Mají sofistikovaná řešení sloužící k detekci bankovního malwaru šanci?

Tato řešení by měla být schopna odhalit útok ještě dříve, než začne, jenže…

Pokud se zajímáte o crimeware a speciálně pak o bankovní malware, tak jste zcela jistě zaznamenali, že již nějakou dobu jsou na trhu poměrně sofistikovaná řešení, která by měla detekovat bankovní malware na zařízeních uživatelů a pokusy o realizaci podvodných transakcí.

Přesto počet obětí bankovního malwaru roste a s tím i celková škoda, kterou útočníci klientům a bankám způsobili. Na nejrůznějších diskusních fórech u nás i ve světě se proto celkem logicky objevují dotazy, proč s tím banky něco nedělají.

Skutečnost je bohužel taková, že banky toho moc udělat nemohou, protože v okamžiku, kdy je použita dvoufaktorová autentizace a platba je realizována z počítače klienta a transakce je potvrzena jednorázovým heslem nebo podepsána, tak banka nemá jak poznat, že transakci realizoval někdo jiný než její klient.

Pokud banka používá systém pro detekci podvodů (Fraud Detection System, zkr. FDS), tak ani ten nevyhodnotí transakci jako podezřelou, protože jak již bylo řečeno výše, je realizována z počítače klienta, v obvyklou dobu, jedná se o částku, která nevybočuje z nějakého průměru a odchází na jiný účet buď v téže bance, nebo do jiné banky v ČR, a tudíž se nejeví jako podezřelá.

Je zřejmé, že část klientů nebude nikdy dodržovat základní bezpečnostní doporučení, natož aby aktivně podnikala nějaké další kroky ke zvýšení své bezpečnosti, a bude raději předpokládat, že je banka před těmito útoky ochrání. Ta však bohužel moc možností nemá, a i když nasadí nějaké sofistikované řešení k odhalování bankovního malwaru, nemůže se na něj moc spolehnout.

Tato řešení fungují buď ve formě skriptu, který banka začlení přímo do stránek svého internetového bankovnictví nebo jako aplikace, kterou si klient banky musí do svého počítače nainstalovat, stejně jako antivirus nebo personální firewall. Níže jsou uvedena nejčastější tvrzení výrobců těchto řešení.

Detekujeme spuštění falešného webu a zadání přihlašovacích údajů na phishing site

Tvrzení dodavatele: V okamžiku, kdy si útočník stáhne webové stránky a ty bez nějakých dalších úprav umístí na svůj server, na který bude nebohé klienty přesměrovávat, tak komponenta, která je nedílnou součástí těchto stránek, nám již v okamžiku prvního přístupu nahlásí, že byla spuštěna na jiném serveru a stejně tak i nahlásí, že na ni zavítala oběť a zadala přihlašovací údaje.

Realita: Kdysi to tak možná fungovalo, ale doba se mění. Útočník webové stránky stahuje jen proto, aby měl k dispozici použité grafické prvky a kaskádové styly a text, který se na stránce nachází, a mohl vytvořit vzhledově identickou stránku. Ta vzhledem ke své jednoduchosti může paradoxně obsahovat i méně prohřešků proti validitě, a jelikož se na ní nenachází ona komponenta, tak k vygenerování žádného alertu nedojde.

Detekujeme vložení cizího kódu do stránky

Tvrzení dodavatele: V okamžiku, kdy se na zařízení klienta nachází malware, tak naše speciální komponenta, která je součástí stránky, je schopna detekovat, zda do stránky nebyl vložen cizí kód. např. nový javascript nebo formulář. A pokud ano, tak nám zašle hlášení o tom, že stránka byla modifikována.

Realita: Útočník nepotřebuje do stránky vkládat nějaký svůj kód. Algoritmus, který prochází DOM, generuje kontrolní součty, provádí šifrování a dešifrování na aplikační úrovni postrádá smysl, protože k žádné změně ve stránce nemusí dojít. A pokud k nějakým změnám na stránce dojde, tak až poté, co je daná komponenta vyřazena z provozu nebo jinak obejeta.

Detekujeme, že je transakce zadávána útočníkem

Tvrzení dodavatele: Za tímto účelem pořizujeme pomocí javascriptu otisk počítače, ze kterého klient přistupuje a zaznamenáváme i čas, GeoIP, realizované transakce, chování klienta, na co kliká apod.

Realita: Tato detekce může být poměrně úspěšná. Tímto způsobem lze ověřit, že transakce byla zadána z počítače, ze kterého klient obvykle transakci realizuje, a pokud dochází i ke kontrole chování pak lze ověřit, že transakci realizuje skutečně klient. Kontrolou proti již proběhnuvším transakcím v minulosti lze usuzovat, zda klient danou transakci opravdu realizovat chtěl, či nikoliv.

Závěr: Většinu řešení je možno maximálně do několika dnů obejít nebo vyřadit z provozu, a lze předpokládat, že pokud by došlo k jejich rozšíření, tak se tato funkce stane nedílnou součástí i samotného malwaru. V okamžiku, kdy je podvodná transakce realizována přímo z počítače oběti, je velice obtížné ji detekovat, a proto většina řešení selhává. Asi nejvhodnějším řešením, jak dopad těchto útoků snížit, je, nabídnout klientům bezpečný způsob autentizace a autorizace transakce a opustit zcela koncept jednorázových hesel zasílaných ve formě SMS a čteček čipových karet pevně spojených s počítačem.


Pokud vás tento příspěvek zaujal, sdílejte ho!
Share on FacebookShare on LinkedInTweet about this on TwitterShare on Google+Email this to someonePrint this page

Štítky:


K článku “Mají sofistikovaná řešení sloužící k detekci bankovního malwaru šanci?” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: