CyberbezpieczeństwoRynekPolecane tematy

Obrona przed nowymi zagrożeniami w bezpieczeństwie klientów banków

Czy ciągle powtarzane jak mantra informacje o kontrolowaniu URL i połączenia SSL z serwisem w dobie ataków Man-In-The-Middle i Man-In-The-Browser stosowanych w najnowszych atakach na nasze konta mają jakiekolwiek znaczenie? To tylko jedno z pytań, na które odpowie Zbigniew Szmigiero, Customer Technical Professional w IBM Security Systems, Software Group w IBM Polska.

Obrona przed nowymi zagrożeniami w bezpieczeństwie klientów banków

Inne ważne pytania stojące dziś przed klientami banków to: czy wyspecjalizowane robaki przejmujące zarówno stację roboczą a następnie infekujące urządzenia mobilne klienta banku a tym samym mające kontrolę nad niezależnym kanałem potwierdzenia transakcji – usługą SMS – mogą być przez nas identyfikowane samodzielnie?

Klienci banków są świadomi zagrożeń, ale zazwyczaj nie posiadają wystarczającej wiedzy i narzędzi pozwalających właściwie kontrolować i zarządzać ryzykiem związanym z dostępem do bankowości elektronicznej. Czy nasza wiedza ma się opierać jedynie na serwisach i poradach dostarczanych przez bank w ramach „najlepszych praktyk” po zalogowaniu się do serwisu? Gdzie mieści się odpowiedzialność klienta a gdzie rola banku w ochronie naszych pieniędzy?

W dobie metamorficznego oprogramowania złośliwego (np. Zeus) niewykrywanego przez 95% istniejącego oprogramowania antywirusowego opartego o sygnatury a będącego zazwyczaj jedyną (o ile w ogóle istniejącą) barierą pomiędzy przestępca a klientem banku rola instytucji finansowej musi ulec zmianie!

Rok 2013 wykazał nieskuteczność istniejących systemów ochrony transakcyjnej na styku klient-bank w komunikacji elektronicznej. W znakomitej ilości przypadków atak oparty był o infekcję po stronie klienta, czasem wykorzystując słabość procesu (np. brak potwierdzeń zmiany konta przelewu), czasem socjotechnikę (potwierdzanie stanu aplikacji po stronie klienta i podszywanie się pod call center), a coraz częściej całkowicie przejmując tożsamość, uwierzytelnienie i kanał potwierdzający.
W dobie metamorficznego oprogramowania złośliwego (np. Zeus) niewykrywanego przez 95% istniejącego oprogramowania antywirusowego opartego o sygnatury a będącego zazwyczaj jedyną (o ile w ogóle istniejącą) barierą pomiędzy przestępca a klientem banku rola instytucji finansowej musi ulec zmianie!

Przeczytaj również
Naszym założeniem jest stworzenie kompletnego ekosystemu rozwiązań IT

Dalsze definiowanie podziału odpowiedzialności jedynie do identyfikacji przez bank naruszenia poprzez reguły behawioralne oparte o analizę statystyczną lub zamknięte w ramach rozpoznanego i identyfikowalnego przez bank „malware” będzie (sądzę ze jest już) nieadekwatne zarówno w obrębie kosztów obsługi strat jak i wizerunku instytucji w oczach klienta obecnego i przyszłego” – mówi Zbigniew Szmigiero.

Zwiększone ryzyko strat widoczne jest poprzez wzmożoną aktywność instytucji bankowych w poszukiwaniu skuteczniejszych metod eliminacji zagrożeń w omawianym obszarze co nieuchronnie prowadzić musi do konkluzji o konieczności wsparcia klienta w diagnostyce potencjalnych i rzeczywistych zagrożeń.

Identyfikacja urządzeń i użytkowników w oparciu o parametry sesji HTTPS nie stanowi żadnej bariery w skutecznym podszywaniu się pod klienta po wcześniejszej kradzieży tożsamości i uwierzytelnienia. Ataki przeglądarkowe: BHO, Function Hooking, DOM, instalacja fałszywego certyfikatu CA i re-szyfracja SSL a nawet „trywialna” instalacja keyloggera są niewykrywalne dla banku bez analizy aktywności dokonywanej bezpośrednio na stacji dostępowej klienta. Niewykryty „malware” na stacji roboczej zdolny jest do infekcji urządzenia mobilnego i kontrolowania bankowych usług mobilnych. W każdym wymienionym przypadku brak wiedzy o stanie bezpieczeństwa użytkownika jest kluczem do słabości istniejących rozwiązań. Jak identyfikować bieżące ryzyko jeśli nie mamy wiedzy KIM jest logujący się do systemu, KIM jest potwierdzający transakcję poprzez SMS!” – komentuje Zbigniew Szmigiero.

Czy jednak tak być musi? Zapraszamy na – organizowane wspólnie przez ITwiz, IBM Polska oraz serwis e-webinaria.pl – seminarium, podczas którego pokazany zostanie pokaz na żywo ataku na klienta banku, m.in. z użyciem złośliwego oprogramowania Zeus.

Przeczytaj również
ProService Finteco wdraża usługi Microsoft 365 w publicznej chmurze obliczeniowej

Zapraszamy do rejestracji na stronie e-webinarium „Mój komputer, moje bezpieczeństwo”.

Tagi

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *