REKLAMA

REKLAMA

Kategorie
Szukaj
Sklep
Kalkulatory
Szkolenia
Załóż konto
Zaloguj się
Nie pamiętam hasła
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Załóż konto Zaloguj się
Przypomnij hasło
Witaj
Usuń konto
Twoje dane
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.
Konto
Serwisy
Strona główna » Moja firma » Biznes » e-Firma » Programy dla firm » Jak atakowane są banki ?

Jak atakowane są banki ?

Subskrybuj nas na Youtube
Dołącz do ekspertów Dołącz do grona ekspertów
04 czerwca 2010, 15:21
Kaspersky Lab Polska

REKLAMA

REKLAMA

Artykuł zawiera przegląd metod wykorzystywanych obecnie przez cyberprzestępców do atakowania instytucji finansowych, w szczególności banków. Opisane tu trendy i zagadnienia są kluczowe jeśli chodzi o bezpieczeństwo danych, którymi dysponują współczesne instytucje finansowe Na koniec propozycja kilku sposobów mogących pomóc zapewnić ochronę przed zagrożeniami, które nieodłącznie wiążą się z bankowością online.

Ogólne trendy

REKLAMA

W 2007 roku producenci rozwiązań antywirusowych zauważyli ogromny wzrost liczby szkodliwych programów atakujących banki (finansowe szkodliwe oprogramowanie). Mimo braku jasnych informacji z sektora finansowego świadczy to o wzroście liczby ataków na banki.

REKLAMA

• Twórcy szkodliwego oprogramowania nieustannie zmieniają swoje programy, aby uniemożliwić ich wykrycie przez rozwiązania antywirusowe. Jednak w przypadku niewielkich zmian, producenci rozwiązań bezpieczeństwa wykrywają nowe próbki szkodliwego oprogramowania przy pomocy sygnatur stworzonych dla wcześniejszych wariantów.
•  Ataki bankowe to na ogół wielostopniowy proces obejmujący socjotechnikę, phishing oraz wykorzystanie trojanów downloaderów, które pobierają finansowe szkodliwe oprogramowanie. Przestępcom łatwiej jest zmodyfikować trojany downloadery (które zwykle mają mniejszy rozmiar i są mniej skomplikowane) niż finansowe szkodliwe oprogramowanie.

Zwiększyła się nie tylko liczba szkodliwych programów atakujących instytucje finansowe, ale również liczba szkodników, które potrafią atakować więcej niż jeden bank lub instytucję jednocześnie.

To oznacza, że celem ogromnej większości takich szkodliwych programów jest atakowanie od jednego do trzech banków. Taka taktyka spowodowana jest dużą regionalizacją finansowego szkodliwego oprogramowania - celem tego typu programów jest przeprowadzanie ataków na określone banki lub instytucje w danym regionie. Dlatego poszczególne szkodliwe programy będą atakowały najpopularniejsze banki w regionie, np. Stanach Zjednoczonych, Niemczech, Meksyku czy Wielkiej Brytanii.

Dalszy ciąg materiału pod wideo

REKLAMA

Większość finansowych szkodliwych programów atakuje niewielką liczbę banków. Możemy wyróżnić dwa powody, dla których to właśnie te a nie inne banki stanowią popularny cel ataków: po pierwsze, duża liczba klientów, po drugie stosunkowa łatwość uzyskania uwierzytelnienia umożliwiającego dostęp do kont ze względu na słabe zabezpieczenie.

W 2007 roku wzrosła liczba trojanów tworzonych w celu kradzieży wszystkich danych wprowadzanych do formularzy internetowych. Trojany te atakują najpopularniejsze przeglądarki internetowe, takie jak Internet Explorer, Opera czy Firefox. Naturalnie mogą być wykorzystywane do kradzieży kart kredytowych. Przy pomocy takich szkodników można złamać zabezpieczenia banków - wszystko zależy od stopnia zaawansowania zastosowanych środków bezpieczeństwa. Wiele banków stosujących uwierzytelnienie jednokierunkowe może paść ofiarą stosunkowo prostych ataków.

