SlideShare a Scribd company logo

Osobní bezpečnost na internetu

Download as PPTX, PDF
DCIT, a.s.
DCIT, a.s.

Aktivita TUESDAY Business Network.

Internet
1 of 13
Peníze! COMMUNICATION WEDNESDAY – 4. listopadu 2015 Osobní bezpečnost na internetu Karel Miko, DCIT, a.s. miko@dcit.cz
O čem bude příspěvek? • o penězích • o penězích v online světě • o krádežích peněz • o krádežích peněz v online světě • o krádežích a „praní“ peněz v online světě 2
On-line banking fraudy / 1 Pravděpodobně první co nás napadne, kde bychom mohli přijít o peníze • Internet banking, mobile banking, tele-banking • Útoky nejčastěji směřují na klienty • Škála útoků poměrně široká • Phishing (sociální inženýrství) • Credential stealing • Man-in-the-browser & co. (MITB, MITM, MITMo, BITB) • Cross-channel útoky • Útoky na mobilní platformy (viz předchozí prezentace) • Různé autentizační metody činí útoky různě náročné • Jméno heslo • SMS OTP, SW OTP, SW PKI (či jiná kryptografie) • HW: OTP, čipová karta (dříve SIM toolkit, „kalkulátory“) 3
On-line banking fraudy / 2 Bankovní malware • ZeuS – „legenda“ • Následovníci: SpyEye Citadel Dridex Hesperbot aj. • Velmi sofistikovaný, často velmi obtížně odhalitelný, z technického hlediska „mistrovský kousek“, spojený s organizovaným zločinem, lze „koupit“ jako SaaS • S odhalením nové mutace dobrého bankovního malware má problém i odborník, laik – bez šance • Dovede pokořit i velmi sofistikované autentizační a autorizační metody (jako např. čipová karta) • Obvykle to začíná jedním špatným klikem • Malware není k útoku nezbytně nutný (phishing, MITM) 4
On-line banking fraudy / 3 Zranitelnost autentizačních metod: • SMS OTP – phishing, mobile malware • HW OTP – phishing, MITB / MITM • SW „cokoli“ – MITB / malware (v počitači či mobilu) • Čipová karta – MITB, speciální trojan/malware Oběti • Běžný uživatel (často náhodná oběť) • VIP uživatel (spear phishing + navazující kroky) • Firmy (externí útočník + malware) • Firmy (insider – spíše ve velkých firmách) 5
Fraudy s platebními kartami / 1 Šance, že přijdete o peníze zneužitím platební karty je o řád vyšší než útokem přes internetové bankovnictví • Počet fraudů 1 : 20 (IB : Karta) • Objem fraudu 1 : 15 (IB : Karta) • Data z UK-2014, v ČR? Karetní fraudy celosvětově: • 2014: 16 mld.$, 2010: 7 mld.$, 2005: 4 mld.$ • Zdroj: nilsonreport.com • Procento z objemu transakcí je dlouhodobě < 0.1% • Organizovaný zločin, je skutečně organizovaný 6
Fraudy s platebními kartami / 2 Typové rozložení (ECB-2014) • 66% CNP (card not present) • 20% POS (terminál u obchodníka) • 14% ATM (bankomat) Fraudy CNP • Spadají sem veškeré on-line platby • Rostou a porostou Fraudy ATM / POS • Nástup čipových karet (EMV) výrazně snížil objem fraudů tohoto typu (v Evropě) 7
Fraudy s platebními kartami / 3 Útoky • Stolen cards (virtuálně: BIN + CVV) – phishing, telefon, e-mail, obecně internet, hotely, restaurace .. • Skimming / klonování (ATM, hotely, restaurace) • Stolen cards (fyzicky ukradené karty) • Úniky informací o kartách od zpracovatelů či poskytovatelů služeb • Krádež identity + zneužití "uložené" platební karty • Sofistikované útoky (zneužití EMV karty bez znalosti PINu, „cinknuté“ POS terminály) 8
Ostatní on-line fraudy / 1 Nemusí jít přímo o peníze (ale nepřímo) • např. obchodování s akciemi / komodity / deriváty • Pump & dump + variace Nemusí jít o peníze nýbrž o „krypto peníze“ • např. Bitcoin (anonymní – „svým způsobem“) • Umět zaplatit Bitcoinem se občas hodí i běžnému uživateli (ransomware) • Žádný charge-back, krádež/ztráta je nevratná 9
Ostatní on-line fraudy / 2 Oběť často sama pošle peníze na účet útočníka • Obvykle v návaznosti na sociální inženýrství • Podvody: „nigerijské“ dopisy, fiktivní výhry Obětí fraudu se můžete stát i případě, že přijímáte bezhotovostní platbu • Chtěl odesílatel poslat peníze skutečně Vám? 10
Praní peněz Také se může do fraudu zapojit jako „bílý kůň“ • Podivné inzeráty na snadný přivýdělek • Přeposílání peněz (money mule) – součást internet banking fraudů • Přeposílání zásilek (parcel mule) – součást karetních fraudů (adresa v ČR sice není úplné „terno“, ale patří spíše mezi ty lepší destinace) 11
Budoucnost? • Objem on-line plateb/transakcí poroste • Potenciální „kořist“ bude čím dál větší • Budeme uklidňováni, že fraudů je pouze <0.1% • Přijdou inovované metody fraudů • Nezastaví se to 12
13 Diskuze Otázky?

