REKLAMA

REKLAMA

Kategorie
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Przypomnij hasło
Witaj
Usuń konto
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.

Jak atakowane są banki ?

Kaspersky Lab Polska

REKLAMA

REKLAMA

Artykuł zawiera przegląd metod wykorzystywanych obecnie przez cyberprzestępców do atakowania instytucji finansowych, w szczególności banków. Opisane tu trendy i zagadnienia są kluczowe jeśli chodzi o bezpieczeństwo danych, którymi dysponują współczesne instytucje finansowe Na koniec propozycja kilku sposobów mogących pomóc zapewnić ochronę przed zagrożeniami, które nieodłącznie wiążą się z bankowością online.

Ogólne trendy

REKLAMA

W 2007 roku producenci rozwiązań antywirusowych zauważyli ogromny wzrost liczby szkodliwych programów atakujących banki (finansowe szkodliwe oprogramowanie). Mimo braku jasnych informacji z sektora finansowego świadczy to o wzroście liczby ataków na banki.

REKLAMA

• Twórcy szkodliwego oprogramowania nieustannie zmieniają swoje programy, aby uniemożliwić ich wykrycie przez rozwiązania antywirusowe. Jednak w przypadku niewielkich zmian, producenci rozwiązań bezpieczeństwa wykrywają nowe próbki szkodliwego oprogramowania przy pomocy sygnatur stworzonych dla wcześniejszych wariantów.
•  Ataki bankowe to na ogół wielostopniowy proces obejmujący socjotechnikę, phishing oraz wykorzystanie trojanów downloaderów, które pobierają finansowe szkodliwe oprogramowanie. Przestępcom łatwiej jest zmodyfikować trojany downloadery (które zwykle mają mniejszy rozmiar i są mniej skomplikowane) niż finansowe szkodliwe oprogramowanie.

Zwiększyła się nie tylko liczba szkodliwych programów atakujących instytucje finansowe, ale również liczba szkodników, które potrafią atakować więcej niż jeden bank lub instytucję jednocześnie.

To oznacza, że celem ogromnej większości takich szkodliwych programów jest atakowanie od jednego do trzech banków. Taka taktyka spowodowana jest dużą regionalizacją finansowego szkodliwego oprogramowania - celem tego typu programów jest przeprowadzanie ataków na określone banki lub instytucje w danym regionie. Dlatego poszczególne szkodliwe programy będą atakowały najpopularniejsze banki w regionie, np. Stanach Zjednoczonych, Niemczech, Meksyku czy Wielkiej Brytanii.

Dalszy ciąg materiału pod wideo

REKLAMA

Większość finansowych szkodliwych programów atakuje niewielką liczbę banków. Możemy wyróżnić dwa powody, dla których to właśnie te a nie inne banki stanowią popularny cel ataków: po pierwsze, duża liczba klientów, po drugie stosunkowa łatwość uzyskania uwierzytelnienia umożliwiającego dostęp do kont ze względu na słabe zabezpieczenie.

W 2007 roku wzrosła liczba trojanów tworzonych w celu kradzieży wszystkich danych wprowadzanych do formularzy internetowych. Trojany te atakują najpopularniejsze przeglądarki internetowe, takie jak Internet Explorer, Opera czy Firefox. Naturalnie mogą być wykorzystywane do kradzieży kart kredytowych. Przy pomocy takich szkodników można złamać zabezpieczenia banków - wszystko zależy od stopnia zaawansowania zastosowanych środków bezpieczeństwa. Wiele banków stosujących uwierzytelnienie jednokierunkowe może paść ofiarą stosunkowo prostych ataków.

Unikanie wykrycia

Finansowe szkodliwe programy odzwierciedlają główne trendy dotyczące wektorów infekcji wykorzystywanych przez inne zagrożenia IT - ogromna większość szkodników atakujących banki infekuje maszyny lub systemy podczas surfowania przez użytkownika po stronach internetowych. Chociaż niektóre z takich programów nadal przedostają się na maszyny za pośrednictwem poczty elektronicznej, istnieją wyraźne powody, dla których osoby atakujące instytucje finansowe wolą wykorzystywać do tego celu Internet.

