02.11.2014, 16:36
(Ten post był ostatnio modyfikowany: 09.12.2015, 23:22 przez nikita.
Powód edycji: formatowanie tekstu
)
Jakiś czas temu bodziec dostarczony przez ichito zapoczątkował rozmyślanie nad wprowadzeniem tematu dotyczącego bankowości internetowej. Było chyba kilka koncepcji (jeśli nie było, to pewnie jakieś by się pojawiły), ale wydaje mi się, że najlepiej temat stworzą sami użytkownicy, bo przecież spora część z nas (zapewne większość) prawie codziennie korzysta z możliwości "wirtualnych oddziałów banków". Weźmy tutaj pod uwagę jedną ważną kwestię - grono użytkowników korzysta z usług różnych banków, a z tego co zdążyliśmy ustalić, banki dostarczają swoim klientom "biuletyny bezpieczeństwa", które zawierają bardzo ciekawe informacje. Myślę, że można się nimi dzielić w celu zbudowania bazy stosunkowo ważnych informacji. Pomysłodawcą tego przedsięwzięcia był również ichito. Ja przez jakiś czas blokowałem temat ze względów osobistych i technicznych, ale teraz dyskusję możemy śmiało otworzyć. Zapraszamy.
Bankowość elektroniczna - definicje i zagrożenia
Mimo tego, że bankowość elektroniczna nie jest już terminem nowym, to jednak wciąż jej poprawne zdefiniowanie może stwarzać problemy, w zależności od punktu patrzenia na powyższe pojęcie. Definicje bankowości elektronicznej różnią się w znacznym stopniu – terminologia techniczna/informatyczna jest zupełnie inna niż terminologia wykorzystywana przez banki w zakresie handlu, czy szeroko pojętego marketingu. Michał Polasik, autor książki Bankowość elektroniczna Istota-Stan-Perspektywy, w definiowaniu bankowości elektronicznej posłużył się następującym podziałem:
a. Zestaw środków technicznych
b. Bankowość elektroniczna jako usługa
c. Specyficzna forma działalności
Ze względu na tematykę wpisu krótko opisane zostaną jedynie punkty a. oraz b., które są ściśle związane z bankowością od strony informatycznej oraz bezpieczeństwem usług udostępnianych przez banki za pomocą sieci Internet.
E-Banking jako zestaw środków technicznych:
Definicja ta jest mocno związana z kanałami dystrybucji, które umożliwiają dostęp do usług oferowanych przez banki. Popularność definicji wynika z tego, że niemalże każdy klient banków ma bezpośrednią styczność z urządzeniami technicznymi, które w świadczeniach bankowości pośredniczą.
Kluczowymi elementami w definiowaniu bankowości elektronicznej z perspektywy technicznej jest zdalny dostęp oraz wykorzystanie w komunikacji systemów informatycznych. Sformułowanie to zawiera więc szeroki zakres narzędzi i środków technicznych, wykorzystywanych w bankowości internetowej.
Bankowość internetowa jako rodzaj usługi:
Podejściem mniej technicznym jest zdefiniowanie bankowości elektronicznej jako usługi, która świadczona jest klientom przez banki. Definicja ta była bliższa dla samych banków, które możliwość korzystania z konta internetowego przedstawiały jako cześć oferty.
W przypadku operacji bankowych przy użyciu komputerów klasy PC, dedykowane oprogramowanie może, a nawet powinno być interpretowane jako przeglądarka internetowa, ponieważ niemalże wszystkie transakcje bankowe realizowane są za pośrednictwem specjalistycznych serwisów www. Sytuacja wygląda inaczej jedynie podczas realizowania transakcji za pomocą aplikacji dostępnych dla mobilnych systemów operacyjnych, takich jak np. Windows Phone 8.1. W tym wypadku do połączenia z serwisem bankowym wykorzystywana jest dedykowana aplikacja nie będąca przeglądarką internetową. Nie znaczy to jednak, że dostęp do serwisów bankowych nie jest możliwy za pośrednictwem przeglądarki w wersji mobilnej. W desktopowym systemie Windows 8/8.1 interfejs użytkownika podzielony został na klasyczne GUI – pulpit systemu Windows oraz na interfejs Modern UI (wcześniej Metro UI). Nowy interfejs umożliwił instalowanie aplikacji klienckich do zarządzania kontem i przeprowadzania transakcji w banku internetowym bez użycia przeglądarki. Zabieg ten został zastosowany w celu ograniczenia kodu programu klienckiego oraz jego funkcji, do tych niezbędnych dla poprawnego operowania usługami i środkami na koncie.
Rozwój bankowości elektronicznej oraz zagrożeń na nią wpływających
Według opinii banków (N = 34) w roku 2004 barierą hamującą rozwój bankowości elektronicznej dla 71% ankietowanych był brak poczucia bezpieczeństwa w Internecie. To samo stwierdziło również 37% ankietowanych internautów (N = 1304) - tego samego roku. W dalszej części tekstu przedstawione zostały wybrane zagrożenia dla bankowości elektronicznej i użytkowników korzystających z internetowych serwisów transakcyjnych.
