Информационные системы
<<  Учение Н. И. Пирогова о врачебных ошибках Самопрезентация людей, переживающих стигму, в городском публичном пространстве: онлайн и офлайн активизм  >>
Схемы мошенничества в онлайн-банкинге: типовые атаки и методы защиты
Схемы мошенничества в онлайн-банкинге: типовые атаки и методы защиты
Содержание
Содержание
Фишинг
Фишинг
Целенаправленный фишинг (1/2)
Целенаправленный фишинг (1/2)
Целенаправленный фишинг (2/2)
Целенаправленный фишинг (2/2)
Альтернативные каналы (1/2)
Альтернативные каналы (1/2)
Альтернативные каналы (2/2)
Альтернативные каналы (2/2)
Предотвращение блокировки сайтов
Предотвращение блокировки сайтов
Фарминг (1/2)
Фарминг (1/2)
Фарминг (2/2)
Фарминг (2/2)
Отмывка денег
Отмывка денег
Содержание
Содержание
Шпионское ПО
Шпионское ПО
Традиционное шпионское ПО
Традиционное шпионское ПО
Банковские Трояны
Банковские Трояны
Пример: Infostealer
Пример: Infostealer
Пример: Infostealer
Пример: Infostealer
Содержание
Содержание
Атака «человек-в–середине» (1/2)
Атака «человек-в–середине» (1/2)
Атаки «человек-в-середине»(2/2)
Атаки «человек-в-середине»(2/2)
Содержание
Содержание
Количество фишинговых писем (1/2)
Количество фишинговых писем (1/2)
Сегментация атак по секторам
Сегментация атак по секторам
Экономика мошенничества
Экономика мошенничества
Содержание
Содержание
Одноразовый пароль
Одноразовый пароль
Сравнение методов создания одноразовых паролей
Сравнение методов создания одноразовых паролей
Сравнение одноразовых паролей
Сравнение одноразовых паролей
Электронные подписи
Электронные подписи
Электронные подписи и методы социальной инженерии
Электронные подписи и методы социальной инженерии
Электронные подписи и социальная инженерия (2/2)
Электронные подписи и социальная инженерия (2/2)
Электронные подписи и методы социальной инженерии(3)
Электронные подписи и методы социальной инженерии(3)
Аутентификация транзакций на базе оценки рисков
Аутентификация транзакций на базе оценки рисков
Обеспечение грамотности клиента
Обеспечение грамотности клиента
Содержание
Содержание
Заключение
Заключение
Спасибо за внимание
Спасибо за внимание

Презентация: «Схемы мошенничества в онлайн-банкинге: типовые атаки и методы защиты». Автор: Frederik Mennes. Файл: «Схемы мошенничества в онлайн-банкинге: типовые атаки и методы защиты.ppsx». Размер zip-архива: 3746 КБ.

Схемы мошенничества в онлайн-банкинге: типовые атаки и методы защиты

содержание презентации «Схемы мошенничества в онлайн-банкинге: типовые атаки и методы защиты.ppsx»
СлайдТекст
1 Схемы мошенничества в онлайн-банкинге: типовые атаки и методы защиты

Схемы мошенничества в онлайн-банкинге: типовые атаки и методы защиты

Павел Есаков Компания CompuTel Заместитель директора по продажам в финансовом секторе

2 Содержание

Содержание

Виды атак Фишинг Атаки с помощью Spyware Атака «человек-в-середине» (MITM) Статистика мошеннических операций Механизмы защиты Одноразовый пароль Электронные подписи Обучение пользователей Заключение

2

3 Фишинг

Фишинг

Определение фишинговых атак Попытка мошенническим путем получить важную информацию, такую как имя пользователя, пароли или данные о параметрах платежных карт, путем представления мошенника в качестве заслуживающей доверия организации с использованием электронных каналов Использует трудности достоверной аутентификации стороны, запрашивающей информацию Стандартный механизм фишинговой атаки

3

4 Целенаправленный фишинг (1/2)

Целенаправленный фишинг (1/2)

Контекстно-зависимый фишинг (“spear phishing”) Хорошо нацеленная фишинговая атака Фишер посылает письмо, которое кажется подлинным для сотрудников предприятия, учреждения, организации или группы Примеры: Mock Bank (Australia), AT&T scam; Альфа-Банк (Россия)