Unikanie wykrycia

Finansowe szkodliwe programy odzwierciedlają główne trendy dotyczące wektorów infekcji wykorzystywanych przez inne zagrożenia IT - ogromna większość szkodników atakujących banki infekuje maszyny lub systemy podczas surfowania przez użytkownika po stronach internetowych. Chociaż niektóre z takich programów nadal przedostają się na maszyny za pośrednictwem poczty elektronicznej, istnieją wyraźne powody, dla których osoby atakujące instytucje finansowe wolą wykorzystywać do tego celu Internet.

Porady, triki i tutoriale  (Windows XP, Vista, MS Office,) - czytaj na komputer.wieszjak.pl

Po pierwsze, szkodliwe programy dostarczane za pośrednictwem poczty elektronicznej bardziej przyciągają uwagę producentów rozwiązań antywirusowych oraz instytucji finansowych, nie wspominając już o mediach i użytkownikach końcowych. Ukradkowość jest kluczowym czynnikiem decydującym o powodzeniu ataków na instytucje finansowe, dlatego atak typu drive-by download (atak mający miejsce podczas przeglądania stron WWW) przeprowadzony przy użyciu exploitów jest bez wątpienia atrakcyjną metodą. Jeśli użytkownik nie zauważy niczego podejrzanego, będzie korzystał ze swojego komputera tak jak zwykle - w tym przypadku, nadal będzie wprowadzał poufne dane, które mogą zostać skradzione i wykorzystane przez cyberprzestępców.

Drugim czynnikiem - istotnym jeśli chodzi o uniknięcie szybkiego wykrycia przez rozwiązanie antywirusowe - jest to, że szkodliwe programy infekujące systemy za pośrednictwem sieci są umieszczane na serwerze sieciowym. To oznacza, że cyberprzestępcy wykorzystujący te programy w celu przeprowadzania ataków mogą bardzo łatwo modyfikować szkodliwe pliki przy użyciu zautomatyzowanych narzędzi - metoda ta znana jest jako polimorfizm po stronie serwera. W przeciwieństwie do typowego polimorfizmu (gdy algorytm wykorzystywany do modyfikowania kodu jest zawarty w kodzie szkodliwego programu), mechanizm wykorzystywany do modyfikowania szkodliwego oprogramowania nie może być analizowany przez ekspertów z branży antywirusowej, ponieważ znajduje się on na serwerze.

Można naturalnie stworzyć procedury wykrywania generycznego dla programów wykorzystujących polimorfizm po stronie serwera, wymaga to jednak czasu.
Ponadto, niektóre z bardziej zaawansowanych trojanów downloaderów wykorzystywanych do dostarczania finansowego szkodliwego oprogramowania na komputery ulega samozniszczeniu, po tym jak uda im się lub nie pobrać finansowe szkodliwe programy. Naturalnie utrudnia to analizę przeprowadzaną przez specjalistów zajmujących się zwalczaniem szkodliwego oprogramowania.

Muły pieniężne

Wzrost liczby finansowych szkodliwych programów spowodowany jest coraz większą kryminalizacją cyberprzestrzeni polegającą na wykorzystywaniu szkodliwych programów do zarabiania pieniędzy. Cyberprzestępcy muszą w jakiś sposób uzyskać dostęp do skradzionych środków. Naturalnie nie mogą przelać skradzionych pieniędzy na własne konta, ponieważ w ten sposób mogliby zostać łatwo zidentyfikowani i znacznie zwiększyliby ryzyko aresztowania.
W odpowiedzi na wzrost liczby ataków banki zainwestowały więcej czasu, wysiłku i pieniędzy w rozwój mechanizmów wykrywania oszustw i nielegalnej aktywności.

Jednym z zabezpieczeń jest "ogłaszanie alarmu", gdy do podejrzanego regionu na świecie zostanie przelana duża ilość pieniędzy.
W celu obejścia tego zabezpieczenia cyberprzestępcy zaczęli wykorzystywać "muły pieniężne". Muły często werbuje się za pośrednictwem pozornie legalnych ofert pracy - na przykład, cyberprzestępcy mogą ogłosić nabór na "menedżera finansowego". Jeżeli potencjalny muł przyjmie taką ofertę, otrzyma do podpisu dokumenty, tak aby cała procedura wydawała się zgodna z prawem. Muł udostępnia swoje konto bankowe, pozwalając, aby dokonywano na nie przelewów pieniężnych, a następnie przelewa 85% - 90% otrzymanej kwoty dalej przy pomocy takiej usługi jak MoneyGram lub E-Gold. Usługi te wykorzystywane są ze względu na gwarancję anonimowości, która zmniejsza prawdopodobieństwo schwytania cyberprzestępcy. Kwota, jaka pozostaje po przelaniu, stanowi "prowizję" muła - naturalnie są to pieniądze, które zostały zarobione nielegalnie za pośrednictwem phishingu lub finansowego szkodliwego oprogramowania.

Może wydawać się, że muł pieniężny to łatwy sposób zarobienia pieniędzy, i niektóre muły mogą sądzić, że wykonują legalną pracę. Jednak z punktu widzenia prawa osoby te są narzędziem wykorzystywanym do popełnienia przestępstwa, w przeciwieństwie do osób, które padają ofiarą oszustw phishingowych. Muł ryzykuje to, że zostanie wyśledzony i aresztowany, szczególnie gdy mieszka w tym samym państwie co ofiara.

Wykorzystywanie przez cyberprzestępców mułów pieniężnych ma kilka zalet. Po pierwsze, jeżeli muł znajduje się w tym samym państwie co oszust, istnieje mniejsze prawdopodobieństwo, że automatyczne systemy bankowe oznaczą transakcje jako podejrzane. Po drugie, oszust może wykorzystywać kilka mułów i podzielić kwotę, jaka jest do przelania, np. może rozłożyć przelanie 5 000 dolarów na dziesięć transakcji, zamiast jednorazowo przelać całą kwotę 50 000 dolarów. Obniża to prawdopodobieństwo zablokowania transakcji jako potencjalnie podejrzanej oraz zmniejsza straty w przypadku zablokowania jednej czy dwóch transakcji.
Naturalnie, angażowanie mułów pieniężnych niesie ze sobą pewne ryzyko; cyberprzestępcy muszą mieć pewność, że mogą zaufać wybranemu mułowi. W końcu istnieje niewielka gwarancja - lub nie ma żadnej - że muł po prostu nie zniknie z pieniędzmi, które zostały przelane na jego konto.

Phishing

Omawiając zjawisko phishingu, istotne jest jednoznaczne zdefiniowanie tego terminu. W artykule tym phishing definiujemy jako oszukańcze wiadomości - rzekomo pochodzące od organizacji (finansowej) - wysyłane w celu nakłonienia użytkowników do ujawnienia poufnych informacji. Jest to kwestia socjotechniki i jeśli w całą sprawę zamieszane jest szkodliwe oprogramowanie, atak ten nie może być uważany za phishing.

Niekończący się strumień wiadomości phishingowych oraz narzędzia do tworzenia phishingu wyraźnie pokazują, że phishing wciąż jest bardzo skutecznym sposobem nakłaniania użytkowników do ujawnienia swoich danych uwierzytelniających. Wynika to z kilku powodów. Po pierwsze, edukacja użytkowników nie dała pożądanych rezultatów - niektóre osoby wciąż klikają odsyłacze zawarte w wiadomościach phishingowych. Użytkownicy albo nie są świadomi mechanizmów bezpieczeństwa (takich jak https), nie zwracają na nie należytej uwagi, albo po prostu ignorują ostrzeżenia o nieważnych lub podejrzanych certyfikatach na stronie internetowej. Ponadto chcąc zmaksymalizować swoje zyski, cyberprzestępcy nieustannie wymyślają coraz bardziej wyrafinowane metody socjotechniki, aby oszukać bardziej świadomych zagrożeń użytkowników.

Prowadzisz firmę ? Zajrzyj na e-mojafirma.infor.pl/mala-firma

Drugi problem polega na tym, że zabezpieczenia większości instytucji finansowych można złamać bardzo prostym atakiem (phishingowym). Szybki przegląd zabezpieczeń stosowanych przez wiele banków w Stanach Zjednoczonych, Wielkiej Brytanii i w innych państwach pokazuje, że dostęp do systemów bankowości online uzyskiwany jest przy pomocy prostej statycznej nazwy użytkownika i hasła. Cyberprzestępca musi jedynie zdobyć nazwę użytkownika i hasło, aby wykonać niemal każdą transakcję. Kolejny problem z wykorzystywaniem statycznej nazwy użytkownika i hasła wiąże się z tym, że dane można przechowywać, co oznacza, że nieautoryzowani użytkownicy lub cyberprzestępcy nie muszą przetwarzać danych w czasie rzeczywistym - można to zrobić później.

Banki posiadające lepsze polityki bezpieczeństwa będą stosowały co najmniej jedno dynamiczne hasło: jednorazowe hasło ważne tylko w danej sesji. Taka dynamiczna autoryzacja może być wykorzystywana podczas logowania się użytkownika lub podpisywania transakcji, a najlepiej w obu przypadkach. Podejście to uniemożliwia podpisanie transakcji przy pomocy hasła, które straciło ważność. Idealnie byłby, gdyby uniemożliwiało również logowanie.

Aby cyberprzestępca mógł dokonywać transakcji za pośrednictwem phishingu, w przypadku gdy stosowane są hasła dynamiczne, musi przeprowadzić atak typu Man-in-the-Middle. Ten rodzaj ataku zostanie omówiony w dalszej części artykułu. Przeprowadzenie ataku MitM jest o wiele trudniejsze niż stworzenie standardowej strony phishingowej; jednak dzięki zestawom narzędzi MitM przy niewielkim wysiłku cyberprzestępcy mogą przygotować ataki na popularne banki.

Ze względu na rozpowszechnienie phishingu, jest to naturalnie skuteczna metoda ataków. Ataki phishingowe działają na wszystkich popularnych systemach operacyjnych. Jednak z punktu widzenia cyberprzestępców phishing ma jedną wadę: użytkownik może wybrać, czy kliknąć czy nie kliknąć zawarty w wiadomości e-mail odsyłacz, a następnie może zdecydować, czy wprowadzić swoje dane uwierzytelniające.

Możliwość wyboru to nieodłączny element socjotechniki. Podejście techniczne polegające na wykorzystywaniu szkodliwego oprogramowania eliminuje ten element wyboru, co sprawia, że użytkownicy, którzy nie dali się nabrać na oszustwo phishingowe, nadal stanowią realny cel.

Zautomatyzowane ataki

Finansowe szkodliwe programy występują w różnych formach i rozmiarach, a ich celem często są konkretne organizacje. Sposób działania szkodliwych programów zwykle zależy od zabezpieczeń banku. To oznacza, że cyberprzestępcy nie muszą marnować czasu na stworzenie zbyt złożonego szkodliwego oprogramowania. Istnieje kilka metod, przy pomocy których można obejść zabezpieczenia bankowe i przechwycić informacje o użytkowniku.