Aktualnie, gdy niemalże codziennie użytkownicy Internetu korzystają z bankowości online, unikając przy tym czekania w długich kolejkach w bankach lub na poczcie, niezwykle szybko rozwijającymi się zagrożeniem jest malware ukierunkowany na kradzież środków z konta bankowego podczas transakcji internetowych. Mimo tego, że złośliwe oprogramowanie ewoluuje i w wielu przypadkach staje się bardzo skomplikowane pod względem budowy i wykorzystywanych, zaawansowanych technik ukrywania się oraz mutowania (w celu zmniejszenia wskaźników detekcji przez oprogramowanie antywirusowe), to – według CERT (ang. Computer Emergency Response Team) Polska - końcem 2013 roku w sieci pojawiło się malware, które zostało napisane w języku Visual Basic 6, a jego budowa i funkcje były trywialnie proste. Działanie złośliwego programu ograniczało się w efekcie do podmiany skopiowanego do schowka 26-znakowego ciągu cyfr, na numer konta kontrolowanego przez cyberprzestępców.
Na przełomie 2013 i 2014 roku pojawiła się udoskonalona wersja w/w oprogramowania, napisana w języku .NET. Program rozprzestrzenia się podszywając się pod aplikację Adobe Flash Player i nie pozostawia po sobie śladów. Jest niewidoczny zarówno wizualnie (wykorzystanie właściwości ShowInTaskbar z wartością false i formatki, której jeden z wymiarów zdefiniowany jest na zerową wartość), jak i techniczne – nie pozostawia po sobie żadnych wpisów w rejestrze i nie korzysta z sieci, więc ponowne uruchomienie komputera skutkuje usunięciem szkodliwych zachowań z systemu.Omawiany malware jest zbudowany modularnie – z kilku niezależnych od siebie komponentów. W przypadku gdyby jeden z komponentów (odpowiedzialny np. za komunikację sieciową) został wykryty przez program antywirusowy, drugi komponent mógłby dalej figurować w pamięci operacyjnej.
Innym zagrożeniem wycelowanym w bankowość elektroniczną i przeglądarki internetowe jest złośliwe oprogramowanie sklasyfikowane w pierwszej połowie września 2014 roku. Celem działania malware jest również wprowadzenie innego niż zdefiniowany przez użytkownika numeru konta podczas wykonywania transakcji online, ale bez użycia systemowego schowka. Oprogramowanie określane jako VBKlip 2.0 (o nazwie kodowej Banatrix) w celu zmiany numeru konta, iteruje się po pracujących w pamięci procesach dzięki wykorzystaniu funkcji CreateToolhelp32Snapshot oraz Process32Next. Jeśli w pamięci zostanie odnaleziony jeden z głównych procesów przeglądarek (chrome.exe, firefox.exe, iexplore.exe, opera.exe), to VBKlip 2.0 stara się znaleźć w jego pamięci wszystkie 26-cyfrowe ciągi. Jeśli ciąg zostanie odnaleziony, to złośliwy kod podmienia numer konta w pamięci procesu na numer pobrany z dowolnego, przygotowanego do tego celu serwera. W efekcie tego działania, numer konta w formularzu dostępnym na stronie serwisu transakcyjnego może zmienić się w czasie rzeczywistym – bez odświeżania strony. Występowanie zagrożeń określonych jako VBKlip zostało zarejestrowane tylko na terenie Polski i dotyczy tylko polskich numerów kont bankowych.Bardziej znane - niż dedykowane jedynie użytkownikom z Polski malware - są trojany bankowe (bankowe konie trojańskie).
Według doniesień Kaspersky Lab (2013), najgroźniejszymi aktualnie trojanami bankowymi są Carberp, Citadel, SpyEye oraz ZeuS. Pierwszy wymienionych ewoluował dosyć długo, ale już od samego powstania był bez wątpienia zmorą dla wszystkich użytkowników bankowości elektronicznej. Szkodnik wykradał z zainfekowanych komputerów dane logowania do serwisów bankowych oraz innych portali online. Wszystkie informacje były wysyłane do kontrolowanych przez cyberprzestępców serwerów. W ulepszonej wersji trojana zaimplementowano możliwość dezaktywacji/usuwania oprogramowania zabezpieczającego na zainfekowanym komputerze, przez co Carberp nie dopuszczał do wykrycia złośliwego kodu przez moduły heurystyczne i analizę behawioralną. Szkodnik mógł zostać niezauważony stosunkowo długo, ponieważ ukrywał się w systemie dzięki wykorzystaniu technologii rootkit. Wzrost ilości infekcji odnotowano, gdy możliwości programu poszerzyły się o wykorzystywanie pakietu exploitów mających wpływ na użycie luk w określonym rodzaju oprogramowania (szczególnie w przeglądarkach internetowych). Trojan Carberp potrafił również szyfrować dane przesyłane między serwerami, a zainfekowanymi maszynami, w wyniku czego dane mogły przepływać przez sieć bez wzbudzenia czyichkolwiek podejrzeń. Kod źródłowy programu został opublikowany w sieci w roku 2012 i pociągnęło to za sobą dwa wydarzenia. Pierwsze to umożliwienie wszystkim zainteresowanym wglądu w kod malware i modyfikowanie go na różne sposoby. Drugie to zastosowanie odpowiednich sygnatur statycznych-generycznych oraz heurystycznych, używanych w programach zabezpieczających.