4

Альфа-Банк предупреждает: попытки мошенничества в отношении клиентов 26.09.2007 Альфа-Банк не рассылал писем о необходимости получения электронного ключа для предотвращения блокировки доступа в систему «Альфа-Клиент On-Line». Подобные рассылки направлены на хищение паролей и персональных данных пользователей интернет-банка «Альфа-Клик». Служба безопасности банка ведет расследование данного инцидента. В случае получения данного сообщения ни в коем случае не переходите по ссылкам, указанным в письме, — на самом деле они ведут на интернет-сайт мошенников. Если Вы уже перешли по этим ссылкам, необходимо обновить антивирусную базу и выполнить полную проверку компьютера на вредоносные программы. Также для обеспечения безопасной работы в интернет-банке «Альфа-Клик» необходимо сменить пароль, используя для этого виртуальную клавиатуру. Будьте бдительны: ни при каких обстоятельствах не вводите логин и пароль интернет-банка «Альфа-Клик» ни на каких других сайтах, кроме https://click.alfabank.ru. Для получения дополнительной информации обращайтесь в Телефонный центр «Альфа-Консультант» по телефону в Москве: (+7 495) 78-888-78 или (8 800) 2-000-000 (для бесплатного звонка из регионов России). Пресс-служба Альфа-Банка тел.: (+7 495) 788-69-80 786-29-21 783-53-90факс: (+7 495) 788-69-81press@alfabank.ru

1 Aus-cert.org: http://www.auscert.org.au/render.html?it=5932 ? SFGate.com: http://sfgate.com/cgi-bin/article.cgi?f=/c/a/2006/09/01/BUGVBKSUIE1.DTL

5 Целенаправленный фишинг (2/2)

Целенаправленный фишинг (2/2)

«Охота на китов» Тщательно нацеленная фишинговая атака, направленная на высокопоставленных сотрудников, как правило, в пределах одной организации или связанных организаций (CEO, CIO, PM) Мошенник может послать письмо по электронной почте или письмо с CD, который содержит шпионское ПО Пример: MessageLabs (June 2007)

5

1 MessageLabs Intelligence Report June 2007: http://www.messagelabs.com/resources/mlireports

6 Альтернативные каналы (1/2)

Альтернативные каналы (1/2)

Голосовой фишинг (“Vishing”) Концепция: мошенник делает звонки по телефону от имени банка Преимущества голосового фишинга: Телефон имеет более высокий уровень доверия по сравнению с другими каналами Более широкая аудитория (особенно пожилые люди) Люди привыкли к общению с автоответчиками Телефонная связь достаточно дешевая Телефонный номер легко подделать

6

На этой неделе сразу несколько банков, в том числе Альфа-банк, Банк Москвы, Промсвязьбанк, предупредили через интернет-сайты своих клиентов о телефонных мошенниках, которые начали охоту за реквизитами пластиковых карт частных лиц. О первых случаях телефонного фишинга (выуживания паролей и реквизитов пластиковой карты) стало известно еще на прошлой неделе.

7 Альтернативные каналы (2/2)

Альтернативные каналы (2/2)

SMS Фишинг (“smishing”) Концепция: дополнительный канал доступа к клиенту для мошенника Как правило, SMS присылается с сообщением о подписке клиента на какую-либо услугу Часто сообщение исходит от «службы безопасности банка» и содержит контактный телефон службы безопасности

7

Рынок «пластика» захлестнула волна мошенничеств с использованием SMS (05.07.2010 08:22) На рынке банковских карт появилась новая схема мошенничества. Владельцам «пластика» приходят SMS-сообщения о блокировке карты, а для ее разблокировки просят все данные по ней. Получив их, мошенники списывают средства через Интернет. Альфа-банк и Ситибанк уже предупредили своих клиентов об SMS-уловках. Альфа-банк разместил на своем сайте предупреждение о случаях получения держателями карт мошеннических SMS-сообщений с информацией о блокировке карты и просьбой перезвонить для ее разблокировки, как правило, на указанный мобильный номер. В беседе с клиентом мошенники просят указывать реквизиты пластиковой карты: ее номер (включая CVV/CVC-коды), срок действия, кодовое слово.

8 Предотвращение блокировки сайтов

Предотвращение блокировки сайтов

Стандартный механизм защиты от фишинга: Спам фильтр: Предотвращает поступление фишинговых рассылок конечному пользователю Браузер: Предупреждает пользователя о посещении фишингового сервера В основе этих решений лежит черный список фишинговых сайтов Мошенники принимают меры с целью избежать попадания в черный список Изменения URL, например http://www.secure-bank.com:80 Регистрация субдоменов, имеющих тот же IP-адрес До рандомизации: URL - http://www.barclays.co.uk.lot80.info/ После рандомизации: URLs http://www.barclays.co.uk.XXXXXX.lot80.info/, где XXXXXX есть случайное целое число Появление возможности отслеживания ответов пользователей

