Obrona przed nowymi zagrożeniami w bezpieczeństwie klientów banków

Czy ciągle powtarzane jak mantra informacje o kontrolowaniu URL i połączenia SSL z serwisem w dobie ataków Man-In-The-Middle i Man-In-The-Browser stosowanych w najnowszych atakach na nasze konta mają jakiekolwiek znaczenie? To tylko jedno z pytań, na które odpowie Zbigniew Szmigiero, Customer Technical Professional w IBM Security Systems, Software Group w IBM Polska.

Inne ważne pytania stojące dziś przed klientami banków to: czy wyspecjalizowane robaki przejmujące zarówno stację roboczą a następnie infekujące urządzenia mobilne klienta banku a tym samym mające kontrolę nad niezależnym kanałem potwierdzenia transakcji – usługą SMS – mogą być przez nas identyfikowane samodzielnie?

Klienci banków są świadomi zagrożeń, ale zazwyczaj nie posiadają wystarczającej wiedzy i narzędzi pozwalających właściwie kontrolować i zarządzać ryzykiem związanym z dostępem do bankowości elektronicznej. Czy nasza wiedza ma się opierać jedynie na serwisach i poradach dostarczanych przez bank w ramach „najlepszych praktyk” po zalogowaniu się do serwisu? Gdzie mieści się odpowiedzialność klienta a gdzie rola banku w ochronie naszych pieniędzy?

Rok 2013 wykazał nieskuteczność istniejących systemów ochrony transakcyjnej na styku klient-bank w komunikacji elektronicznej. W znakomitej ilości przypadków atak oparty był o infekcję po stronie klienta, czasem wykorzystując słabość procesu (np. brak potwierdzeń zmiany konta przelewu), czasem socjotechnikę (potwierdzanie stanu aplikacji po stronie klienta i podszywanie się pod call center), a coraz częściej całkowicie przejmując tożsamość, uwierzytelnienie i kanał potwierdzający.
W dobie metamorficznego oprogramowania złośliwego (np. Zeus) niewykrywanego przez 95% istniejącego oprogramowania antywirusowego opartego o sygnatury a będącego zazwyczaj jedyną (o ile w ogóle istniejącą) barierą pomiędzy przestępca a klientem banku rola instytucji finansowej musi ulec zmianie!

„Dalsze definiowanie podziału odpowiedzialności jedynie do identyfikacji przez bank naruszenia poprzez reguły behawioralne oparte o analizę statystyczną lub zamknięte w ramach rozpoznanego i identyfikowalnego przez bank „malware” będzie (sądzę ze jest już) nieadekwatne zarówno w obrębie kosztów obsługi strat jak i wizerunku instytucji w oczach klienta obecnego i przyszłego” – mówi Zbigniew Szmigiero.

Zwiększone ryzyko strat widoczne jest poprzez wzmożoną aktywność instytucji bankowych w poszukiwaniu skuteczniejszych metod eliminacji zagrożeń w omawianym obszarze co nieuchronnie prowadzić musi do konkluzji o konieczności wsparcia klienta w diagnostyce potencjalnych i rzeczywistych zagrożeń.

„Identyfikacja urządzeń i użytkowników w oparciu o parametry sesji HTTPS nie stanowi żadnej bariery w skutecznym podszywaniu się pod klienta po wcześniejszej kradzieży tożsamości i uwierzytelnienia. Ataki przeglądarkowe: BHO, Function Hooking, DOM, instalacja fałszywego certyfikatu CA i re-szyfracja SSL a nawet „trywialna” instalacja keyloggera są niewykrywalne dla banku bez analizy aktywności dokonywanej bezpośrednio na stacji dostępowej klienta. Niewykryty „malware” na stacji roboczej zdolny jest do infekcji urządzenia mobilnego i kontrolowania bankowych usług mobilnych. W każdym wymienionym przypadku brak wiedzy o stanie bezpieczeństwa użytkownika jest kluczem do słabości istniejących rozwiązań. Jak identyfikować bieżące ryzyko jeśli nie mamy wiedzy KIM jest logujący się do systemu, KIM jest potwierdzający transakcję poprzez SMS!” – komentuje Zbigniew Szmigiero.

Czy jednak tak być musi? Zapraszamy na – organizowane wspólnie przez ITwiz, IBM Polska oraz serwis e-webinaria.pl – seminarium, podczas którego pokazany zostanie pokaz na żywo ataku na klienta banku, m.in. z użyciem złośliwego oprogramowania Zeus.

Zapraszamy do rejestracji na stronie e-webinarium „Mój komputer, moje bezpieczeństwo”.