Ako „hacknúť“ e-banku?

Ako „hacknúť“ e-banku?

Alebo, ako používať e-banku a nestať sa obeťou podvodníkov

Ako som už uviedol v inom článku, v dnešnej dobe sa za vlastníctvo, okrem hmotných statkov,  považujú aj nehmotné statky a práva. V digitálnej ére  sú to špecificky tzv.  “informačné aktíva”.

Ak sa čas od času vyskytla snaha podvodníkov získať finančný prospech z informačných aktív, ktoré pre ich vlastníkov, svojich klientov, spravujú banky, tak mi novinári, ako šéfovi bezpečnosti nemenovanej veľkej banky, často kládli otázku, ako sa konkrétna udalosť vlastne stala, aká bola podstata útoku a čo takému činu mohlo zabrániť. Pokúsim sa zhrnúť základné vektory útoku na systémy elektronického bankovníctva v súčasnosti.

Vopred zdôrazním, že nadpis článku je úmyselne zavádzajúci. V drvivej väčšine prípadov sa totiž vôbec nejedná o žiadne sofistikované prieniky a prelomenie ochrany sieťového perimetra banky, ale najmä o krádeže identít, v kombinácii s technikami sociálneho inžinierstva.

 

Banky, podvodníci a hackeri

Verte, že banky vynakladajú nemalé prostriedky na minimalizáciu rizík a na ochranu pred možnými útokmi na aktíva klientov. Každá, i tá najnevinnejšie vyzerajúca kompromitácia má prinajmenšom dopad na dobré meno banky. Toto riziko sa nazýva reputačné. Hodnotenie reputačného rizika je predmetom každodenného procesu riadenia rizík banky. Ani čiastočnú stratu reputácie   si žiadna banka pri tomto citlivom podnikaní nemôže dovoliť, pretože by tým prišla o  potenciálny zisk. Úspešný útok na banku by okrem vzniknutej straty mohol zároveň viesť aj ku obrovským pokutám zo strany regulátora finančného trhu, v extrémnych prípadoch až ku odobratiu bankovej licencie.

Kontinuálne hodnotenie IT rizík je preto povinnou súčasťou vnútorných procesov bánk. No napriek tomu, že manažment IT rizík je do detailov prepracovaný proces, majú banky istú nevýhodu – a tou je časový paradox ochrany informačných aktív.  Banky si musia byť vedomé súčasnej i budúcej hodnoty informačných aktív, obdobia, počas ktorého ich chcú chrániť a zároveň musia kalkulovať so súčasnými nákladmi, ktoré sú potrebné na implementáciu protiopatrení. Do hodnotenia rizika je potrebné zahrnúť odhad hodnoty informačných aktív pre útočníkov a cenu, za ktorú môžu útočníci nasadenú ochranu prelomiť.

Rozpor spočíva v tom, že kým za bezpečnostné opatrenia je potrebné zaplatiť ihneď, útočníci môžu s útokom počkať až do doby, keď sa útok stane pre nich efektívnejším. Útočníci majú na svoj útok čas, banky čas na protiopatrenia nemajú. V tomto budú mať útočníci vždy „navrch“, pretože sú v predstihu.

Všimnite si, že sa vyhýbam výrazu „hackeri“. Pretože za „hackera“ (po slovensky tiež v menej používanom výraze „prienikára“ ) je považovaný odhodlaný vonkajší útočník, ktorý disponuje príslušnými zručnosťami na prelomenie ochrany sieťového perimetra technickými prostriedkami. Teda človek, ktorý je natoľko technicky zdatný, že aj bez podvádzania dokáže získať dostatočné prístupové práva ku interným systémom banky z externého prostredia. Sociálne inžinierstvo, zavádzanie, falošné jednanie, vydávanie sa za cudziu osobu, oklamanie klienta a manipulácia s mienkou klienta nepochybne nie sú technickými zručnosťami. Podvodník nie je hacker. A v mnohých ohľadoch to platí aj naopak. 

Vektory útokov

Priestor útoku (anglicky „attack surface“) je súhrn všetkých vstupno-výstupných bodov virtuálneho prostredia, prostredníctvom ktorých sa neoprávnený užívateľ t.j. útočník môže pokúsiť zadať údaje alebo extrahovať dáta z tohto prostredia. Vektor útoku je teda v prenesenom zmysle každá cesta, každý spôsob, každá zraniteľnosť, alebo každý technický prostriedok, ktorý  útočník môže zneužiť na neoprávnený prístup k informačným aktívam.

Aktivita klienta v systéme elektronického bankovníctva je v prvom kroku založená na autentizácii používateľa. Autentizácia (anglicky „authentication“) je proces overenia totožnosti používateľa, t.j. zistenie, či je identita, ktorú používateľ uviedol, naozaj pravá. V prípade elektronického bankovníctva je dokonca zákonnou povinnosťou banky overiť vašu totožnosť. Bez overenia identity sa klient do systému neprihlási. Bodka.

Tu je skrytá podstata snahy tých, ktorí sa chcú neoprávnene dostať ku peniazom klientov. Uvažujú nasledujúcou logikou: „ak sa nám podarí presvedčiť e-banku, že my sme legálny klient, budeme môcť disponovať klientovými finančnými prostriedkami na jeho účte“. Ako to však dosiahnuť?

„Klasický“ phishing

Podmienkou pre to, aby mohol byť tento typ zločinu vykonaný je, že útočník vopred pripraví čo najdokonalejšiu kópiu pôvodného servera elektronického bankovníctva príslušnej banky. Čím viac sa táto kópia podobá na pôvodnú stránku EB, tým väčšia je šanca, že sa nepozorný klient nachytá.

V druhom kroku útočník rozpošle na veľké množstvo e-mailových adries tzv. „phishing“ maily, v ktorých sa vydáva za banku a v mene banky žiada klientov o prihlásenie sa na adresu podhodeného falošného EB servera. Zdôvodnenia bývajú rôzne – od nutnosti akejsi technickej údržby, až po výstrahu pred možným vírusom, s odporúčaním na zmenu hesla. Dôležité je čo najviac napodobniť bankový slang a čo najracionálnejšie zdôvodniť potrebu prihlásenia sa na podhodenú URL adresu.

V treťom kroku sa klient nachytá. V dobrej viere, že kliknutím na podhodenú linku sa prihlási na EB server svojej banky, sa v skutočnosti dostane iba na prihlasovací formulár falošného servera, ktorého jedinou úlohou je odchytiť klientove prihlasovacie údaje a odoslať ich na zberný server útočníka (tzv. „drop-down“ server).

Posledný krok je samozrejmý – útočník sa pomocou odcudzených prihlasovacích údajov prihlási do elektronického bankovníctva v mene klienta a zadá reálny prevodný príkaz. Ako číslo účtu prijímateľa útočníci používajú väčšinou tzv. „biele kone“.

Pojmom „biely kôň“ sa slangovo označuje človek, ktorý je nastrčený, aby zakryl osobu skutočného páchateľa. K úlohe bieleho koňa býva osoba často donútená násilím, ale môže sa jednať aj o osobu naivnú, či nevzdelanú, ktorá nemusí tušiť, že sa dopúšťa trestnej činnosti. Často sú ako biele kone používané osoby, ktoré vzhľadom k ich veku alebo duševnému stavu súd posudzuje mierne, alebo od ich potrestania upustí. 

Schéma vektora útoku typu „phishing“ je na nasledujúcom obrázku: 

phising

Použitie tohto vektora útoku má pre útočníkov istú podstatnú nevýhodu. Všetky známe banky používajú pre autentizáciu používateľov, ako aj pre autorizáciu transakcií jednorazové, dynamické heslo (anglicky: „one time password“ – OTP).  Väčšina z bánk používa viacfaktorovú autentizáciu a niektoré z bánk majú nasadené aj ďalšie doplnkové systémy na odhalenie prípadného podvodného konania. Servery a sieťové zariadenia bánk sú ošetrené dostatočne. Bez čiastočnej manipulácie klienta to teda nepôjde.

