MENU

Obrona przed nowymi zagrożeniami w bezpieczeństwie klientów banków

8 lipca 2014CSO, Polecane tematy, Rynek

Czy ciągle powtarzane jak mantra informacje o kontrolowaniu URL i połączenia SSL z serwisem w dobie ataków Man-In-The-Middle i Man-In-The-Browser stosowanych w najnowszych atakach na nasze konta mają jakiekolwiek znaczenie? To tylko jedno z pytań, na które odpowie Zbigniew Szmigiero, Customer Technical Professional w IBM Security Systems, Software Group w IBM Polska.

523496_51052131

Inne ważne pytania stojące dziś przed klientami banków to: czy wyspecjalizowane robaki przejmujące zarówno stację roboczą a następnie infekujące urządzenia mobilne klienta banku a tym samym mające kontrolę nad niezależnym kanałem potwierdzenia transakcji – usługą SMS – mogą być przez nas identyfikowane samodzielnie?

Klienci banków są świadomi zagrożeń, ale zazwyczaj nie posiadają wystarczającej wiedzy i narzędzi pozwalających właściwie kontrolować i zarządzać ryzykiem związanym z dostępem do bankowości elektronicznej. Czy nasza wiedza ma się opierać jedynie na serwisach i poradach dostarczanych przez bank w ramach „najlepszych praktyk” po zalogowaniu się do serwisu? Gdzie mieści się odpowiedzialność klienta a gdzie rola banku w ochronie naszych pieniędzy?

W dobie metamorficznego oprogramowania złośliwego (np. Zeus) niewykrywanego przez 95% istniejącego oprogramowania antywirusowego opartego o sygnatury a będącego zazwyczaj jedyną (o ile w ogóle istniejącą) barierą pomiędzy przestępca a klientem banku rola instytucji finansowej musi ulec zmianie!

Rok 2013 wykazał nieskuteczność istniejących systemów ochrony transakcyjnej na styku klient-bank w komunikacji elektronicznej. W znakomitej ilości przypadków atak oparty był o infekcję po stronie klienta, czasem wykorzystując słabość procesu (np. brak potwierdzeń zmiany konta przelewu), czasem socjotechnikę (potwierdzanie stanu aplikacji po stronie klienta i podszywanie się pod call center), a coraz częściej całkowicie przejmując tożsamość, uwierzytelnienie i kanał potwierdzający.
W dobie metamorficznego oprogramowania złośliwego (np. Zeus) niewykrywanego przez 95% istniejącego oprogramowania antywirusowego opartego o sygnatury a będącego zazwyczaj jedyną (o ile w ogóle istniejącą) barierą pomiędzy przestępca a klientem banku rola instytucji finansowej musi ulec zmianie!

Dalsze definiowanie podziału odpowiedzialności jedynie do identyfikacji przez bank naruszenia poprzez reguły behawioralne oparte o analizę statystyczną lub zamknięte w ramach rozpoznanego i identyfikowalnego przez bank „malware” będzie (sądzę ze jest już) nieadekwatne zarówno w obrębie kosztów obsługi strat jak i wizerunku instytucji w oczach klienta obecnego i przyszłego” – mówi Zbigniew Szmigiero.

Zwiększone ryzyko strat widoczne jest poprzez wzmożoną aktywność instytucji bankowych w poszukiwaniu skuteczniejszych metod eliminacji zagrożeń w omawianym obszarze co nieuchronnie prowadzić musi do konkluzji o konieczności wsparcia klienta w diagnostyce potencjalnych i rzeczywistych zagrożeń.

Identyfikacja urządzeń i użytkowników w oparciu o parametry sesji HTTPS nie stanowi żadnej bariery w skutecznym podszywaniu się pod klienta po wcześniejszej kradzieży tożsamości i uwierzytelnienia. Ataki przeglądarkowe: BHO, Function Hooking, DOM, instalacja fałszywego certyfikatu CA i re-szyfracja SSL a nawet „trywialna” instalacja keyloggera są niewykrywalne dla banku bez analizy aktywności dokonywanej bezpośrednio na stacji dostępowej klienta. Niewykryty „malware” na stacji roboczej zdolny jest do infekcji urządzenia mobilnego i kontrolowania bankowych usług mobilnych. W każdym wymienionym przypadku brak wiedzy o stanie bezpieczeństwa użytkownika jest kluczem do słabości istniejących rozwiązań. Jak identyfikować bieżące ryzyko jeśli nie mamy wiedzy KIM jest logujący się do systemu, KIM jest potwierdzający transakcję poprzez SMS!” – komentuje Zbigniew Szmigiero.

Czy jednak tak być musi? Zapraszamy na – organizowane wspólnie przez ITwiz, IBM Polska oraz serwis e-webinaria.pl – seminarium, podczas którego pokazany zostanie pokaz na żywo ataku na klienta banku, m.in. z użyciem złośliwego oprogramowania Zeus.

Zapraszamy do rejestracji na stronie e-webinarium „Mój komputer, moje bezpieczeństwo”.

The following two tabs change content below.
Adam Jadczak

Adam Jadczak

O IT w biznesie pisze od 23 lat. Specjalizuje się w zagadnieniach związanych z rynkiem IT oraz informatyką w zastosowaniach biznesowych. Od września 2013 roku redaktor naczelny serwisu ITwiz.pl, od kwietnia 2014 roku redaktor naczelny magazynu ITwiz. Pomysłodawca raportu ITwiz Best 100 „Dwa oblicza IT”, wydanego w czerwcu 2015 roku.

Podobne tematy:

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

« »