Jak atakowane są banki internetowe?

(re-edycja) Banki Internetowe są atakowane, i są atakowane znacznie częściej, niż się o tym i mówi, i pisze. Jak wyglądają scenariusze włamań? Jakich technik używają intruzi? W niniejszym artykule opisane będzie kilka najczęściej używanych przez nich metod działania. Niektóre z nich to metody bardzo trywialne, inne z kolei wymagają zaawansowanych umiejętności informatycznych.

Kradzież dokumentów tożsamości Bardzo trywialny w swojej istocie atak; intruz dokonuje kradzieży dokumentów tożsamości ofiary i z ich użyciem wyłudza z banku rożnego rodzaju informacje, bądź dokonuje zamiany wartości parametrów wykorzystywanych przy dostępie do bankowości internetowej. Udawszy się do banku ze skradzionym dokumentem, intruz może na przykład:

  • poprosić o wydanie nowego pakietu startowego,
  • poposić o wydanie nowego tokena czy nowej karty kodów jednorazowych,
  • dokonać zamiany numeru telefonu komórkowego, na który mają być wysyłane kody autoryzujące.
Z powyższego wynika, że bezpieczenstwo naszego rachunku w banku internetowym jest kolejnym powodem, dla którego, w przypadku zauważenia braku dokumentów tożsamości, należy jak najszybciej zareagować, m. in. blokując dostęp do usług bankowości internetowej.

Kradzież identyfikatorów, haseł, kodów i sprzętu autoryzacyjnego

To kolejna – z tych prymitywnych – metoda ataku, polegająca na kradzieży informacji, zapisanych w postaci jawnej przez klienta bankowości internetowej. Kradzieży mogą podlegać zapisane na nośnikach papierowych bądź elektronicznych (np. w smartfonach, na tabletach czy laptopach) dane typu:
  • kody identyfikacyjne,
  • hasła stałe,
  • sekwencje haseł jednorazowych (np. karty jawnych kodów jednorazowych czy karty-zdrapki), itp.,
Przedmiotem kradzieży mogą być również urządzenia wykorzystywane w procesach autoryzacji, czyli np. tokeny bądź telefony komórkowe, służące do odbierania haseł w postaci SMS-owej.

Oczywiście pozyskanie przez intruza jedynie wybranych spośród powyższych informacji badź urządzeń wcale nie musi automatycznie oznaczać, że dokona on skutecznego ataku na konto internetowe. Może być w szczególności istotnym ułatwieniem, natomiast jeżeli intruz pozyskałby pewien komplet informacji (np. zapisane w skradzionym portfelu kod indentyfikacyjny, hasło stałe i kartę kodów jednorazowych), to sytuacja staje się już bardzo niebezpieczna. A przyzna Czytelnik, że nie jest to wariant niemożliwy.

Phishing, czyli zdalne wyłudzanie informacji

Technika ta polega na pozyskiwaniu pewnych informacji bądź przekierowywaniu do określonych witryn internetowych, ew. skłanianiu do uruchomienia pewnych programów w drodze zdalnego kontaktu z właścicielem rachunku. Narzędziami tu wykorzystywanymi są: korespondencja mailowa, kontakt telefoniczny czy realizacja pewnych prowokacji z wykorzystaniem witryn internetowych.  

Wspólnym mianownikiem powyższych oddziaływań jest ich zdalny charakter; wysłany jest do klienta banku „fałszywy” mail, podstawiana jest specjalnie spreparowana strona internetowa, czy prowokowane jest uruchomienie złośliwego oprogramowania. W konsekwencji rozpoczynany jest atak „man-in-the-middle”, czyli „wtrącenie” się intruza w interakcję pomiędzy klientem a bankiem internetowym, celem pozyskania haseł i kodów autoryzacyjnych. 

Atak “man-in-the-middle”

Tego rodzaju atak bynajmniej nie jest atakiem prymitywnym; wymaga od intruza profesjonalizmu i znajmości sztuki informatycznej.

Po dokonaniu prowokacji, np. techniką phishingową, i skłonieniu ofiary do uruchomienia odpowiedniego oprogramowania, kliknięcia podstawionego linku, wejścia na określoną stronę, itp., atakujący „lokalizuje się” pomiędzy atakowanym a bankiem. Następnie, w czasie rzeczywistym, pośredniczy w wymianie informacji między tymi stronami, pozyskując od nieświadomej ofiary poufne dane autoryzacyjne (hasła, kody jednorazowe) i wykorzystując je do wykonywania własnych operacji, np. do transferu środków na swoje konto. 

Przestępca jest tu więc owym „człowiekiem w środku”, tzn. instancją pomiędzy bankiem a ofiarą, i wykorzystując nieświadomość tejże ofiary, wyłudza tajne hasła czy kody. Intruz wykorzystuje tu spreparowaną stronę internetową, wyglądającą bliźniaczo w stosunku do strony oryginalnej. 

