Ataki na banki - techniki hakerów

Przeczytaj także: Jak okradane są konta bankowe?

Następna generacja

Chociaż nad koncepcją ataków MitE dyskutuje się już od wielu lat, dopiero niedawno zaczęto aktywnie wykorzystywać ją w rzeczywistym świecie - czytamy w artykule. W przeciwieństwie do ataku MitM, atak MitE nie wymaga dodatkowego serwera do przechwytywania ruchu pomiędzy klientem a serwerem. Zamiast tego wszystkie zmiany są dokonywane w systemie lokalnym, czyli u ofiary.

Podejście to posiada wiele istotnych zalet. Po pierwsze, istnieje bezpośrednie połączenie z organizacją finansową, dlatego taka transakcja nie zostanie oznakowana tylko dlatego, że użytkownik zalogował się z nieznanego adresu IP. Po drugie, ataki MitE będą skuteczniejsze niż ataki MitM, jeżeli ich celem będzie system posiadający złożone mechanizmy ochrony.

Jeden ze scenariuszy ataków zakłada zainfekowanie systemu za pomocą trojana, którego celem jest przechwycenie całego ruchu HTTPS. Przechwycony ruch jest następnie wysyłany do twórców szkodliwego oprogramowania, dostarczając im schemat strony internetowej. Schemat ten jest następnie wykorzystywany do stworzenia kolejnego trojana.

Cyberprzestępcy wykorzystują zwykle ataki MitE przeciwko bankom stosującym uwierzytelnienie dwukierunkowe, czyli zabezpieczenie, które utrudnia uzyskanie dostępu do rzeczywistego obszaru transakcji na stronie internetowej banku. Z technicznego punktu widzenia opisana wyżej metoda jest skuteczna. Eliminuje również konieczność zwerbowania osoby wewnątrz atakowanej organizacji, która mogłaby przekazać przestępcy ważne dane uwierzytelniające niezbędne do zalogowania się na stronę.

Wykorzystywane w takich atakach trojany często będą mogły otrzymywać dane z serwera, na którym przestępcy przechowują informacje dotyczące numeru konta i kwoty, która ma zostać przelana. Ponieważ działanie to można wykonać dynamicznie, dane mogą zostać wysłane na każdą zainfekowaną maszynę, przy czym każda maszyna będzie przelewała środki do odpowiednich mułów pieniężnych.

Cyberprzestępcy modyfikują warianty szkodliwego oprogramowania należące do tej samej rodziny w zależności od stosowanych przez bank mechanizmów bezpieczeństwa, aby zapewnić jak największą skuteczność ataku. Na przykład, w przypadku jednego banku trojan potajemnie doda dodatkowe informacje, w przypadku innego, potajemnie zastąpi transakcję użytkownika, aby nie wzbudzać podejrzeń.

Rozwiązania

Jak podaje artykuł, instytucje finansowe na całym świecie ponoszą coraz większe straty w wyniku cyberprzestępczości. Zainwestowanie w lepsze zabezpieczenia to duży wydatek. Jest to jednak droga, którą banki będą musiały, prędzej czy później, podążyć. Jak autor wykazał w artykule, cyberprzestępcy mogą bardzo łatwo obejść uwierzytelnienie jednokierunkowe - potrzeba jedynie prostego programu do rejestrowania znaków wprowadzanych z klawiatury. Zachęcające jest zatem to, że wiele banków, które nie stosują uwierzytelnienia dwukierunkowego planuje wdrożenie takiego mechanizmu w najbliższej przyszłości.

Zdanie Roela Schouwenberga wyraźnie zaznacza się następujący trend: wzrost wykorzystywania uwierzytelnienia dwukierunkowego przez instytucje finansowe spowodował zwiększenie się liczby szkodliwych programów potrafiących obejść taką ochronę. To oznacza, że ostateczne przyjęcie uwierzytelnienia dwukierunkowego nie będzie miało znaczącego długotrwałego skutku.

Z drugiej strony, większość banków, które stosują obecnie uwierzytelnienie dwukierunkowe, nie skonfigurowało jeszcze swoich systemów w celu zapewnienia maksymalnego bezpieczeństwa. To oznacza, że nadal istnieje okno możliwości, w którym branża bezpieczeństwa będzie mogła przeciwdziałać działaniom cyberprzestępców.

Jednak z uwierzytelnieniem dwukierunkowym wiąże się podstawowy problem, tzn. nawet gdy sesja jest bezpieczna, cokolwiek zdarzy się podczas takiej sesji, nie zostanie sprawdzone. W celu zwiększenia bezpieczeństwa niezbędna jest dodatkowa forma komunikacji, taka jak wykorzystywanie kryptograficznego tokena lub wiadomości SMS (które zostały już zaimplementowane przez kilka instytucji finansowych). Wiadomości SMS mogą nałożyć ograniczenia na okres ważności TAN-u, numery kont, do jakich uzyskiwany jest dostęp, oraz maksymalną dozwoloną kwotę transakcji.

Naturalnie opisana wyżej metoda może posiadać jeden minus: może spowodować, że twórcy wirusów zaczną tworzyć szkodliwe oprogramowanie działające na urządzeniach otrzymujących wiadomości SMS. Z tego powodu lepszym rozwiązaniem jest token kryptograficzny, ponieważ nie jest możliwe zainstalowanie dodatkowego oprogramowania na takim tokenie. Idealnym rozwiązaniem byłyby oddzielne algorytmy dla logowania się na stronę i podpisywania transakcji.