8

9 Фарминг (1/2)

Фарминг (1/2)

Концепция: вмешательство в систему разрешения доменных имен Вариант 1:разрушение файла «hosts» Система разрешения доменных имен до обращения к внешнему DNS серверу ищет имена хостов на компьютере пользователя Файл « Hosts» содержит пары «доменное имя – IP адрес» Microsoft Windows NT/2000/XP/2003/Vista: %SystemRoot%\system32\drivers\etc Вредоносное ПО на компьютере пользователя может модифицировать данный файл

9

01.10.10 10:20 Вирус уводит деньги со счетов клиентов ВТБ 24 и Альфа-банка Новая вирусная программа, в последнее время активно атакующая клиентов интернет-банкинга, модифицирует системный файл host, прописывая переадресацию. Таким образом, когда пользователь набирает в браузере адрес сайта банка, то попадает на вредоносный сайт, где злоумышленники могут получить параметры доступа в систему интернет-банкинга. Как объясняет Валерий Ледовской, аналитик по вирусной обстановке Dr.Web, при этом в адресной строке находится адрес настоящего сайта . «В Россию такие программы «мигрировали». Раньше они писались, причем русскими программистами, в основном для атаки на зарубежные банки, например: RBS, Райффайзенбанк, HSBC. Около месяца назад злоумышленники переквалифицировали эти вредоносные программы под российские банки», - рассказывает Сергей Голованов, ведущий вирусный аналитик «Лаборатории Касперского».

10 Фарминг (2/2)

Фарминг (2/2)

Вариант 2: отравление DNS сервера Заставить DNS-сервер передать ложную пару «доменное имя - IP-адрес» Эксплуатируемые уязвимости: DNS сервера не определяют источник ответов DNS сервера не всегда могут определить, был ли отправлен запрос

10

11 Отмывка денег

Отмывка денег

В чем проблема фишеров: Система электронного банкинга может быть лишена возможности трансграничных денежных переводов Решение: Мошенники нанимают сообщников («money mules») с банковскими счетами на территории, которая будет подвергаться атаке Мошенник переводит деньги на счет сообщника Сообщник («money mule») переводит деньги мошеннику (например Western Union, Moneygram) Постоянный процесс поиски сообщников по отмыванию Стандартные каналы для рекламы рабочих мест “Financial service manager”, “shipping manager”, “private financial retreiver”, etc. Более подробно: http://bobbear.co.uk/

11

12 Содержание

Содержание

Виды атак Фишинг Атаки с помощью Spyware Атака «человек-в-середине» (MITM) Статистика мошеннических операций Механизмы защиты Одноразовый пароль Электронные подписи Обучение пользователей Заключение

12

13 Шпионское ПО

Шпионское ПО

Определение атаки с применением шпионского ПО Попытка незаконным путем получить доступ к важной информации, как-то: имена пользователей, пароли, номера платежных карт путем скрытого перехвата информации, передаваемой во время информационного обмена Использует уязвимость компьютера пользователя Типовая диаграмма атаки с шпионским ПО Две характеристики: Слежение и маскировка

13

14 Традиционное шпионское ПО

Традиционное шпионское ПО

Концепция: запись клавиатурной активности пользователя Недостатки Слабая маскировка: Отдельный процесс, который легко обнаруживается антивирусным ПО Персональный брандмауэр на компьютере клиента блокирует работу такого шпионского ПО Низкое качество слежения: Запись всех нажатий клавиатуры, включая ошибочные Не определяет, имеется ли в данный момент связь с банком Не определяет поля для ввода

14

15 Банковские Трояны

Банковские Трояны

Созданы специально с целью похищения банковских реквизитов (середина 2004года) Torpig/Anserin/Sinowal, Banksniff, Haxdoor, … Japan: Infostealer.Jginko: Japan Net Bank, SMBC, Mizuho, Shinsei UK: Tarno.L: Natwest, Abbey National, HSBC, Barclays, Lloyds, ... Zeus (2008-2009) - более 200 000 000 USD (США), 70 000 000 фунтов -Великобритания Механизмы слежения: Использование стандартных вызовов, например, HTTPSendRequestA Доступ к Document Object Model (DOM) на веб-странице с применением Browser Helper Object (BHO) Использование LSP архитектуры:обеспечивает подключение приложений Механизмы маскировки: Технология Rootkit : использовать вызовы операционной системы и изменять возвращаемые значения Отключение антивирусного ПО

15

16 Пример: Infostealer

Пример: Infostealer

Banker (1/2)