Jeżeli bank wykorzystuje uwierzytelnienie jednokierunkowe ze statyczną nazwą użytkownika i hasłem, wystarczy tylko przechwycić uderzenia klawiszy. Jednak niektóre banki stworzyły dynamiczne klawiatury i aby wprowadzić hasło użytkownik musi kliknąć "losowo wybraną" sekwencję. Autorzy szkodliwego oprogramowania obchodzą tego typu zabezpieczenia przy pomocy dwóch różnych metod - tworzą zrzuty ekranu w momencie odwiedzania przez użytkownika określonej strony lub gromadzą informacje wysłane na stronę, przechwytując formularz. W obu przypadkach skradzione dane są przetwarzane później.

Uzyskiwanie dostępu do kont komplikuje nieco wykorzystywanie numerów TAN (Transaction Authorisation Numbers) w celu podpisywania transakcji. TAN może pochodzić z fizycznej listy wydawanej posiadaczowi konta (na przykład, w postaci karty-zdrapki) przez instytucję finansową albo może być wysyłany SMS-em. W obu przypadkach, cyberprzestępca nie ma dostępu do numeru TAN. W większości przypadków, wykorzystywane przez cyberprzestępców szkodliwe oprogramowanie przechwytuje informacje wprowadzane przez użytkownika w sposób podobny do opisanego wyżej.

Gdy użytkownik wprowadzi TAN, szkodliwe oprogramowanie przechwyci te dane i wyświetli fałszywy komunikat o błędzie lub wyśle na stronę finansową nieprawidłowy TAN. W rezultacie, użytkownik może wprowadzić inny TAN. Czasami do przeprowadzenia transakcji mogą być wymagane dwa TAN-y - zależy to od organizacji i zaimplementowanych przez nią systemów bezpieczeństwa. Jeśli do dokonania transakcji wymagany jest tylko jeden TAN, opisany wyżej atak mógłby pozwolić cyberprzestępcy na dokonanie dwóch transakcji.

Powodzenie takiego ataku jest w dużym stopniu uzależnione od implementacji systemu TAN. Niektóre systemy nie posiadają daty wygaśnięcia TAN-u; kolejny TAN na liście musi być kolejnym TAN-em, który zostanie użyty. Jeśli kolejny TAN na liście nie zostanie wprowadzony na stronę banku, cyberprzestępca będzie mógł użyć go natychmiast lub zachować do późniejszego wykorzystania. Jednak skradzione TAN-y posiadają krótszy okres życia niż statyczna nazwa użytkownika i hasło ze względu na to, że użytkownik, który stale napotyka na problemy podczas sesji transakcji bankowych online, z pewnością zadzwoni do banku z prośbą o pomoc.

Jeżeli TAN-y są wysyłane do posiadacza konta za pośrednictwem SMS-a, dla każdej unikatowej transakcji może być wydany unikatowy TAN przy użyciu metody podobnej do uwierzytelnienia dwukierunkowego. Od tego momentu cyberprzestępcy muszą rozpocząć przetwarzanie danych w czasie rzeczywistym za pomocą ataku Man-in-the-Middle.

Źródło: Kaspersky LAB

Autopromocja

REKLAMA

Źródło: Własne
Wersja do druku
Napisz do nas
Zapisz się na newsletter

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:

REKLAMA

QR Code
Moja firma
Zapisz się na newsletter
Zobacz przykładowy newsletter
Zapisz się
Wpisz poprawny e-mail
Dostawa jedzenia w majówkę nie musi być tylko do domu
26 kwi 2024

Majówka w tym roku, przy dobrej organizacji urlopu, może mieć aż 9 dni. Część Polaków decyduje się na taki długi wyjazd, sporo planuje wziąć dodatkowe wolne tylko 2 maja i też wyjechać, część będzie odpoczywać w domu. Będziemy jadać w restauracjach, gotować czy zamawiać jedzenie na wynos?
Jaki jest sekret sukcesu rodzinnych firm?
26 kwi 2024