Recommended

Bezpečnost na mobilních zařízeních
Bezpečnost na mobilních zařízeníchBezpečnost na mobilních zařízeních
Bezpečnost na mobilních zařízeníchPetr Dvorak
 
Oracle Berkeley Db 11g R2
Oracle Berkeley Db 11g R2Oracle Berkeley Db 11g R2
Oracle Berkeley Db 11g R2
Prem Kumar
 
Oracle security 02-administering user security
Oracle security 02-administering user securityOracle security 02-administering user security
Oracle security 02-administering user security
Zhaoyang Wang
 
Auditing security of Oracle DB (Karel Miko)
Auditing security of Oracle DB (Karel Miko)Auditing security of Oracle DB (Karel Miko)
Auditing security of Oracle DB (Karel Miko)DCIT, a.s.
 
Oracle db subprograms
Oracle db subprogramsOracle db subprograms
Oracle db subprogramsSimon Huang
 
Oracle security 08-oracle network security
Oracle security 08-oracle network securityOracle security 08-oracle network security
Oracle security 08-oracle network security
Zhaoyang Wang
 
Secure Technical Implementation Guide for databases by Martin Obst
Secure Technical Implementation Guide for databases by Martin ObstSecure Technical Implementation Guide for databases by Martin Obst
Secure Technical Implementation Guide for databases by Martin Obst
Carsten Muetzlitz
 
1 z0 052
1 z0 0521 z0 052
1 z0 052
Wasim Ahmed
 

Recommended

Bezpečnost na mobilních zařízeních
Bezpečnost na mobilních zařízeníchBezpečnost na mobilních zařízeních
Bezpečnost na mobilních zařízeníchPetr Dvorak
 
Oracle Berkeley Db 11g R2
Oracle Berkeley Db 11g R2Oracle Berkeley Db 11g R2
Oracle Berkeley Db 11g R2
Prem Kumar
 
Oracle security 02-administering user security
Oracle security 02-administering user securityOracle security 02-administering user security
Oracle security 02-administering user security
Zhaoyang Wang
 
Auditing security of Oracle DB (Karel Miko)
Auditing security of Oracle DB (Karel Miko)Auditing security of Oracle DB (Karel Miko)
Auditing security of Oracle DB (Karel Miko)DCIT, a.s.
 
Oracle db subprograms
Oracle db subprogramsOracle db subprograms
Oracle db subprogramsSimon Huang
 
Oracle security 08-oracle network security
Oracle security 08-oracle network securityOracle security 08-oracle network security
Oracle security 08-oracle network security
Zhaoyang Wang
 
Secure Technical Implementation Guide for databases by Martin Obst
Secure Technical Implementation Guide for databases by Martin ObstSecure Technical Implementation Guide for databases by Martin Obst
Secure Technical Implementation Guide for databases by Martin Obst
Carsten Muetzlitz
 
1 z0 052
1 z0 0521 z0 052
1 z0 052
Wasim Ahmed
 
Závěrečný úkol KPI
Závěrečný úkol KPIZávěrečný úkol KPI
Závěrečný úkol KPIMartin Chalupa
 
NMI14 Filip Chytrý - Reálné hrozby mobilních technologiích
NMI14 Filip Chytrý - Reálné hrozby mobilních technologiíchNMI14 Filip Chytrý - Reálné hrozby mobilních technologiích
NMI14 Filip Chytrý - Reálné hrozby mobilních technologiích
New Media Inspiration
 
Introduction to Bitcoin
Introduction to BitcoinIntroduction to Bitcoin
Introduction to Bitcoin
smidek82
 
Mobilní bankovnictví a bezpečnostní rizika
Mobilní bankovnictví a bezpečnostní rizikaMobilní bankovnictví a bezpečnostní rizika
Mobilní bankovnictví a bezpečnostní rizika
Petr Dvorak
 
New Media Inspiration 2014 - Bezpečnost v kontextu Internetu věcí
New Media Inspiration 2014 - Bezpečnost v kontextu Internetu věcíNew Media Inspiration 2014 - Bezpečnost v kontextu Internetu věcí
New Media Inspiration 2014 - Bezpečnost v kontextu Internetu věcí
Petr Dvorak
 
Safer Internet Ambasadoři
Safer Internet AmbasadořiSafer Internet Ambasadoři
Safer Internet AmbasadořiHonzik Čadek
 
Elektronická evoluce platebního styku
Elektronická evoluce platebního stykuElektronická evoluce platebního styku
Elektronická evoluce platebního stykuOndřej Zaoral
 
Smerovanie IT bezpečnosti na Slovensku (Martin Zajíček)
Smerovanie IT bezpečnosti na Slovensku (Martin Zajíček)Smerovanie IT bezpečnosti na Slovensku (Martin Zajíček)
Smerovanie IT bezpečnosti na Slovensku (Martin Zajíček)DCIT, a.s.
 
Bezpečnosť mobilných aplikácií (Martin Zajíček)
Bezpečnosť mobilných aplikácií (Martin Zajíček)Bezpečnosť mobilných aplikácií (Martin Zajíček)
Bezpečnosť mobilných aplikácií (Martin Zajíček)DCIT, a.s.
 
Implementace bezpecnostni politiky v organizaci
Implementace bezpecnostni politiky v organizaciImplementace bezpecnostni politiky v organizaci
Implementace bezpecnostni politiky v organizaciDCIT, a.s.
 
Útok na užívateľa zabezpečenej WWW aplikácie (Martin Zajíček)
Útok na užívateľa zabezpečenej WWW aplikácie (Martin Zajíček)Útok na užívateľa zabezpečenej WWW aplikácie (Martin Zajíček)
Útok na užívateľa zabezpečenej WWW aplikácie (Martin Zajíček)DCIT, a.s.
 
Internetové bankovníctvo - útok na užívateľa (Martin Zajíček)
Internetové bankovníctvo - útok na užívateľa (Martin Zajíček)Internetové bankovníctvo - útok na užívateľa (Martin Zajíček)
Internetové bankovníctvo - útok na užívateľa (Martin Zajíček)DCIT, a.s.
 
Ľudský faktor – najslabší článok bezpečnosti (Martin Zajíček)
Ľudský faktor – najslabší článok bezpečnosti (Martin Zajíček)Ľudský faktor – najslabší článok bezpečnosti (Martin Zajíček)
Ľudský faktor – najslabší článok bezpečnosti (Martin Zajíček)DCIT, a.s.
 
Bezpečnostný audit a penetračné testy (Martin Zajíček)
Bezpečnostný audit a penetračné testy (Martin Zajíček)Bezpečnostný audit a penetračné testy (Martin Zajíček)
Bezpečnostný audit a penetračné testy (Martin Zajíček)DCIT, a.s.
 
Bezpečnosť webových aplikácií (Martin Zajíček)
Bezpečnosť webových aplikácií (Martin Zajíček)Bezpečnosť webových aplikácií (Martin Zajíček)
Bezpečnosť webových aplikácií (Martin Zajíček)DCIT, a.s.
 
Jen technická obrana nestačí (Jindřich Hlaváč)
Jen technická obrana nestačí (Jindřich Hlaváč)Jen technická obrana nestačí (Jindřich Hlaváč)
Jen technická obrana nestačí (Jindřich Hlaváč)DCIT, a.s.
 
Interpretace výsledků penetračních testů (Karel Miko)
Interpretace výsledků penetračních testů (Karel Miko)Interpretace výsledků penetračních testů (Karel Miko)
Interpretace výsledků penetračních testů (Karel Miko)DCIT, a.s.
 
Konfigurační standardy (Luboš Číž)
Konfigurační standardy (Luboš Číž)Konfigurační standardy (Luboš Číž)
Konfigurační standardy (Luboš Číž)DCIT, a.s.
 
Bezpečnost otevřených a uzavřených řešení (Martin Mačok)
Bezpečnost otevřených a uzavřených řešení (Martin Mačok)Bezpečnost otevřených a uzavřených řešení (Martin Mačok)
Bezpečnost otevřených a uzavřených řešení (Martin Mačok)DCIT, a.s.
 
Internet Banking Attacks (Karel Miko)
Internet Banking Attacks (Karel Miko)Internet Banking Attacks (Karel Miko)
Internet Banking Attacks (Karel Miko)DCIT, a.s.
 

More Related Content

Similar to Osobní bezpečnost na internetu

Závěrečný úkol KPI
Závěrečný úkol KPIZávěrečný úkol KPI
Závěrečný úkol KPIMartin Chalupa
 
NMI14 Filip Chytrý - Reálné hrozby mobilních technologiích
NMI14 Filip Chytrý - Reálné hrozby mobilních technologiíchNMI14 Filip Chytrý - Reálné hrozby mobilních technologiích
NMI14 Filip Chytrý - Reálné hrozby mobilních technologiích
New Media Inspiration
 
Introduction to Bitcoin
Introduction to BitcoinIntroduction to Bitcoin
Introduction to Bitcoin
smidek82
 
Mobilní bankovnictví a bezpečnostní rizika
Mobilní bankovnictví a bezpečnostní rizikaMobilní bankovnictví a bezpečnostní rizika
Mobilní bankovnictví a bezpečnostní rizika
Petr Dvorak
 
New Media Inspiration 2014 - Bezpečnost v kontextu Internetu věcí
New Media Inspiration 2014 - Bezpečnost v kontextu Internetu věcíNew Media Inspiration 2014 - Bezpečnost v kontextu Internetu věcí
New Media Inspiration 2014 - Bezpečnost v kontextu Internetu věcí
Petr Dvorak
 
Safer Internet Ambasadoři
Safer Internet AmbasadořiSafer Internet Ambasadoři
Safer Internet AmbasadořiHonzik Čadek
 
Elektronická evoluce platebního styku
Elektronická evoluce platebního stykuElektronická evoluce platebního styku
Elektronická evoluce platebního stykuOndřej Zaoral
 

Similar to Osobní bezpečnost na internetu (7)

Závěrečný úkol KPI
Závěrečný úkol KPIZávěrečný úkol KPI
Závěrečný úkol KPI
 
NMI14 Filip Chytrý - Reálné hrozby mobilních technologiích
NMI14 Filip Chytrý - Reálné hrozby mobilních technologiíchNMI14 Filip Chytrý - Reálné hrozby mobilních technologiích
NMI14 Filip Chytrý - Reálné hrozby mobilních technologiích
 
Introduction to Bitcoin
Introduction to BitcoinIntroduction to Bitcoin
Introduction to Bitcoin
 
Mobilní bankovnictví a bezpečnostní rizika
Mobilní bankovnictví a bezpečnostní rizikaMobilní bankovnictví a bezpečnostní rizika
Mobilní bankovnictví a bezpečnostní rizika
 
New Media Inspiration 2014 - Bezpečnost v kontextu Internetu věcí
New Media Inspiration 2014 - Bezpečnost v kontextu Internetu věcíNew Media Inspiration 2014 - Bezpečnost v kontextu Internetu věcí
New Media Inspiration 2014 - Bezpečnost v kontextu Internetu věcí
 
Safer Internet Ambasadoři
Safer Internet AmbasadořiSafer Internet Ambasadoři
Safer Internet Ambasadoři
 
Elektronická evoluce platebního styku
Elektronická evoluce platebního stykuElektronická evoluce platebního styku
Elektronická evoluce platebního styku
 

More from DCIT, a.s.