Внедрение Регистрация в качестве BHO в реестре Windows Генерация случайного числа как идентификатора зараженного компьютера Регистрация данного компьютера на сервере с помощью РHP-script Работа BHO связывается с сервером для загрузки свежего “help.txt” BHO просматривает подключения к сайтам, указанным в файле “help.txt” Определив связь с банковским сервером BHO находит HTML-код в файле “help.txt” BHO встраивает HTML код в просматриваемую страницу Браузер отображает модифицированную страницу Когда пользователь вводит свои данные на модифицированной странице, BHO вызывает РHP-script для передачи данных на сервер мошенников

16

17 Пример: Infostealer

Пример: Infostealer

Banker (2/2)

17

18 Содержание

Содержание

Виды атак Фишинг Атаки с помощью Spyware Атака «человек-в-середине» (MITM) Статистика мошеннических операций Механизмы защиты Одноразовый пароль Электронные подписи Обучение пользователей Заключение

18

19 Атака «человек-в–середине» (1/2)

Атака «человек-в–середине» (1/2)

Определение атаки «человек-в-середине» (MITM) Перехват и модификация в реальном времени информации, которой обмениваются два объекта скрытым для объектов образом Используются технологии фишинга и/или шпионского ПО Два основных метода реализации атаки: Удаленный: с применением ложного веб-узла Локальный: шпионское ПО на компьютере клиента

19

20 Атаки «человек-в-середине»(2/2)

Атаки «человек-в-середине»(2/2)

Локальная MITM атака (шпионское ПО) Зарегистрированный случай: E-gold (Ноябрь 2004) – Win32.Grams Проверка веб-адресов, чтение баланса, перевод денег Удаленная MITM атака (фишинговый сайт) Зарегистрированные случаи: ABN Amro (Март 2007): Infostealer.Banker.C и ложный веб сайт Потери: 4 клиента, сумма потерь - неизвестна Зарегистрированные случаи : Swedbank (Март 2007) Зарегистрированные случаи : Dexia (Май/Июнь 2007) Потери: 3 клиента, ~ 10 000 euro

20

1 Secureworks.com: http://www.secureworks.com/research/threats/grams/ ? ABN Amro Press Room: http://www.abnamro.com/pressroom/releases/2007/2007-03-30-nl-i.jsp ? IDG.se: http://www.idg.se/2.1085/1.101318

21 Содержание

Содержание

Виды атак Фишинг Атаки с помощью Spyware Атака «человек-в-середине» (MITM) Статистика мошеннических операций Механизмы защиты Одноразовый пароль Электронные подписи Обучение пользователей Заключение

21

22 Количество фишинговых писем (1/2)

Количество фишинговых писем (1/2)

Количество уникальных писем в месяц (Первый квартал 2010 года) Source: Anti-Phishing Working Group (APWG)

22

23 Сегментация атак по секторам

Сегментация атак по секторам

23

Страны, распространяющие троянские программы

Основные цели фишеров в 1 квартале 2010

Классификация атак по странам ( 1кв. 2010)

Количество зараженных компьютеров ( 1кв. 2010)

24 Экономика мошенничества

Экономика мошенничества

24

25 Содержание

Содержание

Виды атак Фишинг Атаки с помощью Spyware Атака «человек-в-середине» (MITM) Статистика мошеннических операций Механизмы защиты Одноразовый пароль Электронные подписи Обучение пользователей Заключение

25

26 Одноразовый пароль

Одноразовый пароль

Назначение: аутентификация пользователя Преимущества Снижает ценность реквизитов пользователя, в силу ограниченности времени применения Ограничивает временной интервал между хищением личных данных и их использованием в корыстных целях Разрушение традиционной экономической модели фишинга Экономическая модель: специализация предполагает торговлю данными Торговля данными требует временных затрат Одноразовые пароли устаревают ранее, чем их предполагается использовать

26

1 C. Abad, The economy of phishing, First Monday 10(9), 2005 ? R. Thomas et al., The underground economy: priceless, USENIX LOGIN, 2006

27 Сравнение методов создания одноразовых паролей

Сравнение методов создания одноразовых паролей

Пароль на базе счетчика событий Достоверен до момента использования или до представления нового пароля Время действия пароля определяется клиентом Пароль на базе счетчика времени Становится недействителен после предопределенного временного интервала (time window) Время действия пароля определяет сервер Пароль на основе механизма «запрос-ответ» Только один пароль для любого момента времени (временное окно отсутствует) Время действия пароля определяется сервером

27

28 Сравнение одноразовых паролей

Сравнение одноразовых паролей

Выводы Наивысший уровень безопасности: «запрос-ответ» и генерация по времени Генерация по времени: наилучший компромисс между безопасностью и удобством использования