MITM  (Man In The Middle) – „človek uprostred“

Aj tu je pre vykonanie zločinu podmienkou existencia dokonalej kópie pôvodného servera elektronického bankovníctva príslušnej banky. Okrem toho je potrebné, aby mal útočník pripravenú aj falošnú kópiu klientskeho softvéru EB a zároveň, aby mal k dispozícii mechanizmus na presmerovanie pôvodnej šifrovanej komunikácie medzi klientom a serverom. Tým nástrojom je škodlivý kód typu „trójsky kôň“, ktorým musí byť klient banky už skôr infikovaný.

Odchytenie a dešifrovanie komunikácie pri MITM útoku vyzerá nasledovne:

 MITM

V druhom kroku sa síce klient v dobrej viere prihlasuje na adresu pôvodného EB servera svojej banky, no vďaka trójskemu koňovi, ktorý ovláda útočník, je celá komunikácia v nešifrovanej podobe k dispozícii útočníkovi, ktorý tak môže pozmeniť ktorýkoľvek údaj, ktorý klient odosiela do banky.  Samozrejme, predmetom zmeny sú číslo účtu prijímateľa a odosielaná suma. 

Posledný krok je podobný, ako v prípade phishingu – do elektronického bankovníctva sa síce prihlasuje klient a zadáva reálny prevodný príkaz. To však ešte netuší, že údaje, ktoré odoslal, budú odlišné od tých, ktoré banka prijme, pretože medzitým boli pozmenené  zo strany útočníka. Ako číslo účtu prijímateľa, útočníci používajú opäť tzv. „biele kone“.

MITB  (Man In The Browser) – „človek v prehliadači“

MITB útok už patrí k tým sofistikovanejším, i keď aj pri tomto útoku sa útočník spolieha na určitú mieru nezodpovednosti klienta.

Útočník sa musí najprv postarať o to, aby bol klientov počítač infiltrovaný špecializovaným trójskym koňom, prispôsobeným práve na útoky voči bankám. To je zvyčajne založené na predpoklade, že klientov počítač nie je chránený žiadnym zo štandardných antivírových programov.

Klient sa prihlasuje na skutočnú stránku elektronického bankovníctva svojej banky. Trójsky kôň sa postará o to, že do pôvodného obsahu webového formulára, ktorý vidí klient, je v pozadí bez vedomia klienta nainjektovaný pozmenený obsah. Ako zvyčajne, predmetom zmeny sú číslo účtu prijímateľa a odosielaná suma. Klient odošle platobný príkaz, netušiac, že do banky odosiela niečo iné, než vidí.

Schéma vektora útoku typu MITB je na nasledujúcom obrázku: 

MITB

Aby útočník oklamal autorizačný mechanizmus, snaží sa trójskeho koňa v infikovanom počítači zabezpečiť aj to, že autorizačná SMS je poslaná na iné číslo, než je predvolené mobilné telefónne číslo klienta. Prípadne, ak sa spoľahne na nedbalosť, alebo nepozornosť klienta, tak si riskne aj takú možnosť, že klient platbu potvrdí, napriek tomu, že je chybná – o čom svedčia aj pozmenené údaje v autorizačnej SMS.

Spýtate sa, čo ak banka používa pre autorizáciu platieb iný mechanizmus, napríklad údaje SW tokenu? Drzosť útočníkov nepozná hraníc. Vyskytli sa aj také prípady, že podvodníci ihneď po odoslaní pozmenenej platby zavolali klientovi na jeho mobil, predstavili sa ako banka  a vyžiadali si od klienta autorizačné údaje z tokenu. Asi niet čo dodať k tomu, že niektorí klienti sú schopní tieto údaje odovzdať úplne neznámemu volajúcemu.