Należy zaznaczyć, że często transmisja pomiędzy intruzem a klientem nie jest szyfrowana, tak aby nie wzbudzić podejrzeń komunikatem przeglądarki o nieznanym certyfikacie witryny. Nie ma więc komunikacji szyfrowanej SSL-em, nie ma przedrostka „https://...” w identyfikatorze URL strony, nie ma owej słynnej zamkniętej „kłódeczki”. To oczywiście zwraca uwagę uważnych. Z drugiej strony, intruz może podstawić swój certyfikat; bezpieczenie skonfigurowana przeglądarka powinna o tym ostrzec, ale – rzecz jasna – użytkownik może takie ostrzeżenie zignorować...

Kompromitacja serwerów nazw - “DNS spoofing”

Jedną z metod sprowokowania klienta do wejścia na niewłaściwą witrynę (czyli na witrynę internetową „udającą” prawdziwą witrynę banku) jest zastosowanie tzw. „DNS spoofing-u”. Osiągnąć to można w szczególności na dwa następujące sposoby:
  • przejmując kontrolę nad serwerem nazw, obsługujacym daną domenę, przy czym nie musi to być żaden z głównych serwerów; z powodzeniem wystarczy kontrola nad serwerem „cache-ującym”, obsługującym np. dane osiedle, czy miejscowość u lokalnego dostawcy internetu,
  • podmieniając lokalny plik z tłumaczeniami nazw domenowych na adresy IP (plik „hosts”) z wykorzystaniem choćby złośliwego oprogramowania, czy innych technik.
Oczywiście opisywana technika służy temu, aby użytkownik, po wpisaniu w przeglądarce poprawnej nazwy domenowej banku, nie trafił do jego witryny, ale do witryny spreparowanej przez intruza. „DNS-spoofing” nie jest łatwy do przeprowadzenia, ale - jak najbardziej – jest możliwy. 

Techniki typu “waterhole”

Techniki typu „waterhole” wykorzystują miejsca internetu, które odwiedzają klienci banków, a więc portale społecznościowe, blogi, portale informacyjne, witryny firm i banków, itp..

Stony te atakowane są przez intruzów, ew. w drodze legalnych dostępów wprowadzane są tam okreslone informacje, linki, programy, których zadaniem jest przekierowanie klienta banku internetowego do fikcyjnej witryny banku, czyli do miejsca, które kontroluje przestępca. A potem realizowany jest atak typu „man-in-the-middle”. 

Ataki na płatności

Przy tego rodzaju technikach, atak skierowany jest na płatność realizowaną np. w sklepie internetowym. Taki skomporomitowany wcześniejszym atakiem portal, zamiast realizować - celem dokonania płatności - przekierowanie do banku internetowego, kieruje klienta do fikcyjnej witryny, spreparowanej przez intruza, a przypominającej witrynę banku. 

I dalej całość odbywa się według scenariusza „man-in-the-middle”.

Ataki typu  “man-in-the-browser”

Współczesne przeglądarki to zaawansowane oprogramowanie, będące m.in. środowiskiem uruchomieniowym. W środowisku tym można uruchamiać różnego rodzaju dodatki, często określane mianem „wtyczek” (plug-in-s). Odpowiednio napisane, służą  przestępcom do ataków typu „man-in-the-middle”. W tym przypadku, pośrednikiem działającym na rzecz intruza, jest właśnie dyskutowana „wtyczka”. Z jej wykorzystaniem przestępca wyłudza tajne informacje, stosowane do dokonywania kradzieży w symultanicznej sesji połączeniowej z prawdziwym bankiem. 

Zainstalowanie takiego wrogiego oprogramowania w środowisku przeglądarki może być zrealizowane bądź z wykorzystniem wirusów, bądź poprzez skłonienie użytkownika przeglądarki do dokonania tego samodzielnie (np. instalowany jest program, który ingeruje w przeglądarke i umieszcza taką wrogą „wtyczkę”, a dzieje się to za zgodą użytkownika).

Ataki maskujące

Na zakończenie trzeba dodać, że często stosowane są w odniesieniu do banków interntowych  równolegle różnorodne techniki ataku. W szczególności może być wykonywany atak typu DOS lub DDOS, aby odwrócić uwagę użytkownika bądź administratorów atakowanego systemu. Może to także np. ułatwić przestępcy wykonywanie symultanicznych ataków w ramach ataku „man-in-the-middle” w czasie rzeczywistym (sztucznie wprowadzając dodatkowe opóźnienia w komunikacji).

Skomentuj

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Wyloguj /  Zmień )

Zdjęcie na Google

Komentujesz korzystając z konta Google. Wyloguj /  Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Wyloguj /  Zmień )

Zdjęcie na Facebooku

Komentujesz korzystając z konta Facebook. Wyloguj /  Zmień )

Połączenie z %s

Stwórz darmową stronę albo bloga na WordPress.com. Autor motywu: Anders Noren.

Up ↑

Create your website at WordPress.com
Rozpocznij
%d blogerów lubi to: