Elektronická loupež za bílého dne

Přístup do banky z jakéhokoli počítače na světě je pro klienty velkou vymožeností a pro potenciální útočníky ještě větší příležitostí. Banky se ovšem snaží chránit a investují značné finance do svého zabezpečení, takže provést přímý útok není nic snadného. Mnohem jednodušší se jeví zaútočit na nejslabší článek řetězce, na klienty.

Elektronická loupež  za bílého dne


Nejprimitivnějším útok představují phishingové e-maily – status úsměvné legendy si získal například ten, který cílil na klienty České spořitelny, s oslovením „Drahoušek Zákazník“. Útočníci ale zapracovali na gramatice a jejich dnešní e-maily už podobné chyby neobsahují. Sofistikovanější jsou útoky prostřednictvím specializovaných kitů, specifické odnože malwaru. Klientův počítač je infikován prostřednictvím prohlížeče, hromadného e-mailu nebo staženého softwaru. Následně se stává součástí botnetu, který útočník řídí jako celek. Kity dokáží změnit podobu webových stránek, takže uživatel nic nepozná.

Po přihlášení do systému malware zjistí, že se klient přihlásil ke svému účtu, a uloží si přihlašovací údaje, jež obratem pošle autorovi útoku. Následně zkontroluje zůstatek na účtu a vygeneruje platbu na útočníkovo konto. Uživateli přijde potvrzující SMS zpráva, protože banka registruje regulérní požadavek. Následně malware vygeneruje okno s vhodným textem, který vyvolá v uživateli dojem, že má přepsat zaslaný kód. V SMS zprávě je sice uvedeno, že posílá xxx Kč na účet yyy, ale přiznejme si to, většina z nás tyto SMS zprávy příliš nezkoumá.

Pokud uživatel kód přepíše, jeho peníze jsou na cestě k útočníkovi. Malware navíc dokáže na webových stránkách upravovat stav účtu, takže běžným pohledem na zůstatky a provedené transakce uživatel nic nepozná.

Existují ovšem ještě chytřejší verze, které uživateli po přihlášení zobrazí žádost o zadání jeho telefonního čísla. Na něj je pak zaslán odkaz na údajnou aktualizaci, která chytrý mobil infikuje. Uživatel je pak pro útočníka naprosto zbytečný, autorizační SMS zprávy si teď přeposílá sám.

Pokud nechceme obtěžovat klienta, pak jsou rozumnou variantou proaktivní detekční mechanismy, tzv. antifraud systémy, které lze zapojit do procesu adaptivní autentizace. Takový systém se skládá ze čtyř pilířů. Prvním jsou statická pravidla – pokud se klient hlásí ze zakázaných IP adres, nedovolí mu provést transakci. Druhým je profil klienta – pokud platí na stejný účet jako každý měsíc a v podobné výši, transakci povolí. Třetím jsou dataminingová zkoumání – segmentace klientů, prediktivní učení atp. A konečně čtvrtý pilíř představuje zkoumání sociálních vazeb mezi klienty.

Autor působí jako konzultant ve společnosti Profinit


Úvodní foto: © davidevison - Fotolia.com




Komentáře