Smishing – útoky na SMS autentizáciu

Odhaduje sa, že na Slovensku už viac než 60 % ľudí vlastní smartfón, alebo niektorý iný typ výkonných mobilných zariadení s pripojením na vysokorýchlostný internet. Drvivá väčšina týchto zariadení je postavená na báze operačného systému Android. Bolo len otázkou času, kedy sa programátorské podsvetie zameria aj na vývoj škodlivého kódu pre tento operačný systém. Dnes je žiaľ realitou existencia  trójskych koňov zameraných práve na Android platformu. A ako inak – jednou z hlavných úloh tohto škodlivého kódu je akákoľvek forma finančného prospechu, snahy o vybielenie účtov klientov bánk nevynímajúc. 

Najvyťaženejšou formou využitia Androidového škodlivého kódu sú útoky na SMS autentizáciu. Ako taký útok funguje?

Klient si nevedomky stiahne infikovaný softvér, väčšinou z rôznych pochybných webstránok, alebo z neoficiálnych úložísk androidového softvéru. Povedzme, že sa nakazí niektorým typom trójskeho koňa, ktorý je zacielený na banky.

Ak banka používa ako komunikačný kanál pre autentizáciu alebo autorizáciu SMS, potom je doslova triviálnou vecou presmerovať takúto autentizačnú SMS útočníkovi, prípadne ju zároveň skryť pred pôvodným prijímateľom . Zvyšok útoku je už potom veľmi podobný phishingu, až na to, že útočník nemusí posielať žiadne emailové výzvy, pretože klientov mobil mu autentizačné údaje  pošle automaticky, aj bez interakcie s klientom. 

Smishing

Je len na škodu veci, ak niektoré banky nepodporujú iné autentizačné kanály, než zasielanie jednorazového hesla prostredníctvom SMS. Je však potrebné povedať, že aj keď banka poskytuje klientom aj iné autentizačné nástroje, je nesmierne ťažké presvedčiť masu klientov, aby dobrovoľne opustili SMS autentizáciu a zamenili ju napríklad za SW, HW, alebo EMV token. Ale o tom si povieme v niektorom nasledujúcom článku.

Ako sa brániť?

Buďte podozrievavý, ak vám niekto zavolá a predstaví sa ako zamestnanec vašej banky. Banka si nikdy aktívne nevyžiada od klienta jeho autentizačný údaj, pokiaľ sa klient sám nerozhodol prihlasovať sa do príslušného systému. A už vôbec by to banka nevykonala telefonicky. Podozrivý rozhovor rýchlo ukončite a skontaktujte sa so svojou banku osobne alebo prostredníctvom telefónneho čísla, zverejneného na internetových stránkach banky.

V žiadnom prípade neposkytujte ďalším osobám žiadne citlivé osobné údaje, autorizačné údaje (autorizačné SMS alebo kódy z iných autorizačných zariadení), prístupové heslá do internetbankingu alebo číslo platobnej karty. Zdieľanie vašej digitálnej identity hoci aj s rodinnými príslušníkmi je zvyk, ktorý skôr, či neskôr vedie k problémom.

Opätovne zdôrazňujem, že antivírusový program a softvérový firewall na počítači i na smartfóne je potrebné považovať dnes už za absolútnu nutnosť. Podrobnejší návod, ako zabezpečiť počítač som  uviedol  v článku Desatoro bezpečného počítača.

Pokiaľ ide o samotnú autentizáciu pre systémy elektronického bankovníctva, zvoľte si bezpečnejší autentizačný prvok, než je SMS – napríklad softvérový, alebo hardvérový token, čítačku kariet, alebo kryptografické autentizačné mechanizmy (napr. overovanie pomocou certifikátu elektronického podpisu, pokiaľ ho banka podporuje). 

Všetko však nie je riešiteľné technickými protiopatreniami. Najrizikovejším prvkom celého internetového bankovníctva je klient sám. Preto buďte ostražití, konajte premyslene a v neposlednom rade – majte zapnuté notifikácie o aktivitách na vašom účte. Mnohí klienti si zachránili svoje peniaze pred vyššie opísanými typmi útokov len vďaka svojej pozornosti a okamžitej reakcii na neautorizované platby. 

Ivan Makatúra

Vyjadrite váš názor v komentároch