce malware ANO ČÁSTEČNĚ 3. Sběr informací ČÁSTEČNĚ ANO 4. Přihlášení a autorizace ČÁSTEČNĚ ČÁSTEČNĚ ANO Biometrie FDS Mobilní Sec. App. ČÁSTEČNĚ ANO 5. Převod prostředků 6. Zametání stop WFD ANO ANO ANO Příklad - KB Phishing 18. února 2015 Vložení certifikátu 18. února 2015 Výzva k ověření platnosti hesla 18. února 2015 Výzva k zadání OTP 18. února 2015 Jak zabránit popsanému útoku? Kód a grafické elementy phishingového webu Použití skriptů ke zpracování údajů a zadávání platby Jak je použita myš? Jaká je rychlost navigace? Jaká je rychlost a posloupnost akcí? Použití více účtů (nezvyklé IDs) z jednoho stroje Přihlášení z nezvyklé lokality v nezvyklém čase za použití nezvyklé konfigurace stanice, atd. Zadání přihlašovacích údajů nezvyklým způsobem a další… Moderní systémy prevence online podvodů Moderní systémy kombinují vlastnosti FDS a WFD systémů Client side komponenty (client based x client less) Server side engine Signature based + nízká míra falešných detekcí – neschopnost reagovat na zero day hrozby a obfuskované webinjecty! – nutnost sběru a analýzy malware vzorků Signature less + reaguje na zero day útoky, dynamické a obfuskované webinjecty! + nevyžaduje sběr vzorků malware – vyžaduje částečné manuální vyhodnocení Některé z používaných technik a detekčních metod: Detekce phishingu Detekce webinjectů Analýza zabezpečení klientské stanice a sítě Behaviorální analýza Biometrie (dynamika stisků kláves, dráhy pohybu myši, atd.) Závěry – lesson learned Žádný nástroj nepokrývá všechny typy útoků Je potřeba kombinovat nebo mít komplexní řešení Je potřeba disponovat nástroji, které umožňují hledat anomálie v běžných datech a dávat je do kontextu s útoky Je potřeba uchovávat dostatek dat v detailu umožňující efektivní vyšetření útoku Děkuji za pozornost Dotazy? Michal Tresner AEC, spol. s r.o. [email protected] 16. února 2011