Alexander Adamov Банкинг План Банкинг

Alexander Adamov Банкинг

План Банкинг – что это? Обзор банковских клиентов Методы перехвата информации Обзор вредоносных программ Методы предотвращения и защиты от перехвата

Определение Банкинг - один из видов удаленного банковского обслуживания, при котором управление производится через сеть Интернет Преимущества: Возможность проводить банковские операции из любой точки мира Высокая скорость обслуживания (по сравнению с банковскими кассами)‏ Недостатки: Необходима компьютерная грамотность пользователей для обеспечения безопасности операций

История 1981 – 4 крупных банка Нью-Йорка (Citibank, Chase Manhattan, Chemical и Manufacturers Hanover) предложили службу «home banking» на базе videotex системы. 1983 – первый онлайн-банкинг сервис в Великобритании был предложен Nottingham Building Society Oct 1994 – впервые Интернет-банкинг стал доступен всем членам Stanford Federal Credit Union.

Предпосылки для атаки Неполное решение проблемы безопасности транзакций: защита пересылки и беззащитность клиента Безопасность клиента зависит от уровня его подготовки (который в ряде случаев низок)‏ Работа непосредственно с деньгами пользователя (в отличии от кардинга и т.д.)‏

Развитие банкинга в странах

Доля банкеров во вредоносах

Методы перехвата информации Phishing Pharming Trojans (Key-logging, Spies) TAN-grabbing etc.

Phishing Phishing - это один из видов интернет-мошенничества, направленный на получение конфиденциальных данных пользователей посредством рассылки поддельных сообщений от лица банков, провайдеров, платежных систем и других организаций. Обычно такие письма приходят в виде уведомлений клиента о каких-либо событиях (сбои в системе, утеря данных и даже совершенствование системы по борьбе с фишингом), в связи с которыми пользователь должен представить, обновить или подтвердить те или иные конфиденциальные данные.

Pharming Правка файла hosts 207.44.196.219 auto.search.msn.com Использование BHO Использование ошибок в обработке DNS-запросов различными браузерами Установка скрытых фильтров либо драйверов сетевого уровня для изменения DNS-запросов, отсылаемых пользователем

Pharming

Keylogging Keylogging – метод перехвата и протоколирования нажатий клавиш пользователя Hypervisor-based Kernel based Hook based Passive Methods Hardware keyloggers USB KeyGhosts (128K-2M) стоимость: 200-300$

Key-logging Использование драйверов клавиатуры для кеширования значений нажатых клавиш Выборочный захват только в выбранных окнах (заголовки в окнах банковских клиентов и платежных систем)‏ Запись координат указателя мыши (обход виртуальных клавиатур)‏

Семейства вредоносов Trojan-Spy.Win32.Banker Trojan-Spy.Win32.Banbra Trojan-Spy.HTML.Citifraud Trojan-Spy.HTML.Paylap Worm.Win32.Feebs.jk etc.

Trojan-Spy.HTML.Citifraud.a Рассылка писем от имени службы поддержки банка Ссылка в письме использует Frame Spoof уязвимость Internet Explorer 5.x и 6.x (http://support.microsoft.com/?id=833786) Переход осуществляется на подставной сервер с фальшивой страницей банка Благодаря уязвимости в строке адреса высвечивается настоящий адрес страницы банка

Trojan-Spy.HTML.PayLap.hn Рассылка писем от имени службы PayPal Ссылка в письме использует Frame Spoof уязвимость Internet Explorer 5.x и 6.x (http://support.microsoft.com/?id=833786) Переход осуществляется на подставной сервер с фальшивой страницей банка Благодаря уязвимости в строке адреса высвечивается настоящий адрес страницы банка

Worm.Win32.Feebs.jk Использование подставной динамической библиотеки для загрузки в создаваемые процессы Обход отладчика Numega SoftICE Защита от антивирусов и файрволлов Перехват вводимой информации в окнах многих банковских клиентов Перехват вводимой информации в окнах программы Web Money Keeper Размещение в папках (по названию) к которым может быть открыт сетевой доступ своих копий с различными "валидными" именами: Adobe_Premiere_10_(3.0_pro)_new!_full+crack.zip Ahead_Nero_8_new!_full+crack.zip

$Trojan-Spy.Win32.Banker.hfc Копирование своего файла в систему: % Documents and Settings%\All Users\Start$

