Зловреден софтуер като Neverquest, Zeus или GameOver Zeus става все по-агресивен с всеки изминал ден, а скритият начин, по който краде пари, го прави още по-опасен.
Методите, използвани от Neverquest и други подобни MITB (man-in-the-browser) атаки, са описани в следното видео:
И на следващата страница в Уикипедия: http: //en.wikipedia.org/wiki/Man-in-the-browser
Получавайки пълен контрол върху компютъра на клиента, хакерите могат да заобиколят всяка защита, включително хардуерни токени с променящ се код. Последното би затруднило значително задачата им, сравнима с тази на други временни разпоредби (които не са с изтекъл срок на действие), но не достатъчно, за да се счита тази мярка за достатъчна. Най-лошото е, че всеки диалогов прозорец или поле за въвеждане изглежда като част от вашия уебсайт, дори при SSL с EV сертификат! Всички модификации се извършват в HTML в браузъра, където вашата организация вече няма контрол.
Атаките тип “човек в браузъра” промениха драстично начина на онлайн банкиране – тази промяна се отнася за всички банки и финансови институции в световен мащаб. Потребителските имена, паролите и временните кодове вече не са ефикасна защита при наличието на множество вируси, които могат да ги заобиколят и прихванат.
Най-ефективната мярка срещу тази атака е защитеният компютър – и тъй като повечето от клиентите ви не могат да си позволят времето и разходите за обучение за конфигуриране на бърз компютър, трябва да им предложите други възможности, ако искате да останат при вас в дългосрочен план, вместо да отидат при конкурент (който не е задължително да има по-добра защита за тях, но те не го знаят, нали).
Същността на тази атака създава впечатлението, че уебсайтът ви е компрометиран и че сигурността на организацията ви е недостатъчна. Това е сериозен репутационен проблем, при който клиентите ви губят доверие във вас и не можете да направите нищо друго, освен да ги обучите.
Една от основните ви задачи е не само да ги защитите, но и да покажете как една и съща атака се случва дори на най-големите банки в света, за да разберат, че преминаването към онлайн банкиране в друга банка няма да ги направи по-сигурни, ако не могат да гарантират сигурността на компютъра, от който извършват онлайн банкирането си. Те могат да сменят банките си всеки ден и да бъдат компрометирани всеки ден, докато зловредният софтуер е в системата им, краде данни и ги изпраща на своите господари.
Трябва да се съсредоточите върху сигурността на техния компютър и рисковете за всички видове плащания, докато компютърът е заразен.
План за действие
На първо място са обучението и информираността на клиентите: те трябва да разберат, че отговорността за сигурността на техния компютър е тяхна, точно както отговорността за сигурността на парите им в собствения им дом (или портфейл). Вие, от своя страна, разполагате с много по-голям арсенал от знания и опит в областта на информационната сигурност и сте тези, които носят отговорността да ги споделят по правилния начин и чрез подходящите канали, достатъчно ясно и често.
В тази задача ще се нуждаете от активното участие на маркетинговия си отдел, тъй като той е в близки отношения с клиентите и има добри комуникационни умения, за да преведе ИТ жаргона на разбираем за клиентите език.
Всяка финансова институция трябва да премине през сериозна трансформация, преди да приложи значителни мерки за сигурност към своите системи за обработка на онлайн плащания, като например електронното банкиране. През този период, който обикновено е между 3 и 6 месеца или дори повече (в зависимост от качеството на екипа ви и наличното финансиране), вашата организация ще се нуждае от временни “кръпки”, които все пак ще позволят извършването на плащания, като рискът от измами трябва да бъде намален максимално.
В случай че клиентите ви бъдат засегнати от зловреден софтуер и нямате приложими технически мерки за намаляване на риска, единственото, което ви остава, е да обучите клиентите си да поемат сигурността си в свои ръце (както и трябва да бъде, защото сигурността на компютъра им води до сигурност и на транзакциите им с всяка финансова институция).
Променяйте, обновявайте и подобрявайте методите за комуникация с клиентите си.
Банките и социалните мрежи са нещо, което просто не се съчетава – дори за техните маркетингови екипи. Ако вашата организация е същата, не се срамувайте, приемете вината и се поправете. Клиентите ви трябва да свикнат с мисълта, че какъвто и да е въпросът им, вашите акаунти в Twitter, Facebook и LinkedIn са винаги отзивчиви и готови да се намесят и да помогнат.
Обърнете се към ръководството на фирмата и към ръководството на маркетинга и започнете да ги притискате да подобрят процесите си. Разчитането на електронна поща е от 1990 г., хора! И накрая, за тези, които все още разчитат на електронна поща, има Aweber и Mailchimp. Направете го правилно. В условията на криза методите ви за комуникация трябва да са вече отработени и доказано ефективни. Понякога разполагате само с няколко минути, а не с дни или седмици, за да информирате клиентите си за предстояща промяна, а услугите за маркетинг в социалните мрежи и електронната поща могат да направят чудеса за това.
Използвайте структуриран и последователен подход към обучението на клиентите си.