Do momentu wyleczenia przez Microsoft oraz firmy partnerskie niemalże 90% komputerów zarażonych trojanem Citadel, skala infekcji i sieć osób pracujących nad rozwojem szkodnika była poważnym problemem w materii bezpieczeństwa IT oraz bankowości internetowej. Koń trojański swoją popularność zawdzięcza zaawansowanymi technikami szyfrowania własnych plików konfiguracyjnych, komunikacji z serwerami oraz zdolnościami do blokowania domen związanych z oprogramowaniem zabezpieczającym, przez co użytkownik dotknięty infekcją nie miał możliwości pobrania skanerów antywirusowych. Dodatkową funkcją szkodnika była umiejętność uruchamiania kamer internetowych i nagrywania aktywności internautów. Twórcy Citadela wypracowali sieć współpracowników i odbiorców złośliwego oprogramowania, która poszerzała się w bardzo szybkim tempie.
SpyEye to złośliwe oprogramowanie, które według zamierzenia twórców, miało być równie popularnie, jak ZeuS. Jedna z największych akcji kradzieży danych bankowych miała miejsce, gdy SpyEye oraz ZeuS połączyły swoje siły tworząc olbrzymi botnet. Ofiarami szkodnika padli między innymi klienci firm takich jak Verizon, Amazon oraz spora część użytkowników mobilnego systemu operacyjnego – Android. Ograniczenia funkcjonalności SpyEye oraz seria zatrzymań i aresztowań cyberprzestępców, doprowadziła do niemalże naturalnej śmierci trojana. Jego historia kończy się w połowie roku 2013, kiedy to aresztowano domniemanego autora oprogramowania SpyEye. Finalnie, najpopularniejszym pod względem zasięgu i funkcjonalności trojanem bankowym, pozostał ZeuS.
Szkodnik o nazwie ZeuS stał się popularny w roku 2007. Na przestrzeni kilku lat zainfekował kilkadziesiąt milionów komputerów i pozwolił cybeprzestępcom na kradzież setek milionów dolarów. Osoby pracujące nad rozwojem szkodnika stworzyły również mobilne malware - ZitMo, które pomagało przestępcom w obejściu dwu-krokowej autoryzacji przy wykorzystaniu kodów SMS. W roku 2011 kod źródłowy programu został opublikowany w Internecie, a - co za tym idzie – skala infekcji pierwotnym trojanem zaczęła się zmniejszać. Do dzisiaj jednak komponenty oryginalnego ZeuS’a wykorzystywane są przy tworzeniu większości malware, które nastawione jest na kradzież danych oraz pieniędzy przy wykorzystaniu internetowych transakcji bankowych.
Po roku 2011 powstał udoskonalony wariant szkodnika o nazwie GameOver Zeus (GOZ). Ponieważ technologie wspomagania bezpieczeństwa przeglądarek internetowych (CAMP, SmartScreen/AppRep) dysponowały umiejętnością lokalizowania i blokowania zainfekowanych adresów sieciowych, twórcy GOZ zamiast scentralizowanego terminala do wydawania komend i kontrolowania zachowania szkodnika, użyli zdecentralizowaną sieć peer-to-peer (P2P). Za pomocą modelu komunikacji P2P zainfekowane maszyny mogą komunikować się z innymi komputerami, rozsyłając jednocześnie zaszyfrowane instancje GOZ w formie spamu ze złośliwym kodem oraz metodami phishing. Ponadto zainfekowane komputery mogą być wykorzystywane do ataków distributed denial-of-service (DDoS). Wszystkie nowoczesne trojany bankowe posiadają kilka podstawowych cech wspólnych:
• wykorzystują komponenty key-logger
• ukrywają swoja obecność w systemie operacyjnym
• kradną dane do logowania z przeglądarek internetowych
Zapobieganie infekcjom nie jest rzeczą wysublimowanie trudną. Według zaleceń United States Computer Emergency Readiness Team (US-CERT) należy korzystać renomowanego oprogramowania antywirusowego działającego w czasie rzeczywistym, zadbać o dostarczenie systemowi i aplikacjom wszystkich aktualizacji/poprawek oraz zmieniać hasła do serwisów internetowych w przypadku podejrzewania infekcji. Ponadto, banki stale przypominają swoim klientom o zachowaniu ograniczonego zaufania w stosunku do maili i wszelkich wiadomości dotyczących bankowości elektronicznej, pochodzących z sieci Internet lub dostarczanych do użytkowników za pomocą wiadomości SMS. Jednym z licznych przykładów jest Deutsche Bank, który nigdy nie stosuje weryfikacji danych na poziomie poczty elektronicznej, czy wiadomości SMS. Sprawa jest wyjątkowo klarowna i każdy z nas oczywiście to wie, ale musiałem zwieńczyć tą część tematu
Bezpieczne protokoły SSL/TLS i wykorzystywane przez nie algorytmy szyfrowania
Każdy posiadacz internetowego rachunku bankowego, przy ocenie strony logowania do serwisu transakcyjnego, powinien również zwracać szczególną uwagę na bezpieczeństwo połączenia z serwerem banku. Wymiana informacji między klientem, a bankiem w każdym przypadku powinna odbywać się zaszyfrowaną drogą z wykorzystaniem TLS (ang. Transport Layer Security). Jest to standaryzowane rozwinięcie bezpiecznego protokołu SSL (stworzonego w roku 1994), które powstało w drugiej połowie lat dziewięćdziesiątych (1999) - niegdyś SSL v3.1. Protokół umożliwia szyfrowanie symetryczne oraz asymetryczne.
