E-banki - scenariusze ataków

Zebraliśmy zagrożenia, które grożą typowemu klientowi banków internetowych - logującemu się do swojego konta przez Internet, wykonującemu przelewy internetowe i wykorzystującemu dostęp telefoniczny.

Główne zagrożenie: phishing

Określenie "phishing" oznacza "łowienie" haseł. Obecnie jest to jedna z najpopularniejszych metod ataku. Polega na zmuszeniu użytkownika do wejścia na sfałszowaną stronę, na której cyberprzestępca przechwytuje dane potrzebne do autoryzacji. Może to być login i hasło użytkownika, ale również cała lista kodów jednorazowych z karty-zdrapki.

W najczęściej spotykanej wersji klient otrzymuje e-mailem odnośnik do strony wyglądającej jak witryna banku. Znajduje się na niej pole logowania. Po podaniu danych cyberprzestępca kopiuje je, wyświetla komunikat o błędnym logowaniu i przekierowuje na prawdziwą stronę banku.

Fałszerstwo zdradza brak konkretnego adresata w wiadomości e-mail ("Szanowny Panie", zamiast "Panie Janie Kowalski"), błędy w treści oraz zły adres strony (często w domenie ze znakami wyglądającymi podobnie do występujących w nazwie banku, np. citihandIowy.pl, gdzie litera po "d" to wielkie "i"). Atak phishingowy kierowany jest do tysięcy osób jednocześnie, ale wystarczy dosłownie kilka "złowionych" ofiar aby atak był opłacalny.

Człowiek w przeglądarce

Przed logowaniem należy zawsze sprawdzić poprawność certyfikatu, klikając symbol kłódki. W bardziej zaawansowanej formie cyberprzestępca wykorzystuje technikę man-in-the-middle (dosłownie "człowiek pośrodku"), atakując system operacyjny użytkownika, router lub serwer DNS. Efekt jest taki, że nawet wpisanie w przeglądarce prawidłowego adresu doprowadzi do przekierowania na fałszywą stronę.

Trudniejszy do wykrycia i uniknięcia jest atak typu man-in-the-browser ("człowiek w przeglądarce"). Zaczyna się on od zakażenia komputera złośliwym oprogramowaniem, które modyfikuje system operacyjny lub przeglądarkę. Często odbywa się to podczas instalowania pirackiego oprogramowania albo nierozsądnego klikania w odnośniki na stronach. Cyberprzestępca może ponadto zmodyfikować przeglądarkę w taki sposób, że wyświetla poprawne certyfikaty fałszywym stronom albo zapisuje ciągi wpisanych haseł.

W obydwu przypadkach da się ich uniknąć jeśli sprawdzasz certyfikat strony, nie odpowiadasz na podejrzane e-maile i wchodzisz na stronę banku przez zapisany w ulubionych odnośnik, a nie klikając w podstawione przez cyberprzestępcę hiperłącze.

Łamanie haseł

Lista haseł jednorazowych może być udostępniona klientom banku w formie karty-zdrapki. Użytkownik podaje hasło za pierwszym razem, gdy loguje się do konta oraz gdy chce potwierdzić wykonywaną operację, np. zlecony przelew. Banki stosują tutaj kilka różnych patentów.

Do logowania bywają stosowane hasła maskowane. Zamiast podawać całe hasło, jesteś proszony o podanie tylko kilku znaków. Chroni to przed sytuacją, gdy ktoś podejrzy wpisany ciąg znaków jeden raz, ale w większości przypadków wystarczy około czterech podsłuchanych transakcji, żeby cyberprzestępca poznał całe hasło.

Do zatwierdzania transakcji przez zalogowanych użytkowników używa się haseł jednorazowych. W najprostszej formie jest to lista kilkudziesięciu kodów (w postaci wydruku lub umieszczonych na zdrapce). Podczas potwierdzania przelewu użytkownik jest proszony o podanie określonego kodu ze swojej karty. Niestety jest to metoda podatna na atak phishingowy - zdarza się, że nieświadomi niczego klienci przepisują całe karty kodów do podstawionych przez oszustów formularzy. I to pomimo faktu, że żaden polski bank nigdy nie prosi o podanie więcej niż jednego kodu naraz.