Magazyn "Forbes" regularnie publikuje listę 100 najbogatszych Polaków. W pierwszej dziesiątce tegorocznego zestawienia jest kilku przedsiębiorców działających w firmach rodzinnych. Jaka jest ich recepta na sukces? 
Skuteczne kierowanie rozproszonym zespołem w branży medycznej
26 kwi 2024

Zarządzanie zespołem w branży medycznej to zadanie, które wymaga nie tylko specjalistycznej wiedzy, ale też głębokiego zrozumienia dynamiki interpersonalnej i psychologii pracy. Jako przedsiębiorca i założyciel BetaMed S.A., zawsze stawiałam przede wszystkim na rozwój kompetencji kierowniczych, które bezpośrednio przekładały się na jakość opieki nad pacjentami i atmosferę panującą w zespole.
GUS: Wzrósł indeks kosztów zatrudnienia. Czy wzrost kosztów pracy może być barierą w prowadzeniu działalności gospodarczej?
25 kwi 2024

GUS podał, że w IV kwartale 2023 r. indeks kosztów zatrudnienia wzrósł o 1,9 proc. kdk i 12,8 proc. rdr. Mimo to zmniejszył się udział firm sygnalizujących, że wzrost kosztów pracy lub presji płacowej może być w najbliższym półroczu barierą w prowadzeniu działalności gospodarczej.

REKLAMA

Biznesowy sukces na rynku zdrowia? Sprawdź, jak się wyróżnić
25 kwi 2024

W Polsce obserwujemy rosnącą liczbę firm, które specjalizują się w usługach związanych ze zdrowiem, urodą i branżą wellness. Właściciele starają się wyjść naprzeciw oczekiwaniom klientów i jednocześnie wyróżnić na rynku. Jak z sukcesami prowadzić biznes w branży medycznej? Jest kilka sposobów. 
Wakacje składkowe. Dla kogo i jak z nich skorzystać?
24 kwi 2024

Sejmowe komisje gospodarki i polityki społecznej wprowadziły poprawki redakcyjne i doprecyzowujące do projektu ustawy. Projekt ten ma na celu umożliwić przedsiębiorcom tzw. "wakacje składkowe", czyli przerwę od płacenia składek ZUS.
Czego najbardziej boją się przedsiębiorcy prowadzący małe biznesy? [BADANIE]
23 kwi 2024

Czego najbardziej boją się małe firmy? Rosnących kosztów prowadzenia działalności i nierzetelnych kontrahentów. A czego najmniej? Najnowsze badanie UCE RESEARCH przynosi odpowiedzi. 
AI nie zabierze ci pracy, zrobi to człowiek, który potrafi z niej korzystać
23 kwi 2024

Jak to jest z tą sztuczną inteligencją? Zabierze pracę czy nie? Analitycy z firmy doradczej IDC twierdzą, że jednym z głównych powodów sięgania po AI przez firmy jest potrzeba zasypania deficytu na rynku pracy.

REKLAMA

Niewypłacalność przedsiębiorstw. Od początku roku codziennie upada średnio 18 firm
23 kwi 2024

W pierwszym kwartale 2023 r. niewypłacalność ogłosiło 1635 firm. To o 31% więcej niż w tym okresie w ubiegłym roku i 35% wszystkich niewypłacalności ogłoszonych w 2023 r. Tak wynika z raportu przygotowanego przez ekonomistów z firmy Coface.  
Rosnące płace i spadająca inflacja nic nie zmieniają: klienci patrzą na ceny i kupują więcej gdy widzą okazję
22 kwi 2024

Trudne ostatnie miesiące i zmiany w nawykach konsumentów pozostają trudne do odwrócenia. W okresie wysokiej inflacji Polacy nauczyli się kupować wyszukując promocje i okazje cenowe. Teraz gdy inflacja spadła, a na dodatek rosną wynagrodzenia i klienci mogą sobie pozwolić na więcej, nawyk szukania niskich cen pozostał.

REKLAMA