Szyfrowanie symetryczne polega na użyciu tego samego klucza w celu szyfrowania oraz deszyfrowania danych. Jeśli klucz szyfrujący zostanie udostępniony, to osoby postronne mogą za jego pomocą odszyfrować informacje. Szyfrowanie asymetryczne (szyfrowanie z zastosowaniem klucza publicznego) używa innych kluczy zarówno do szyfrowania, jak i deszyfrowania danych. Klucz szyfrujący udostępniony jest publicznie, lecz dane które są zaszyfrowane można odczytać jedynie z użyciem klucza deszyfrującego (klucza prywatnego). Mimo tego, że protokół SSL kojarzony jest bardzo często z protokołem http, to jego zastosowanie można wykorzystać również do szyfrowania wieli innych protokołów (m.in.: SMTP, IMAPI, NNTP, POP, Telnet oraz FTP), które w swoim standardzie nie zapewniają domyślnie szyfrowania transmisji. Omawiany protokół jest wykorzystywany do uwierzytelniania użytkowników oraz do zapewniania integralności przesyłanych danych – oznacza to, że można zagwarantować, iż dane odebrane są takie same jak dane wysłane. Najnowsza wersja protokołu SSL może wykorzystywać algorytmy szyfrowania takie jak: 3DES, DES, RC4, RC2, IDEA, RSA oraz DSS.
Pasek adresu serwisu bankowego w przeglądarce (podczas logowania do serwisu) powinien wyglądać podobnie do przedstawionego na obrazku powyżej. Ważnym jest, aby certyfikat był zweryfikowany oraz aktualny. Nowoczesne przeglądarki internetowe informują użytkownika w przypadku, kiedy wykryją jakiekolwiek nieścisłości dotyczące wiarygodności połączenia.
Uogólniona zasada działania protokołu SSL została przedstawiona w kilku krokach:
1. Z wykorzystaniem protokołu HTTPS klient łączy się z serwerem udostępniającym określoną usługę;
2. Po ustaleniu przez serwer wspólnego algorytmu, dzięki któremu transmisja zostanie zaszyfrowana, do klienta zostaje wysłany klucz publiczny (certyfikat);
3. Dzięki certyfikatowi potwierdzającemu tożsamość serwera, klient jest w stanie uwierzytelnić serwer, z którego wysłany został klucz;
4. Po wygenerowaniu dwóch liczb losowych, klient generuje klucz główny transmisji i szyfruje go przy wykorzystaniu wcześniej otrzymanego z serwera klucza publicznego. Klucz główny zostaje wysłany do serwera;
5. Klucz główny otrzymany od klienta zostaje odszyfrowany przez serwer na podstawie klucza prywatnego serwera;
6. Serwer oraz klient tworzą takie same klucze sesji dzięki wykorzystaniu klucza głównego oraz wygenerowanych wcześniej przez klienta liczb;
7. Wszystkie dane wysyłane w kanale między klientem, a serwerem są zakodowane (zaszyfrowane) kluczem indywidualnej sesji.
Komunikacja z wykorzystaniem SSL/TLS opiera się o trzy podstawowe mechanizmy: szyfrowanie – mechanizm do zaciemniania danych wysyłanych z jednego komputera do innego; uwierzytelnianie – mechanizm do weryfikacji poprawności i spójności danych oraz nadawcy/odbiorcy; integralność – mechanizm pozwalający wykrywać wiadomości fałszywe/niezgodne z wymaganiami transmisji.
Żaden fragment tekstu publikacji nie może być powielany oraz rozpowszechniany w żadnej formie i w żaden sposób bez uprzedniego zezwolenia autora.
Źródła:
1. M. Gorge, P. Brudenall: Phishing i pharminga konieczność stosowania mocnego uwierzytelniania użytkownika [w
E-biznes bez ryzyka. Zarządzanie bezpieczeństwem w sieci, red. J. Reuvid
2. T. Kulisiewicz: Polskie banki w przeddzień integracji z Unią Europejską. Stan dzisiejszy i najbliższe perspektywy, potencjalni nowi gracze, [w VII Forum Bankowości Elektronicznej – Elektroniczny pieniądz i inne elektroniczne instrumenty płatnicze, Centrum Promocji Informatyki
3. M. Polasik: Bankowość elektroniczna. Istota-Stan-Perspektywy
4. Netopedia – Bankowość elektroniczna
5. CERT Polska: Nowy trojan bankowy napisany w .NET (VBKlip): bez sieci, bez rejestru, nie wykrywany przez AV
6. CERT Polska: Podsumowanie zagrożenia VBKlip
7. CERT Polska: VBKlip: Bez schowka, za to z efektami specjalnymi
8. Kaspersky Lab News - Pieniądze na celowniku – cztery najgroźniejsze trojany bankowe
9. US-CERT: GameOver Zeus P2P Malware – Alert (TA14-150A)
10. Korespondencja wewnętrzna z klientami banku - komunikat z dnia 27.06.2014: Bezpieczne korzystanie z systemów bankowości internetowej – przypomnienie
11. Deutsche Bank: Beware of vishing attacks
12. B. Sosinsky: Sieci komputerowe. Biblia
13. K. Krysiak: Sieci komputerowe. Kompendium (wydanie II)
14. I. Grigorik: High Performance Browser Networking
Bankowość elektroniczna - definicje i zagrożenia
Mimo tego, że bankowość elektroniczna nie jest już terminem nowym, to jednak wciąż jej poprawne zdefiniowanie może stwarzać problemy, w zależności od punktu patrzenia na powyższe pojęcie. Definicje bankowości elektronicznej różnią się w znacznym stopniu – terminologia techniczna/informatyczna jest zupełnie inna niż terminologia wykorzystywana przez banki w zakresie handlu, czy szeroko pojętego marketingu. Michał Polasik, autor książki Bankowość elektroniczna Istota-Stan-Perspektywy, w definiowaniu bankowości elektronicznej posłużył się następującym podziałem:
a. Zestaw środków technicznych
b. Bankowość elektroniczna jako usługa
c. Specyficzna forma działalności
Ze względu na tematykę wpisu krótko opisane zostaną jedynie punkty a. oraz b., które są ściśle związane z bankowością od strony informatycznej oraz bezpieczeństwem usług udostępnianych przez banki za pomocą sieci Internet.
E-Banking jako zestaw środków technicznych:
Definicja ta jest mocno związana z kanałami dystrybucji, które umożliwiają dostęp do usług oferowanych przez banki. Popularność definicji wynika z tego, że niemalże każdy klient banków ma bezpośrednią styczność z urządzeniami technicznymi, które w świadczeniach bankowości pośredniczą.
Cytat:Bankowość elektroniczna jest to zestaw środków teleinformatycznych umożliwiający zdalny dostęp do rachunku bankowego.
Kluczowymi elementami w definiowaniu bankowości elektronicznej z perspektywy technicznej jest zdalny dostęp oraz wykorzystanie w komunikacji systemów informatycznych. Sformułowanie to zawiera więc szeroki zakres narzędzi i środków technicznych, wykorzystywanych w bankowości internetowej.
Bankowość internetowa jako rodzaj usługi:
Podejściem mniej technicznym jest zdefiniowanie bankowości elektronicznej jako usługi, która świadczona jest klientom przez banki. Definicja ta była bliższa dla samych banków, które możliwość korzystania z konta internetowego przedstawiały jako cześć oferty.
Cytat:Usługa świadczona przez banki swoim klientom polegająca na możliwości przeprowadzania przez nich zdalnych operacji na kontach i obracania pieniędzmi na odległość przy pomocy komputera, modemu, publicznej sieci telefonicznej lub Internetu oraz dedykowanego oprogramowania.
W przypadku operacji bankowych przy użyciu komputerów klasy PC, dedykowane oprogramowanie może, a nawet powinno być interpretowane jako przeglądarka internetowa, ponieważ niemalże wszystkie transakcje bankowe realizowane są za pośrednictwem specjalistycznych serwisów www. Sytuacja wygląda inaczej jedynie podczas realizowania transakcji za pomocą aplikacji dostępnych dla mobilnych systemów operacyjnych, takich jak np. Windows Phone 8.1. W tym wypadku do połączenia z serwisem bankowym wykorzystywana jest dedykowana aplikacja nie będąca przeglądarką internetową. Nie znaczy to jednak, że dostęp do serwisów bankowych nie jest możliwy za pośrednictwem przeglądarki w wersji mobilnej. W desktopowym systemie Windows 8/8.1 interfejs użytkownika podzielony został na klasyczne GUI – pulpit systemu Windows oraz na interfejs Modern UI (wcześniej Metro UI). Nowy interfejs umożliwił instalowanie aplikacji klienckich do zarządzania kontem i przeprowadzania transakcji w banku internetowym bez użycia przeglądarki. Zabieg ten został zastosowany w celu ograniczenia kodu programu klienckiego oraz jego funkcji, do tych niezbędnych dla poprawnego operowania usługami i środkami na koncie.
Rozwój bankowości elektronicznej oraz zagrożeń na nią wpływających
Według opinii banków (N = 34) w roku 2004 barierą hamującą rozwój bankowości elektronicznej dla 71% ankietowanych był brak poczucia bezpieczeństwa w Internecie. To samo stwierdziło również 37% ankietowanych internautów (N = 1304) - tego samego roku. W dalszej części tekstu przedstawione zostały wybrane zagrożenia dla bankowości elektronicznej i użytkowników korzystających z internetowych serwisów transakcyjnych.
Aktualnie, gdy niemalże codziennie użytkownicy Internetu korzystają z bankowości online, unikając przy tym czekania w długich kolejkach w bankach lub na poczcie, niezwykle szybko rozwijającymi się zagrożeniem jest malware ukierunkowany na kradzież środków z konta bankowego podczas transakcji internetowych. Mimo tego, że złośliwe oprogramowanie ewoluuje i w wielu przypadkach staje się bardzo skomplikowane pod względem budowy i wykorzystywanych, zaawansowanych technik ukrywania się oraz mutowania (w celu zmniejszenia wskaźników detekcji przez oprogramowanie antywirusowe), to – według CERT (ang. Computer Emergency Response Team) Polska - końcem 2013 roku w sieci pojawiło się malware, które zostało napisane w języku Visual Basic 6, a jego budowa i funkcje były trywialnie proste. Działanie złośliwego programu ograniczało się w efekcie do podmiany skopiowanego do schowka 26-znakowego ciągu cyfr, na numer konta kontrolowanego przez cyberprzestępców.
