2015-05-07

Ruch Eurobanku: spektrum zagrożeń

Eurobank jako pierwszy bank w Polsce zaproponował swoim klientom rozwiązanie Trusteer Rapport - ruch ten nie pozostał niezauważony (Rzeczpospolita, Maciej Samcik, AleBank, TokFM).

Spróbujmy popatrzeć na większy kawałek obrazka.

Do najpopularniejszych wektorów ataków na klientów instytucji finansowych można zaliczyć:
1) podmiana/modyfikacja kodu HTML/JS w systemie bankowości elektronicznej lub CMS (w tym także zamieszczanie dodatkowych skryptów z innych domen)
2) przekierowanie na fałszywą stronę systemu bankowości elektronicznej (przekierowanie może się odbyć np. przez modyfikację kodu HTML jak w 1) lub np. przez modyfikację wpisów dotyczących konfiguracji DNS i wskazanie innego adresu IP bankowości elektronicznej niż jest w rzeczywistości)
3) podmiana numeru rachunku w tzw. "schowku", jeśli kopiujemy numer rachunku i chcemy go wkleić do pola "nr. rachunku" w formularzu przelewu
4) podmiana numer rachunku w pamięci procesu

Problem przejmowania urządzeń mobilnych - smartfonów, aby wykradać kody SMS do autoryzacji wymagających tego operacji na potrzeby tej analizy zaniedbujemy, gdyż ten wektor nie należy do najpopularniejszych w Polsce. Sam phishing i fałszywe strony, na których przestępcy zbierają najczęściej login, hasło oraz czasem kody autoryzacyjne również nie są umieszczone na liście.

Pytania, które warto sobie zadać będąc na miejscu Eurobanku:
1) przed którymi wektorami Trusteer Rapport uratuje klientów, którzy go zainstalują?
2) czy sytuacja, w której zaatakowany jest punkt dostępowy do sieci Internet (podmiana serwerów DNS lub zdefiniowanie adresów IP dla konkretnych nazw) to rozwiązanie nadal będzie skuteczne?
3) co z urządzeniami mobilnym, na których korzystamy z systemów bankowości elektronicznej w wersji klasycznej, light (tzw. "lekkiej"/mobilnej) lub natywnej?
4) co z korzystaniem z bankowości elektronicznej poza komputerem, na którym klient zainstalował Trusteer Rapport?

Pytań należy zadać jeszcze wiele i wierzymy, że zostało to w Eurobanku zrobione lub temat jest w trakcie analizy. Ruch Eurobanku na pewno coś zmieni w sektorze finansowym w Polsce - czas pokaże co. Życzymy jak najlepiej!

AKTUALIZACJA (08.05.2015)

Skontaktował się z nami Eurobank (brawa za chęć dialogu!), poniżej oryginalna treść odpowiedzi na pytania, które pojawiły się na naszym blogu:

1) przed którymi wektorami Trusteer Rapport uratuje klientów, którzy go zainstalują?

Opatentowany system ochrony przeglądarki (tzw. lockdown technology) chroni przeglądarki przed nieuprawnionym dostępem do informacji, które są przekazywane między klientem, a bankiem niezależnie od tego jaki typ złośliwego oprogramowania powoduje zagrożenie.

Rapport efektywnie blokuje wszystkie te techniki ataku:
· Phishing
· Pharming lub DNS Spoofing
· Keylogging
· Man-in-the-Middle
· Man-in-the-Browser
· Screen Capturing
· Session Hijacking
· Drive-by Download

2) czy sytuacja, w której zaatakowany jest punkt dostępowy do sieci Internet (podmiana serwerów DNS lub zdefiniowanie adresów IP dla konkretnych nazw) to rozwiązanie nadal będzie skuteczne?

Trusteer Rapport również chroni przed takimi atakami, określanymi mianem DNS spoofing lub Pharming.

3) co z urządzeniami mobilnym, na których korzystamy z systemów bankowości elektronicznej w wersji klasycznej, light (tzw. "lekkiej"/mobilnej) lub natywnej?

Trusteer Rapport chroni obecnie tylko komputery stacjonarne.

4) co z korzystaniem z bankowości elektronicznej poza komputerem, na którym klient zainstalował Trusteer Rapport?


Bank zaleca klientom instalację programu Trusteer Rapport na każdym komputerze wykorzystywanym do połączeń z serwisem bankowości internetowej. Użytkownik może sobie bezpłatnie zainstalować Rapporta na dowolnej liczbie urządzeń.

PS
Na zamówienie dokonujemy ewaluacji rozwiązań bezpieczeństwa, strategii/taktyk czy działań operacyjnych w zakresie wykrywania i obsługi incydentów bezpieczeństwa (także dotyczących ataków na klientów sektora finansowego) - na pewno pomożemy odpowiedzieć na wcześniej wymienione pytania i znacznie więcej. (kontakt {@} whitecatsec.com)

Brak komentarzy:

Publikowanie komentarza