Porady, triki i tutoriale  (Windows XP, Vista, MS Office,) - czytaj na komputer.wieszjak.pl

Po pierwsze, szkodliwe programy dostarczane za pośrednictwem poczty elektronicznej bardziej przyciągają uwagę producentów rozwiązań antywirusowych oraz instytucji finansowych, nie wspominając już o mediach i użytkownikach końcowych. Ukradkowość jest kluczowym czynnikiem decydującym o powodzeniu ataków na instytucje finansowe, dlatego atak typu drive-by download (atak mający miejsce podczas przeglądania stron WWW) przeprowadzony przy użyciu exploitów jest bez wątpienia atrakcyjną metodą. Jeśli użytkownik nie zauważy niczego podejrzanego, będzie korzystał ze swojego komputera tak jak zwykle - w tym przypadku, nadal będzie wprowadzał poufne dane, które mogą zostać skradzione i wykorzystane przez cyberprzestępców.

Drugim czynnikiem - istotnym jeśli chodzi o uniknięcie szybkiego wykrycia przez rozwiązanie antywirusowe - jest to, że szkodliwe programy infekujące systemy za pośrednictwem sieci są umieszczane na serwerze sieciowym. To oznacza, że cyberprzestępcy wykorzystujący te programy w celu przeprowadzania ataków mogą bardzo łatwo modyfikować szkodliwe pliki przy użyciu zautomatyzowanych narzędzi - metoda ta znana jest jako polimorfizm po stronie serwera. W przeciwieństwie do typowego polimorfizmu (gdy algorytm wykorzystywany do modyfikowania kodu jest zawarty w kodzie szkodliwego programu), mechanizm wykorzystywany do modyfikowania szkodliwego oprogramowania nie może być analizowany przez ekspertów z branży antywirusowej, ponieważ znajduje się on na serwerze.

Można naturalnie stworzyć procedury wykrywania generycznego dla programów wykorzystujących polimorfizm po stronie serwera, wymaga to jednak czasu.
Ponadto, niektóre z bardziej zaawansowanych trojanów downloaderów wykorzystywanych do dostarczania finansowego szkodliwego oprogramowania na komputery ulega samozniszczeniu, po tym jak uda im się lub nie pobrać finansowe szkodliwe programy. Naturalnie utrudnia to analizę przeprowadzaną przez specjalistów zajmujących się zwalczaniem szkodliwego oprogramowania.

Muły pieniężne

Wzrost liczby finansowych szkodliwych programów spowodowany jest coraz większą kryminalizacją cyberprzestrzeni polegającą na wykorzystywaniu szkodliwych programów do zarabiania pieniędzy. Cyberprzestępcy muszą w jakiś sposób uzyskać dostęp do skradzionych środków. Naturalnie nie mogą przelać skradzionych pieniędzy na własne konta, ponieważ w ten sposób mogliby zostać łatwo zidentyfikowani i znacznie zwiększyliby ryzyko aresztowania.
W odpowiedzi na wzrost liczby ataków banki zainwestowały więcej czasu, wysiłku i pieniędzy w rozwój mechanizmów wykrywania oszustw i nielegalnej aktywności.

Jednym z zabezpieczeń jest "ogłaszanie alarmu", gdy do podejrzanego regionu na świecie zostanie przelana duża ilość pieniędzy.
W celu obejścia tego zabezpieczenia cyberprzestępcy zaczęli wykorzystywać "muły pieniężne". Muły często werbuje się za pośrednictwem pozornie legalnych ofert pracy - na przykład, cyberprzestępcy mogą ogłosić nabór na "menedżera finansowego". Jeżeli potencjalny muł przyjmie taką ofertę, otrzyma do podpisu dokumenty, tak aby cała procedura wydawała się zgodna z prawem. Muł udostępnia swoje konto bankowe, pozwalając, aby dokonywano na nie przelewów pieniężnych, a następnie przelewa 85% - 90% otrzymanej kwoty dalej przy pomocy takiej usługi jak MoneyGram lub E-Gold. Usługi te wykorzystywane są ze względu na gwarancję anonimowości, która zmniejsza prawdopodobieństwo schwytania cyberprzestępcy. Kwota, jaka pozostaje po przelaniu, stanowi "prowizję" muła - naturalnie są to pieniądze, które zostały zarobione nielegalnie za pośrednictwem phishingu lub finansowego szkodliwego oprogramowania.

Może wydawać się, że muł pieniężny to łatwy sposób zarobienia pieniędzy, i niektóre muły mogą sądzić, że wykonują legalną pracę. Jednak z punktu widzenia prawa osoby te są narzędziem wykorzystywanym do popełnienia przestępstwa, w przeciwieństwie do osób, które padają ofiarą oszustw phishingowych. Muł ryzykuje to, że zostanie wyśledzony i aresztowany, szczególnie gdy mieszka w tym samym państwie co ofiara.