Na przełomie 2013 i 2014 roku pojawiła się udoskonalona wersja w/w oprogramowania, napisana w języku .NET. Program rozprzestrzenia się podszywając się pod aplikację Adobe Flash Player i nie pozostawia po sobie śladów. Jest niewidoczny zarówno wizualnie (wykorzystanie właściwości ShowInTaskbar z wartością false i formatki, której jeden z wymiarów zdefiniowany jest na zerową wartość), jak i techniczne – nie pozostawia po sobie żadnych wpisów w rejestrze i nie korzysta z sieci, więc ponowne uruchomienie komputera skutkuje usunięciem szkodliwych zachowań z systemu.Omawiany malware jest zbudowany modularnie – z kilku niezależnych od siebie komponentów. W przypadku gdyby jeden z komponentów (odpowiedzialny np. za komunikację sieciową) został wykryty przez program antywirusowy, drugi komponent mógłby dalej figurować w pamięci operacyjnej.
Innym zagrożeniem wycelowanym w bankowość elektroniczną i przeglądarki internetowe jest złośliwe oprogramowanie sklasyfikowane w pierwszej połowie września 2014 roku. Celem działania malware jest również wprowadzenie innego niż zdefiniowany przez użytkownika numeru konta podczas wykonywania transakcji online, ale bez użycia systemowego schowka. Oprogramowanie określane jako VBKlip 2.0 (o nazwie kodowej Banatrix) w celu zmiany numeru konta, iteruje się po pracujących w pamięci procesach dzięki wykorzystaniu funkcji CreateToolhelp32Snapshot oraz Process32Next. Jeśli w pamięci zostanie odnaleziony jeden z głównych procesów przeglądarek (chrome.exe, firefox.exe, iexplore.exe, opera.exe), to VBKlip 2.0 stara się znaleźć w jego pamięci wszystkie 26-cyfrowe ciągi. Jeśli ciąg zostanie odnaleziony, to złośliwy kod podmienia numer konta w pamięci procesu na numer pobrany z dowolnego, przygotowanego do tego celu serwera. W efekcie tego działania, numer konta w formularzu dostępnym na stronie serwisu transakcyjnego może zmienić się w czasie rzeczywistym – bez odświeżania strony. Występowanie zagrożeń określonych jako VBKlip zostało zarejestrowane tylko na terenie Polski i dotyczy tylko polskich numerów kont bankowych.Bardziej znane - niż dedykowane jedynie użytkownikom z Polski malware - są trojany bankowe (bankowe konie trojańskie).
Według doniesień Kaspersky Lab (2013), najgroźniejszymi aktualnie trojanami bankowymi są Carberp, Citadel, SpyEye oraz ZeuS. Pierwszy wymienionych ewoluował dosyć długo, ale już od samego powstania był bez wątpienia zmorą dla wszystkich użytkowników bankowości elektronicznej. Szkodnik wykradał z zainfekowanych komputerów dane logowania do serwisów bankowych oraz innych portali online. Wszystkie informacje były wysyłane do kontrolowanych przez cyberprzestępców serwerów. W ulepszonej wersji trojana zaimplementowano możliwość dezaktywacji/usuwania oprogramowania zabezpieczającego na zainfekowanym komputerze, przez co Carberp nie dopuszczał do wykrycia złośliwego kodu przez moduły heurystyczne i analizę behawioralną. Szkodnik mógł zostać niezauważony stosunkowo długo, ponieważ ukrywał się w systemie dzięki wykorzystaniu technologii rootkit. Wzrost ilości infekcji odnotowano, gdy możliwości programu poszerzyły się o wykorzystywanie pakietu exploitów mających wpływ na użycie luk w określonym rodzaju oprogramowania (szczególnie w przeglądarkach internetowych). Trojan Carberp potrafił również szyfrować dane przesyłane między serwerami, a zainfekowanymi maszynami, w wyniku czego dane mogły przepływać przez sieć bez wzbudzenia czyichkolwiek podejrzeń. Kod źródłowy programu został opublikowany w sieci w roku 2012 i pociągnęło to za sobą dwa wydarzenia. Pierwsze to umożliwienie wszystkim zainteresowanym wglądu w kod malware i modyfikowanie go na różne sposoby. Drugie to zastosowanie odpowiednich sygnatur statycznych-generycznych oraz heurystycznych, używanych w programach zabezpieczających.
Do momentu wyleczenia przez Microsoft oraz firmy partnerskie niemalże 90% komputerów zarażonych trojanem Citadel, skala infekcji i sieć osób pracujących nad rozwojem szkodnika była poważnym problemem w materii bezpieczeństwa IT oraz bankowości internetowej. Koń trojański swoją popularność zawdzięcza zaawansowanymi technikami szyfrowania własnych plików konfiguracyjnych, komunikacji z serwerami oraz zdolnościami do blokowania domen związanych z oprogramowaniem zabezpieczającym, przez co użytkownik dotknięty infekcją nie miał możliwości pobrania skanerów antywirusowych. Dodatkową funkcją szkodnika była umiejętność uruchamiania kamer internetowych i nagrywania aktywności internautów. Twórcy Citadela wypracowali sieć współpracowników i odbiorców złośliwego oprogramowania, która poszerzała się w bardzo szybkim tempie.