Приложете план за повишаване на осведомеността за сигурността, който последователно и последователно да обяснява предизвикателството – това не може да стане с едно огромно писмо, те просто няма да го прочетат. Ако трябва, отпечатайте брошури и ги изпратете – използвайте всички канали за комуникация, за да ги информирате за настоящата епидемия от вируси. Не правете грешката да им казвате, че вашето онлайн банкиране е изложено на риск – просто им кажете, че онлайн банкирането на институциите по целия свят е изложено на риск, защото това е глобален проблем за всяка организация – а той е такъв.
Вместо да проявявате паника и да бързате да спасите клиентите си от риска да банкират при вас, опитайте се да обърнете ситуацията във ваша полза и да бъдете носител на добрата новина – че независимо от глобалните хакерски атаки срещу всички банки, вие ще се включите и ще покажете на клиентите си изход с изключителните си технически познания и съвети – безплатно, така че те спокойно да банкират при всяка организация, която искат. Благодарейки ви, те ще се свържат с вас – защото вие единствени проявихте загриженост и разбиране на проблема, докато всички останали се криеха и търсеха заедно с хакерите, заравяйки главите си в пясъка.
Една значителна неефективност на стратегията, с която се сблъскват много организации, е изпращането на технически съобщения до техните клиенти, без да осъзнават, че тези съобщения се получават предимно от нетехнически персонал, като например счетоводители – те обикновено игнорират техническите съвети автоматично. Помогнете им, като поставите малка бележка, че този съвет е предназначен за техните системни администратори или фирма за техническа поддръжка – те ще предадат съобщението и вие няма да сте го написали напразно.
Технически промени за вашата система за електронно банкиране
Потребителските имена и паролите, както и ТАН, са остарели и неадекватни в сравнение със съвременните технически мерки за защита – но въпреки това много организации избират да ги използват и да се надяват, че някой друг ще бъде атакуван в морето от банки.
Можете да приложите само хардуерен токен, който генерира нов код на всеки 30 секунди. Друг метод за защита би бил хардуерен токен, който приема данните за трансакцията като вход и извежда уникален 6-8-цифров код, като по този начин се елиминира рискът от атака тип “човек в браузъра”. Все пак това би създало значителни неудобства за клиентите ви и в крайна сметка би нанесло повече щети, отколкото ако изобщо не го въведете.
Друга защита, която би свършила работа, е технологията на http://www.ca.com/~/media/Files/whitepapers/protection-from-mitm-mitb-attacks-wp.pdf.
Който и символ да изберете, не забравяйте, че той няма да защити клиентите ви от зловреден софтуер. Трябва непременно да го запомните! Вирусите ще поискат от клиентите ви да въведат уникални токъни/комбинации във фалшиви страници на мобилните си телефони (смартфоните също се заразяват). Като цяло времената, когато пропускът даваше достатъчно сигурност, отминаха.
Защитени браузъри
Няколко компании се занимават с това; тази, която препоръчвам, е ProMon. Въпреки че прегледахме десетки и десетки решения и доставчици, те са тези, които осигуряват най-високо ниво на защита срещу финансов зловреден софтуер. Можете да заразите виртуална машина, да инсталирате нейния браузър, да посетите тестова сметка за електронно банкиране (тестова сметка, не вашата!) или сметка без пари – зловредният софтуер няма да може да инжектира НИЩО и всички софтуерни кийлогъри, които може да сте имали, ще бъдат безполезни за нападателите. За съжаление, крайните потребители не могат да си купят това, но вие, като финансова организация, можете и… трябва да го направите. Защото от десетките други масивни доставчици с огромни цени и съмнителна производителност, решения, които ще трябва да внедрявате месеци наред – този е БЪРЗ за внедряване и е ефективен. Най-малкото ще е добре да го изпробвате.
Политика за сигурност на съдържанието
Повечето уеб разработчици никога не са чували за това; ако вашите не са, можете да ги извините. Обикновено не се налага да се прилага политика за сигурност на съдържанието, докато не се наложи; един от тези случаи е, когато банков троянец атакува клиентите ви. Тъй като това е една от малкото мерки, които можете да приложите от ваша страна, на уеб сървъра, ще бъде жалко, ако не го направите.
Тъй като инструкциите за браузъра да се доверява само на вашия код се предават по начин, който все още може да бъде променян от нападателя, CSP не е “сребърен куршум”, но ще ви спечели време, докато те успеят да разберат какви инструменти използвате, за да противодействате на тяхната атака. Както при всяка техническа мярка, тя може да бъде заобиколена, ако не се прилага правилно.
Тъй като мярката е бърза за изпълнение – направете я сега; не забравяйте, че това е само допълнителен слой защита, който рано или късно ще бъде отстранен.
Не забравяйте, че ако уебсайтът ви използва много javascript, може да се сблъскате със сериозни проблеми с използваемостта – CSP разбива всички вградени JS и ще отнеме много време да ги прехвърлите във външни файлове. Възможно е бутони за споделяне, Google Analytics и други подобни услуги също да спрат да работят.