Trojan-Spy.Win32.Banker.hfc Копирование своего файла в систему: % Documents and Settings%\All Users\Start Menu\Programs\Startup\Windows32.exe Запись ссылки на исходный файл троянца в ключ автозапуска реестра: [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Windows32“="C:\Arquivos de programas\Windows32.exe“ Отслеживание Web-страниц в Интернет браузере Отображение подставных окон для ввода данных Протоколирование собранной информации и отсылка ее злоумышленнику

Fake Web-pages Сайты банков со встроенным банкинг-клиентом Интернет-магазины и формы оплаты услуг со ссылками на банкинг

Визуальное распознавание

Методы борьбы с перехватом Антивирусная защита Виртуальные (экранные) клавиатуры Системы одноразовых паролей

Антивирусная защита Встроенная в браузеры защита от перенаправления на фишинговые сайты (Opera и т.д.)‏ Сигнатурный анализ Проактивная защита Анти-фишинг защита

Виртуальные клавиатуры

Модули защиты для браузера G-Buster Browser Defense от GAS Tecnologia: Banco do Brasil (gbieh.dll) Caixa Econômica Federal (gbiehCef.dll) Banco Real ABN AMRO (gbiehabn.dll) Mercantil do Brasil (gbiehbmb.dll) Unibanco (gbiehuni.dll) Sicredi (gbiehScd.dll)

$Анализ G-Buster Копирует файлы: %WinDir%\Downloaded Program Files\gbieh.dll Добавляет себя в ключи в$

Анализ G-Buster Копирует файлы: %WinDir%\Downloaded Program Files\gbieh.dll Добавляет себя в ключи в реестре: [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] [HKLM\Software\Microsoft\Windows\CurrentVersion\ShellExtensions\Approved] [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\BHO] Непрерывно сканирует ключ: [HKLM\SYSTEM\CurrentControlSet\Control\Session Manager] “PendingFileRenameOperations” Инжект в процесс winlogon.exe

Другие решения Виртуальная клавиатура от HSBC:

One-Time Passwords One-time password (OTP) – предназначены для затруднения получения неавторизированного доступа к ресурсам с ограниченным доступом (Wikipedia). 3 типа OTP: Генерация нового пароля на основе предыдущего с использованием математического алгоритма Предоставление пароде на основе временной синхронизации между сервером аутентификации и клиентом Генерация нового пароля на основе случайного идентификатора и счетчика с использованием мат. алгоритма

Реализация одноразовых ключей

E-Tokens

Запрос-Ответ Пользователь отправляет свой логин на сервер аутентификации Сервер генерирует случайную строку и отправляет пользователю Пользователь шифрует полученные данные своим ключом и отправляет его серверу Сервер, используя секретный ключ пользователя также шифрует отправленную строку Зашифрованные результаты сравниваются

Другие методы В качестве данных могут использоватся не только случайные последовательности от сервера, но и: Результаты предыдущей транзакции Значение процессорного времени на компьютере клиента (в диапазоне ~ 30 сек.)‏ Количество удачных попыток подключения к серверу Комбинации перечисленных выше методов

Недостатки метода OTP Подмена сервера аутентификации Рассинхронизация в методе «синхронизация по времени» Подмена клиентского компьютера

Полезные советы – часть 1 Держите ваши личные коды (ID, пароли, PIN) в тайне – никому не говорите, не записывайте и не оставляйте их возле компьютера. Не используйте простых паролей, которые кто-либо мог бы подобрать. Регулярно меняйте секретные коды; в случае если кто-либо смог узнать их, немедленно смените их. Всегда закрывайте Интернет браузер как только вы закончили свои банковские операции, таким образом никто не сможет воспользоваться вашими персональными данными на этом компьютере.

Полезные Советы– часть 2 Если у вас закончилось время текущей сессий до того как вы закончили свои банковские операции, войдите в систему снова и выйдите из нее надлежащим способом. Никогда не оставляйте без присмотра ваш компьютер с открытой сессией банкинг-клиента. Некоторые Интернет клиенты разрывают соединение по истечении определенного времени. Всегда вводите адрес вашего банка вручную, не пользуйтесь ссылками. Установите надежный сетевой экран и антивирус на вашем компьютере и регулярно обновляйте их.

Вопросы? Alexander Adamov