SpyEye to złośliwe oprogramowanie, które według zamierzenia twórców, miało być równie popularnie, jak ZeuS. Jedna z największych akcji kradzieży danych bankowych miała miejsce, gdy SpyEye oraz ZeuS połączyły swoje siły tworząc olbrzymi botnet. Ofiarami szkodnika padli między innymi klienci firm takich jak Verizon, Amazon oraz spora część użytkowników mobilnego systemu operacyjnego – Android. Ograniczenia funkcjonalności SpyEye oraz seria zatrzymań i aresztowań cyberprzestępców, doprowadziła do niemalże naturalnej śmierci trojana. Jego historia kończy się w połowie roku 2013, kiedy to aresztowano domniemanego autora oprogramowania SpyEye. Finalnie, najpopularniejszym pod względem zasięgu i funkcjonalności trojanem bankowym, pozostał ZeuS.
Szkodnik o nazwie ZeuS stał się popularny w roku 2007. Na przestrzeni kilku lat zainfekował kilkadziesiąt milionów komputerów i pozwolił cybeprzestępcom na kradzież setek milionów dolarów. Osoby pracujące nad rozwojem szkodnika stworzyły również mobilne malware - ZitMo, które pomagało przestępcom w obejściu dwu-krokowej autoryzacji przy wykorzystaniu kodów SMS. W roku 2011 kod źródłowy programu został opublikowany w Internecie, a - co za tym idzie – skala infekcji pierwotnym trojanem zaczęła się zmniejszać. Do dzisiaj jednak komponenty oryginalnego ZeuS’a wykorzystywane są przy tworzeniu większości malware, które nastawione jest na kradzież danych oraz pieniędzy przy wykorzystaniu internetowych transakcji bankowych.
Po roku 2011 powstał udoskonalony wariant szkodnika o nazwie GameOver Zeus (GOZ). Ponieważ technologie wspomagania bezpieczeństwa przeglądarek internetowych (CAMP, SmartScreen/AppRep) dysponowały umiejętnością lokalizowania i blokowania zainfekowanych adresów sieciowych, twórcy GOZ zamiast scentralizowanego terminala do wydawania komend i kontrolowania zachowania szkodnika, użyli zdecentralizowaną sieć peer-to-peer (P2P). Za pomocą modelu komunikacji P2P zainfekowane maszyny mogą komunikować się z innymi komputerami, rozsyłając jednocześnie zaszyfrowane instancje GOZ w formie spamu ze złośliwym kodem oraz metodami phishing. Ponadto zainfekowane komputery mogą być wykorzystywane do ataków distributed denial-of-service (DDoS). Wszystkie nowoczesne trojany bankowe posiadają kilka podstawowych cech wspólnych:
• wykorzystują komponenty key-logger
• ukrywają swoja obecność w systemie operacyjnym
• kradną dane do logowania z przeglądarek internetowych
Zapobieganie infekcjom nie jest rzeczą wysublimowanie trudną. Według zaleceń United States Computer Emergency Readiness Team (US-CERT) należy korzystać renomowanego oprogramowania antywirusowego działającego w czasie rzeczywistym, zadbać o dostarczenie systemowi i aplikacjom wszystkich aktualizacji/poprawek oraz zmieniać hasła do serwisów internetowych w przypadku podejrzewania infekcji. Ponadto, banki stale przypominają swoim klientom o zachowaniu ograniczonego zaufania w stosunku do maili i wszelkich wiadomości dotyczących bankowości elektronicznej, pochodzących z sieci Internet lub dostarczanych do użytkowników za pomocą wiadomości SMS. Jednym z licznych przykładów jest Deutsche Bank, który nigdy nie stosuje weryfikacji danych na poziomie poczty elektronicznej, czy wiadomości SMS. Sprawa jest wyjątkowo klarowna i każdy z nas oczywiście to wie, ale musiałem zwieńczyć tą część tematu
Bezpieczne protokoły SSL/TLS i wykorzystywane przez nie algorytmy szyfrowania
Każdy posiadacz internetowego rachunku bankowego, przy ocenie strony logowania do serwisu transakcyjnego, powinien również zwracać szczególną uwagę na bezpieczeństwo połączenia z serwerem banku. Wymiana informacji między klientem, a bankiem w każdym przypadku powinna odbywać się zaszyfrowaną drogą z wykorzystaniem TLS (ang. Transport Layer Security). Jest to standaryzowane rozwinięcie bezpiecznego protokołu SSL (stworzonego w roku 1994), które powstało w drugiej połowie lat dziewięćdziesiątych (1999) - niegdyś SSL v3.1. Protokół umożliwia szyfrowanie symetryczne oraz asymetryczne.
