Ataki na banki - techniki hakerów

Przeczytaj także: Jak okradane są konta bankowe?

Roel Schouwenberg zauważa, że wykorzystywanie przez cyberprzestępców mułów pieniężnych ma kilka zalet. Po pierwsze, jeżeli muł znajduje się w tym samym państwie co oszust, istnieje mniejsze prawdopodobieństwo, że automatyczne systemy bankowe oznaczą transakcje jako podejrzane. Po drugie, oszust może wykorzystywać kilka mułów i podzielić kwotę, jaka jest do przelania, np. może rozłożyć przelanie 5 000 dolarów na dziesięć transakcji, zamiast jednorazowo przelać całą kwotę 50 000 dolarów. Obniża to prawdopodobieństwo zablokowania transakcji jako potencjalnie podejrzanej oraz zmniejsza straty w przypadku zablokowania jednej czy dwóch transakcji.

Naturalnie, angażowanie mułów pieniężnych niesie ze sobą pewne ryzyko; cyberprzestępcy muszą mieć pewność, że mogą zaufać wybranemu mułowi. W końcu istnieje niewielka gwarancja - lub nie ma żadnej - że muł po prostu nie zniknie z pieniędzmi, które zostały przelane na jego konto.

Phishing

Omawiając zjawisko phishingu, istotne jest jednoznaczne zdefiniowanie tego terminu. W artykule Kaspersky Lab phishing zdefiniowano jako oszukańcze wiadomości - rzekomo pochodzące od organizacji (finansowej) - wysyłane w celu nakłonienia użytkowników do ujawnienia poufnych informacji. Jest to kwestia socjotechniki i jeśli w całą sprawę zamieszane jest szkodliwe oprogramowanie, atak ten nie może być uważany za phishing.

Zdaniem Roela Schouwenberga niekończący się strumień wiadomości phishingowych oraz narzędzia do tworzenia phishingu wyraźnie pokazują, że phishing wciąż jest bardzo skutecznym sposobem nakłaniania użytkowników do ujawnienia swoich danych uwierzytelniających. Wynika to z kilku powodów. Po pierwsze, edukacja użytkowników nie dała pożądanych rezultatów - niektóre osoby wciąż klikają odsyłacze zawarte w wiadomościach phishingowych. Użytkownicy albo nie są świadomi mechanizmów bezpieczeństwa (takich jak https), nie zwracają na nie należytej uwagi, albo po prostu ignorują ostrzeżenia o nieważnych lub podejrzanych certyfikatach na stronie internetowej. Ponadto chcąc zmaksymalizować swoje zyski, cyberprzestępcy nieustannie wymyślają coraz bardziej wyrafinowane metody socjotechniki, aby oszukać bardziej świadomych zagrożeń użytkowników.

Drugi problem polega na tym, że zabezpieczenia większości instytucji finansowych można złamać bardzo prostym atakiem (phishingowym). Szybki przegląd zabezpieczeń stosowanych przez wiele banków w Stanach Zjednoczonych, Wielkiej Brytanii i w innych państwach pokazuje, że dostęp do systemów bankowości online uzyskiwany jest przy pomocy prostej statycznej nazwy użytkownika i hasła. Cyberprzestępca musi jedynie zdobyć nazwę użytkownika i hasło, aby wykonać niemal każdą transakcję. Kolejny problem z wykorzystywaniem statycznej nazwy użytkownika i hasła wiąże się z tym, że dane można przechowywać, co oznacza, że nieautoryzowani użytkownicy lub cyberprzestępcy nie muszą przetwarzać danych w czasie rzeczywistym - można to zrobić później.

Jak zauważa autor artykułu banki posiadające lepsze polityki bezpieczeństwa będą stosowały co najmniej jedno dynamiczne hasło: jednorazowe hasło ważne tylko w danej sesji. Taka dynamiczna autoryzacja może być wykorzystywana podczas logowania się użytkownika lub podpisywania transakcji, a najlepiej w obu przypadkach. Podejście to uniemożliwia podpisanie transakcji przy pomocy hasła, które straciło ważność. Idealnie byłby, gdyby uniemożliwiało również logowanie.

Aby cyberprzestępca mógł dokonywać transakcji za pośrednictwem phishingu, w przypadku gdy stosowane są hasła dynamiczne, musi przeprowadzić atak typu Man-in-the-Middle. Przeprowadzenie ataku MitM jest o wiele trudniejsze niż stworzenie standardowej strony phishingowej; jednak dzięki zestawom narzędzi MitM przy niewielkim wysiłku cyberprzestępcy mogą przygotować ataki na popularne banki.

Ze względu na rozpowszechnienie phishingu, jest to naturalnie skuteczna metoda ataków. Ataki phishingowe działają na wszystkich popularnych systemach operacyjnych. Jednak z punktu widzenia cyberprzestępców phishing ma jedną wadę: użytkownik może wybrać, czy kliknąć czy nie kliknąć zawarty w wiadomości e-mail odsyłacz, a następnie może zdecydować, czy wprowadzić swoje dane uwierzytelniające.

Możliwość wyboru to nieodłączny element socjotechniki. Podejście techniczne polegające na wykorzystywaniu szkodliwego oprogramowania eliminuje ten element wyboru, co sprawia, że użytkownicy, którzy nie dali się nabrać na oszustwo phishingowe, nadal stanowią realny cel.