Wykorzystywanie przez cyberprzestępców mułów pieniężnych ma kilka zalet. Po pierwsze, jeżeli muł znajduje się w tym samym państwie co oszust, istnieje mniejsze prawdopodobieństwo, że automatyczne systemy bankowe oznaczą transakcje jako podejrzane. Po drugie, oszust może wykorzystywać kilka mułów i podzielić kwotę, jaka jest do przelania, np. może rozłożyć przelanie 5 000 dolarów na dziesięć transakcji, zamiast jednorazowo przelać całą kwotę 50 000 dolarów. Obniża to prawdopodobieństwo zablokowania transakcji jako potencjalnie podejrzanej oraz zmniejsza straty w przypadku zablokowania jednej czy dwóch transakcji.
Naturalnie, angażowanie mułów pieniężnych niesie ze sobą pewne ryzyko; cyberprzestępcy muszą mieć pewność, że mogą zaufać wybranemu mułowi. W końcu istnieje niewielka gwarancja - lub nie ma żadnej - że muł po prostu nie zniknie z pieniędzmi, które zostały przelane na jego konto.

Phishing

Omawiając zjawisko phishingu, istotne jest jednoznaczne zdefiniowanie tego terminu. W artykule tym phishing definiujemy jako oszukańcze wiadomości - rzekomo pochodzące od organizacji (finansowej) - wysyłane w celu nakłonienia użytkowników do ujawnienia poufnych informacji. Jest to kwestia socjotechniki i jeśli w całą sprawę zamieszane jest szkodliwe oprogramowanie, atak ten nie może być uważany za phishing.

Niekończący się strumień wiadomości phishingowych oraz narzędzia do tworzenia phishingu wyraźnie pokazują, że phishing wciąż jest bardzo skutecznym sposobem nakłaniania użytkowników do ujawnienia swoich danych uwierzytelniających. Wynika to z kilku powodów. Po pierwsze, edukacja użytkowników nie dała pożądanych rezultatów - niektóre osoby wciąż klikają odsyłacze zawarte w wiadomościach phishingowych. Użytkownicy albo nie są świadomi mechanizmów bezpieczeństwa (takich jak https), nie zwracają na nie należytej uwagi, albo po prostu ignorują ostrzeżenia o nieważnych lub podejrzanych certyfikatach na stronie internetowej. Ponadto chcąc zmaksymalizować swoje zyski, cyberprzestępcy nieustannie wymyślają coraz bardziej wyrafinowane metody socjotechniki, aby oszukać bardziej świadomych zagrożeń użytkowników.

Prowadzisz firmę ? Zajrzyj na e-mojafirma.infor.pl/mala-firma

Drugi problem polega na tym, że zabezpieczenia większości instytucji finansowych można złamać bardzo prostym atakiem (phishingowym). Szybki przegląd zabezpieczeń stosowanych przez wiele banków w Stanach Zjednoczonych, Wielkiej Brytanii i w innych państwach pokazuje, że dostęp do systemów bankowości online uzyskiwany jest przy pomocy prostej statycznej nazwy użytkownika i hasła. Cyberprzestępca musi jedynie zdobyć nazwę użytkownika i hasło, aby wykonać niemal każdą transakcję. Kolejny problem z wykorzystywaniem statycznej nazwy użytkownika i hasła wiąże się z tym, że dane można przechowywać, co oznacza, że nieautoryzowani użytkownicy lub cyberprzestępcy nie muszą przetwarzać danych w czasie rzeczywistym - można to zrobić później.

Banki posiadające lepsze polityki bezpieczeństwa będą stosowały co najmniej jedno dynamiczne hasło: jednorazowe hasło ważne tylko w danej sesji. Taka dynamiczna autoryzacja może być wykorzystywana podczas logowania się użytkownika lub podpisywania transakcji, a najlepiej w obu przypadkach. Podejście to uniemożliwia podpisanie transakcji przy pomocy hasła, które straciło ważność. Idealnie byłby, gdyby uniemożliwiało również logowanie.

Aby cyberprzestępca mógł dokonywać transakcji za pośrednictwem phishingu, w przypadku gdy stosowane są hasła dynamiczne, musi przeprowadzić atak typu Man-in-the-Middle. Ten rodzaj ataku zostanie omówiony w dalszej części artykułu. Przeprowadzenie ataku MitM jest o wiele trudniejsze niż stworzenie standardowej strony phishingowej; jednak dzięki zestawom narzędzi MitM przy niewielkim wysiłku cyberprzestępcy mogą przygotować ataki na popularne banki.