Bezpieczniejszą alternatywą listy kodów jest dostarczenie klientowi tylko jednego kodu, który jest ważny przez kilkadziesiąt minut. Stosuje się do tego SMS-y. Eliminuje to problem z przepisywaniem całych kart, chociaż jeśli atakujący przechwyci hasło zanim trafi ono do użytkownika (np. przez podsłuch GSM) lub serwera banku (atak man-in-the-middle) to będzie mógł autoryzować jedną transakcję.

Podobny poziom bezpieczeństwa wiąże się z użyciem tokena. Jest to program instalowany w telefonie lub niewielkie urządzenie, na którym wyświetla się obowiązujący w danej chwili kod. Zmienia się on np. co minutę. W czasie logowania lub potwierdzania transakcji przepisuje się go do formularza, po czym bank sprawdza jego poprawność. W przeciwieństwie do kart z hasłami jednorazowymi, token wystarcza na kilka lat.

Wadą jest natomiast to, że korzystając z jednego hasła można wykonać kilka operacji. Przykładowo, przestępca może podsłuchać wprowadzane hasło, zalogować się i wykonać przelew. Banki potrafią się jednak przed tym obronić, wstrzymując na jakiś czas logowanie i prosząc o podanie kolejnych kodów jeśli analiza po stronie serwera wykaże zagrożenie.

Kolejne rozwinięcie tokena to zabezpieczenie go PIN-em. Jednak najsilniejsze obecnie zabezpieczenie to tzw. funkcja Challenge-Response. Po wprowadzeniu danych o przelewie do formularza na ekranie komputera wyświetla się kod. Należy przepisać go do tokena. Kod zawiera w sobie ukryte informacje o transakcji, które wyświetlają się na tokenie. Następnie token podaje hasło służące do autoryzowania konkretnej transakcji. Znowu trzeba je przepisać ręcznie do komputera.

Rozwiązanie to posiada wszystkie zalety haseł wysyłanych na telefon komórkowy (wraz z opisem transakcji). Co więcej, token nie komunikuje się z urządzeniami zewnętrznymi, więc nie da się go podsłuchać (dopóki nie powstaną skuteczne keyloggery instalowane na komórkach) ani wykonać duplikatu.

Token oparty o czas to niewielkie urządzenie, które wyświetla aktualny w danym momencie kod, pełniący rolę hasła w transakcjach bankowych. W Polsce z tego rozwiązania korzystają klienci Banku Pekao SA oraz Eurobank. W obu przypadkach wykorzystano aplikację instalowaną w telefonie, zabezpieczoną indywidualnie określanym przez klienta PIN-em. To bardzo dobre rozwiązanie, choć wciąż najbezpieczniejszą modyfikacją byłoby zastosowanie tokena sprzętowego, który pozwoliłby na wyeliminowanie ryzyka związanego z wirusami atakującymi komórki. Niestety jest to droga operacja, której kosztami zostaliby obciążeni klienci.

Innym rozwiązaniem jest podpis elektroniczny. W tym przypadku nie stosuje się (jawnie) haseł jednorazowych. Użytkownik otrzymuje program lub urządzenie, które - na podstawie ustalonych kluczy - po podaniu statycznego hasła generuje bezpieczny podpis świadczący o tym, że operacja została przeprowadzona za pomocą zgłoszonego komputera, przez osobę znającą hasło.

W tym przypadku największym niebezpieczeństwem jest atak man-in-the-browser lub korzystanie z podpisu na różnych komputerach - np. w pracy. Mimo, że użytkownikowi wydaje się, że jego pieniądze chronione są wyłącznie hasłem, to w rzeczywistości do podpisu wymagany jest również jego komputer. Jeśli tylko zadba o bezpieczeństwo hasła i maszyny, będzie bezpieczny. Poziom bezpieczeństwa jest podobny, jak w przypadku tokenów i haseł SMS-owych.