Потвърждение на OOB
Когато нападател контролира изцяло компютъра на клиента ви, нямате друг избор, освен да изберете различен път за комуникация с него, за да потвърдите и верифицирате транзакциите. За съжаление авторите на зловреден софтуер отдавна са обновили своите инструменти. Те вече използват атаки от типа “човек в мобилния телефон”, за да прихващат SMS съобщения… но това е друга тема за следваща публикация.
Нека се върнем към потвърждението извън групата. Можете да изпращате доказателства за всяка транзакция над определен лимит – например 100 или 500 долара, в зависимост от клиента и банката – така че клиентът да може да реагира бързо и да получи парите си обратно, дори ако бъдат откраднати. Този метод е много ефективен, но малко досаден за счетоводителите, които изпращат транзакции на всеки няколко минути. Трябва да осигурите механизъм за отказ и алтернативни методи за уведомяване (страница на сметката, електронна поща, мобилно приложение и т.н.) за потвърждаване на клиентски транзакции.
Можете също така да използвате автоматизирана телефонна система, която да се обажда на клиентите ви и да им съобщава подробности за предстояща транзакция, като изисква от тях да натиснат 1, за да потвърдят, или 2, за да откажат транзакцията – само идея. Това би било много по-скъпо от системата за SMS и досадно.
OOB + OTP
Изпратете SMS, съдържащ сумата на транзакцията + код, базиран на нея (например: “Инициирахте транзакция на стойност 10 000 EUR. За да потвърдите, въведете код 357 378 ZZ”) е най-ефективното решение за момента.
Пример за такова решение е http://www.safenet-inc.com/data-protection/financial-data-security/online-banking-security/financial-fraud-prevention-man-in-the-browser-attacks/
ModSecurity WAF помага за намаляване на атаката “човек в браузъра” (до известна степен)
Както е описано в http://blog.spiderlabs.com/2013/07/modsecurity-advanced-topic-of-the-week-detecting-banking-trojan-page-modifications.html, можете да конфигурирате уеб сървъра си с ModSecurity, за да гарантирате целостта на уеб страниците, които се показват на браузърите на клиентите ви. Както се казва в статията, не можете да разчитате на нея на 100%, но можете да я използвате за откриване на измами, ако нападателите решат да премахнат мерките ви за проверка. Липсват подписи за мерки – имате сигнал за измама!
Технически мерки, приложими за вашите клиенти
- Не всички мерки за защита са подходящи за всички клиенти. Един метод, който е 100% ефективен за тези с по-мощни компютри, е Sirrix – http://www.sirrix.com/content/pages/bitBox_requirementstoinstall.htm. Този браузър се експортира от виртуална машина VirtualBox в работния плот на Windows. Опитайте се да се възползвате от това, г-н Хакер.
- За тези, които имат по-бавни компютри, препоръчвам решение, което не е толкова сигурно, но е малко по-лесно за инсталиране и удобно за потребителя: BitDefender Safepay – http://www.bitdefender.com/solutions/safepay.html.
- Друг сравнително сигурен начин за онлайн банкиране – макар и непрактичен и рядко използван от истински хора, които не са пълни компютърни маниаци – е отделен, “чист” компютър, предназначен единствено за онлайн банкиране (или виртуална машина, но нали вече изключихме компютърните маниаци?).
- Защитен браузър на флаш устройство – тази мярка може да доведе до добри резултати в някои случаи. Като се има предвид бързата реакция на хакерите на мерките за смекчаване, този метод за защита не може да се счита за 100% ефективен, както повечето други, предложени тук.
- Антивирусна система, базирана на анализ на поведението. Много от клиентите ви за електронно банкиране няма да имат *КАКЪВТО И ДА Е* антивирус – какво ще кажете за усъвършенстван антивирус? Доставчиците на антивирусни програми разчитат на сигнатури – само някои от тях, като Webroot, разчитат на анализ на поведението; най-добре би било да опитате това, защото антивирусната програма, базирана на сигнатури, не може да открива нови, непознати вируси и зловреден софтуер. Наличието на антивирусна система не гарантира защита – процентът на успеваемост при улавяне на подобен вирус е не повече от 23%.
Откриване на измамни транзакции
Софтуерът за откриване на измами, особено за банките, е безбожно скъп. Банката обаче обикновено може да си го позволи. Но ако не можете – трябва да го направите ръчно. Евтин и практичен подход е да наемете (ако нямате) програмист с математически и статистически опит + база данни, който да разработи правила за поставяне на транзакциите в списък на чакащите за ръчен преглед или незабавно анулиране.
Засега най-ефективният метод (и най-скъпият) е откриването на измамни транзакции и подозрително поведение чрез наблюдение на поведението на потребителя в браузъра. Чрез анализиране на движенията и кликванията на мишката или натискането на клавишите на клавиатурата можете да разработите автоматизирани методи за откриване на измамни транзакции и разграничаването им от нормалното поведение на потребителите. Пример за такова решение е http://www.entrust.com/wp-content/uploads/2012/07/DS_EntrustTransactionGuard_web_Feb2014.pdf.