Ze względu na rozpowszechnienie phishingu, jest to naturalnie skuteczna metoda ataków. Ataki phishingowe działają na wszystkich popularnych systemach operacyjnych. Jednak z punktu widzenia cyberprzestępców phishing ma jedną wadę: użytkownik może wybrać, czy kliknąć czy nie kliknąć zawarty w wiadomości e-mail odsyłacz, a następnie może zdecydować, czy wprowadzić swoje dane uwierzytelniające.

Możliwość wyboru to nieodłączny element socjotechniki. Podejście techniczne polegające na wykorzystywaniu szkodliwego oprogramowania eliminuje ten element wyboru, co sprawia, że użytkownicy, którzy nie dali się nabrać na oszustwo phishingowe, nadal stanowią realny cel.

Zautomatyzowane ataki

Finansowe szkodliwe programy występują w różnych formach i rozmiarach, a ich celem często są konkretne organizacje. Sposób działania szkodliwych programów zwykle zależy od zabezpieczeń banku. To oznacza, że cyberprzestępcy nie muszą marnować czasu na stworzenie zbyt złożonego szkodliwego oprogramowania. Istnieje kilka metod, przy pomocy których można obejść zabezpieczenia bankowe i przechwycić informacje o użytkowniku.

Jeżeli bank wykorzystuje uwierzytelnienie jednokierunkowe ze statyczną nazwą użytkownika i hasłem, wystarczy tylko przechwycić uderzenia klawiszy. Jednak niektóre banki stworzyły dynamiczne klawiatury i aby wprowadzić hasło użytkownik musi kliknąć "losowo wybraną" sekwencję. Autorzy szkodliwego oprogramowania obchodzą tego typu zabezpieczenia przy pomocy dwóch różnych metod - tworzą zrzuty ekranu w momencie odwiedzania przez użytkownika określonej strony lub gromadzą informacje wysłane na stronę, przechwytując formularz. W obu przypadkach skradzione dane są przetwarzane później.

Uzyskiwanie dostępu do kont komplikuje nieco wykorzystywanie numerów TAN (Transaction Authorisation Numbers) w celu podpisywania transakcji. TAN może pochodzić z fizycznej listy wydawanej posiadaczowi konta (na przykład, w postaci karty-zdrapki) przez instytucję finansową albo może być wysyłany SMS-em. W obu przypadkach, cyberprzestępca nie ma dostępu do numeru TAN. W większości przypadków, wykorzystywane przez cyberprzestępców szkodliwe oprogramowanie przechwytuje informacje wprowadzane przez użytkownika w sposób podobny do opisanego wyżej.

Gdy użytkownik wprowadzi TAN, szkodliwe oprogramowanie przechwyci te dane i wyświetli fałszywy komunikat o błędzie lub wyśle na stronę finansową nieprawidłowy TAN. W rezultacie, użytkownik może wprowadzić inny TAN. Czasami do przeprowadzenia transakcji mogą być wymagane dwa TAN-y - zależy to od organizacji i zaimplementowanych przez nią systemów bezpieczeństwa. Jeśli do dokonania transakcji wymagany jest tylko jeden TAN, opisany wyżej atak mógłby pozwolić cyberprzestępcy na dokonanie dwóch transakcji.

Powodzenie takiego ataku jest w dużym stopniu uzależnione od implementacji systemu TAN. Niektóre systemy nie posiadają daty wygaśnięcia TAN-u; kolejny TAN na liście musi być kolejnym TAN-em, który zostanie użyty. Jeśli kolejny TAN na liście nie zostanie wprowadzony na stronę banku, cyberprzestępca będzie mógł użyć go natychmiast lub zachować do późniejszego wykorzystania. Jednak skradzione TAN-y posiadają krótszy okres życia niż statyczna nazwa użytkownika i hasło ze względu na to, że użytkownik, który stale napotyka na problemy podczas sesji transakcji bankowych online, z pewnością zadzwoni do banku z prośbą o pomoc.

Jeżeli TAN-y są wysyłane do posiadacza konta za pośrednictwem SMS-a, dla każdej unikatowej transakcji może być wydany unikatowy TAN przy użyciu metody podobnej do uwierzytelnienia dwukierunkowego. Od tego momentu cyberprzestępcy muszą rozpocząć przetwarzanie danych w czasie rzeczywistym za pomocą ataku Man-in-the-Middle.