Szyfrowanie symetryczne polega na użyciu tego samego klucza w celu szyfrowania oraz deszyfrowania danych. Jeśli klucz szyfrujący zostanie udostępniony, to osoby postronne mogą za jego pomocą odszyfrować informacje. Szyfrowanie asymetryczne (szyfrowanie z zastosowaniem klucza publicznego) używa innych kluczy zarówno do szyfrowania, jak i deszyfrowania danych. Klucz szyfrujący udostępniony jest publicznie, lecz dane które są zaszyfrowane można odczytać jedynie z użyciem klucza deszyfrującego (klucza prywatnego). Mimo tego, że protokół SSL kojarzony jest bardzo często z protokołem http, to jego zastosowanie można wykorzystać również do szyfrowania wieli innych protokołów (m.in.: SMTP, IMAPI, NNTP, POP, Telnet oraz FTP), które w swoim standardzie nie zapewniają domyślnie szyfrowania transmisji. Omawiany protokół jest wykorzystywany do uwierzytelniania użytkowników oraz do zapewniania integralności przesyłanych danych – oznacza to, że można zagwarantować, iż dane odebrane są takie same jak dane wysłane. Najnowsza wersja protokołu SSL może wykorzystywać algorytmy szyfrowania takie jak: 3DES, DES, RC4, RC2, IDEA, RSA oraz DSS.
[Aby zobaczyć linki, zarejestruj się tutaj]
Witryna zweryfikowana - szyfrowane połączenie z serweremPasek adresu serwisu bankowego w przeglądarce (podczas logowania do serwisu) powinien wyglądać podobnie do przedstawionego na obrazku powyżej. Ważnym jest, aby certyfikat był zweryfikowany oraz aktualny. Nowoczesne przeglądarki internetowe informują użytkownika w przypadku, kiedy wykryją jakiekolwiek nieścisłości dotyczące wiarygodności połączenia.
Uogólniona zasada działania protokołu SSL została przedstawiona w kilku krokach:
1. Z wykorzystaniem protokołu HTTPS klient łączy się z serwerem udostępniającym określoną usługę;
2. Po ustaleniu przez serwer wspólnego algorytmu, dzięki któremu transmisja zostanie zaszyfrowana, do klienta zostaje wysłany klucz publiczny (certyfikat);
3. Dzięki certyfikatowi potwierdzającemu tożsamość serwera, klient jest w stanie uwierzytelnić serwer, z którego wysłany został klucz;
4. Po wygenerowaniu dwóch liczb losowych, klient generuje klucz główny transmisji i szyfruje go przy wykorzystaniu wcześniej otrzymanego z serwera klucza publicznego. Klucz główny zostaje wysłany do serwera;
5. Klucz główny otrzymany od klienta zostaje odszyfrowany przez serwer na podstawie klucza prywatnego serwera;
6. Serwer oraz klient tworzą takie same klucze sesji dzięki wykorzystaniu klucza głównego oraz wygenerowanych wcześniej przez klienta liczb;
7. Wszystkie dane wysyłane w kanale między klientem, a serwerem są zakodowane (zaszyfrowane) kluczem indywidualnej sesji.
Komunikacja z wykorzystaniem SSL/TLS opiera się o trzy podstawowe mechanizmy: szyfrowanie – mechanizm do zaciemniania danych wysyłanych z jednego komputera do innego; uwierzytelnianie – mechanizm do weryfikacji poprawności i spójności danych oraz nadawcy/odbiorcy; integralność – mechanizm pozwalający wykrywać wiadomości fałszywe/niezgodne z wymaganiami transmisji.
Żaden fragment tekstu publikacji nie może być powielany oraz rozpowszechniany w żadnej formie i w żaden sposób bez uprzedniego zezwolenia autora.
Źródła:
1. M. Gorge, P. Brudenall: Phishing i pharminga konieczność stosowania mocnego uwierzytelniania użytkownika [w
E-biznes bez ryzyka. Zarządzanie bezpieczeństwem w sieci, red. J. Reuvid2. T. Kulisiewicz: Polskie banki w przeddzień integracji z Unią Europejską. Stan dzisiejszy i najbliższe perspektywy, potencjalni nowi gracze, [w
VII Forum Bankowości Elektronicznej – Elektroniczny pieniądz i inne elektroniczne instrumenty płatnicze, Centrum Promocji Informatyki3. M. Polasik: Bankowość elektroniczna. Istota-Stan-Perspektywy
4. Netopedia – Bankowość elektroniczna
5. CERT Polska: Nowy trojan bankowy napisany w .NET (VBKlip): bez sieci, bez rejestru, nie wykrywany przez AV
6. CERT Polska: Podsumowanie zagrożenia VBKlip
7. CERT Polska: VBKlip: Bez schowka, za to z efektami specjalnymi
8. Kaspersky Lab News - Pieniądze na celowniku – cztery najgroźniejsze trojany bankowe
9. US-CERT: GameOver Zeus P2P Malware – Alert (TA14-150A)
10. Korespondencja wewnętrzna z klientami banku - komunikat z dnia 27.06.2014: Bezpieczne korzystanie z systemów bankowości internetowej – przypomnienie
11. Deutsche Bank: Beware of vishing attacks
12. B. Sosinsky: Sieci komputerowe. Biblia
13. K. Krysiak: Sieci komputerowe. Kompendium (wydanie II)
14. I. Grigorik: High Performance Browser Networking
SpyShelter Firewall