28

29 Электронные подписи

Электронные подписи

Назначение: Одноразовый пароль обеспечивает только аутентификацию пользователя Сервер может только определить присутствие подлинного клиента в момент авторизации Сервер не может определить модификацию данных после авторизации пользователя Электронная подпись обеспечивает аутентификацию транзакций Сервер может обнаруживать и игнорировать неаутентичные транзакции

29

30 Электронные подписи и методы социальной инженерии

Электронные подписи и методы социальной инженерии

Методы социальной инженерии являются возможным методам атак против электронных подписей Атаки с применением приемов социальной инженерии направлены на то, чтобы клиент подписал мошенническую транзакцию Применение электронных подписей должно учитывать возможности социальной инженерии

30

31 Электронные подписи и социальная инженерия (2/2)

Электронные подписи и социальная инженерия (2/2)

Рекомендация 1: В чем опасность: Вывод: используйте дополнительное значение Например, общую сумму транзакции Например, часть номера счета бенефициара

Не применяйте хэш-код как единственное значение для подписания клиентом

31

32 Электронные подписи и методы социальной инженерии(3)

Электронные подписи и методы социальной инженерии(3)

Рекомендация 2: Пользователь должен знать, когда нужно предъявить пароль, а когда подпись В результате пользователь не предоставит подпись при тех операциях, где он привык использовать пароль Рекомендация 3: Пользователь будет более внимателен, если предъявление подписи выходит за рамки основных действий Например, аутентификация, основанная на оценке рисков (следующие слайды)

Пользователь должен ощущать разницу между входом в систему и подписью

Процесс подписания должен быть по возможности редким событием

32

33 Аутентификация транзакций на базе оценки рисков

Аутентификация транзакций на базе оценки рисков

Противоречие: безопасность или удобство пользователя Решение: политики безопасности Политики определяют, когда и что нуждается в подписании Применяются на стороне сервера – гибкость в изменении Возможные критерии Сумма транзакции (насколько велика?) Номер банковского счета бенефициара (использовался ранее?) Вычисление риск характеристик транзакции Результат Электронная подпись необходима только для транзакций с высоким уровнем риска Уплата налогов и счетов, носящая регулярный характер – подпись не нужна Перевод средств между счетами самого клиента – подпись не требуется Подписание пакета транзакций одной подписью

33

34 Обеспечение грамотности клиента

Обеспечение грамотности клиента

В цепочке средств обеспечения безопасности самое слабое звено – это человек Предотвратить мошеннические операции только за счет технических средств невозможно Обучение пользователей: Ни в коем случае не отвечать на письма с просьбой о подключении к системе и передаче персональных данных Инсталлировать программное обеспечение только из источника, заслуживающего доверия Самостоятельно набирать адреса сайтов или использовать закладки Проверять правильность работы протокола HTTPS Стимулировать клиента к установке фаервола и антивирусного ПО Например, Barclays UK и F-Secure Например, Firstrade Securities US и Trend Micro Например, ABN Amro Netherlands и Kaspersky Выполняйте свои собственные инструкции! NTA Monitor 2007: Финансовые институты Великобритании не смогли обновить в срок свои SSL-сертификаты в 2007 году

34

35 Содержание

Содержание

Виды атак Фишинг Атаки с помощью Spyware Атака «человек-в-середине» (MITM) Статистика мошеннических операций Механизмы защиты Одноразовый пароль Электронные подписи Обучение пользователей Заключение

35

36 Заключение

Заключение

Мошенничество в онлайн-банкинге постоянно совершенствуется Фишинг Использование альтернативных каналов доставки Целенаправленный фишинг Шпионское ПО Улучшение маскировки, более широкое применение технологии rootkit Более совершенные механизмы краж денежных средств Необходимость в механизмах строгой аутентификации растет Безопасные решения существуют Необходимо сочетать аутентификацию клиента и аутентификацию транзакции Необходимо учитывать защиту от методов социальной инженерии

36

37 Спасибо за внимание

Спасибо за внимание

Вопросы?

37

«Схемы мошенничества в онлайн-банкинге: типовые атаки и методы защиты»
http://900igr.net/prezentacija/informatika/skhemy-moshennichestva-v-onlajn-bankinge-tipovye-ataki-i-metody-zaschity-258365.html
cсылка на страницу

Информационные системы

22 презентации об информационных системах
Урок

Информатика

130 тем
Слайды
900igr.net > Презентации по информатике > Информационные системы > Схемы мошенничества в онлайн-банкинге: типовые атаки и методы защиты