Źródło: Kaspersky LAB

Autopromocja

REKLAMA

Źródło: Własne

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:

REKLAMA

Komentarze(0)

Pokaż:

Uwaga, Twój komentarz może pojawić się z opóźnieniem do 10 minut. Zanim dodasz komentarz -zapoznaj się z zasadami komentowania artykułów.
    QR Code
    Moja firma
    Zapisz się na newsletter
    Zobacz przykładowy newsletter
    Zapisz się
    Wpisz poprawny e-mail
    Koszty zatrudnienia to główne wyzwanie dla firm w 2024 roku. Jak więc pozyskać specjalistów i jednocześnie zadbać o cash flow?

    W pierwszym półroczu 2024 roku wiele firm planuje rozbudowanie swoich zespołów – potwierdzają to niezależne badania ManpowerGroup czy Konfederacji Lewiatan. Jednocześnie pracodawcy mówią wprost - rosnące koszty zatrudnienia to główne wyzwanie w 2024 roku. Jak więc pozyskać specjalistów i jednocześnie zadbać o cash flow?

    Nauka języka obcego poprawi zdolność koncentracji. Ale nie tylko!

    Ostatnia dekada przyniosła obniżenie średniego czasu skupienia u człowieka aż o 28 sekund. Zdolność do koncentracji spada i to wina głównie social mediów. Czy da się to odwrócić? 

    Nowe przepisy: Po świętach rząd zajmie się cenami energii. Będzie bon energetyczny

    Minister klimatu i środowiska Paulina Hennig-Kloska zapowiedziała, że po świętach pakiet ustaw dotyczących cen energii trafi pod obrady rządu. Dodała też, że proces legislacyjny musi zakończyć się w pierwszej połowie maja.

    Wielkanoc 2024. Polacy szykują się na święta przed telewizorem?

    Jaka będzie tegoroczna Wielkanoc? Z badania online przeprowadzonego przez firmę Komputronik wynika, że leniwa. Polacy są zmęczeni i marzą o odpoczynku. 

    REKLAMA

    Biznes kontra uczelnie – rodzaj współpracy, korzyści

    Czy doktorat dla osób ze świata biznesu to synonim synergii? Wielu przedsiębiorców może zadawać sobie to pytanie podczas rozważań nad podjęciem studiów III stopnia. Na ile świat biznesu przenika się ze światem naukowym i gdzie należy szukać wzajemnych korzyści?

    Jak cyberprzestępcy wykorzystują sztuczną inteligencję?

    Hakerzy polubili sztuczną inteligencję. Od uruchomienia ChataGPT liczba złośliwych wiadomości pishingowych wzrosła o 1265%! Warto wiedzieć, jak cyberprzestępcy wykorzystują rozwiązania oparte na AI w praktyce.

    By utrzymać klientów tradycyjne sklepy muszą stosować jeszcze nowocześniejsze techniki marketingowe niż e-commerce

    Konsumenci wciąż wolą kupować w sklepach stacjonarnych produkty spożywcze, kosmetyki czy chemię gospodarczą, bo chcą je mieć od razu, bez czekania na kuriera. Jednocześnie jednak oczekują, że tradycyjne markety zapewnią im taki sam komfort kupowania jak sklepy internetowe.

    Transakcje bezgotówkowe w Polsce rozwijają się bardzo szybko. Gotówka jest wykorzystywana tylko do 35 proc. transakcji

    W Polsce około 2/3 transakcji jest dokonywanych płatnościami cyfrowymi. Pod tym względem nasz kraj jest w światowej czołówce - gotówka jest wykorzystywana tylko do ok. 35 proc. transakcji.

    REKLAMA

    Czekoladowa inflacja (chocoflation) przed Wielkanocą? Trzeci rok z rzędu produkcja kakao jest mniejsza niż popyt

    Ceny kakao gwałtownie rosną, ponieważ 2024 r. to trzeci z rzędu rok, gdy podaż nie jest w stanie zaspokoić popytu. Z analiz Allianz Trade wynika, że cenę za to będą płacić konsumenci.

    Kończy się najostrzejsza zima od 50 lat. Prawie 5 mln zwierząt hodowlanych zginęło z głodu w Mongolii

    Dobiegająca końca zima w Mongolii, najostrzejsza od pół wieku, doprowadziła do śmierci niemal 5 mln kóz, owiec i koni, które nie są w stanie dotrzeć do pożywienia. To duży cios w gospodarkę kraju zamieszkanego przez ok. 3,3 mln ludzi, z których ok. 300 tys. utrzymuje się z hodowli zwierząt - podkreśliło Radio Swoboda.

    REKLAMA