Smerovanie IT bezpečnosti na Slovensku (Martin Zajíček)
Smerovanie IT bezpečnosti na Slovensku (Martin Zajíček)Smerovanie IT bezpečnosti na Slovensku (Martin Zajíček)
Smerovanie IT bezpečnosti na Slovensku (Martin Zajíček)DCIT, a.s.
 
Bezpečnosť mobilných aplikácií (Martin Zajíček)
Bezpečnosť mobilných aplikácií (Martin Zajíček)Bezpečnosť mobilných aplikácií (Martin Zajíček)
Bezpečnosť mobilných aplikácií (Martin Zajíček)DCIT, a.s.
 
Implementace bezpecnostni politiky v organizaci
Implementace bezpecnostni politiky v organizaciImplementace bezpecnostni politiky v organizaci
Implementace bezpecnostni politiky v organizaciDCIT, a.s.
 
Útok na užívateľa zabezpečenej WWW aplikácie (Martin Zajíček)
Útok na užívateľa zabezpečenej WWW aplikácie (Martin Zajíček)Útok na užívateľa zabezpečenej WWW aplikácie (Martin Zajíček)
Útok na užívateľa zabezpečenej WWW aplikácie (Martin Zajíček)DCIT, a.s.
 
Internetové bankovníctvo - útok na užívateľa (Martin Zajíček)
Internetové bankovníctvo - útok na užívateľa (Martin Zajíček)Internetové bankovníctvo - útok na užívateľa (Martin Zajíček)
Internetové bankovníctvo - útok na užívateľa (Martin Zajíček)DCIT, a.s.
 
Ľudský faktor – najslabší článok bezpečnosti (Martin Zajíček)
Ľudský faktor – najslabší článok bezpečnosti (Martin Zajíček)Ľudský faktor – najslabší článok bezpečnosti (Martin Zajíček)
Ľudský faktor – najslabší článok bezpečnosti (Martin Zajíček)DCIT, a.s.
 
Bezpečnostný audit a penetračné testy (Martin Zajíček)
Bezpečnostný audit a penetračné testy (Martin Zajíček)Bezpečnostný audit a penetračné testy (Martin Zajíček)
Bezpečnostný audit a penetračné testy (Martin Zajíček)DCIT, a.s.
 
Bezpečnosť webových aplikácií (Martin Zajíček)
Bezpečnosť webových aplikácií (Martin Zajíček)Bezpečnosť webových aplikácií (Martin Zajíček)
Bezpečnosť webových aplikácií (Martin Zajíček)DCIT, a.s.
 
Jen technická obrana nestačí (Jindřich Hlaváč)
Jen technická obrana nestačí (Jindřich Hlaváč)Jen technická obrana nestačí (Jindřich Hlaváč)
Jen technická obrana nestačí (Jindřich Hlaváč)DCIT, a.s.
 
Interpretace výsledků penetračních testů (Karel Miko)
Interpretace výsledků penetračních testů (Karel Miko)Interpretace výsledků penetračních testů (Karel Miko)
Interpretace výsledků penetračních testů (Karel Miko)DCIT, a.s.
 
Konfigurační standardy (Luboš Číž)
Konfigurační standardy (Luboš Číž)Konfigurační standardy (Luboš Číž)
Konfigurační standardy (Luboš Číž)DCIT, a.s.
 
Bezpečnost otevřených a uzavřených řešení (Martin Mačok)
Bezpečnost otevřených a uzavřených řešení (Martin Mačok)Bezpečnost otevřených a uzavřených řešení (Martin Mačok)
Bezpečnost otevřených a uzavřených řešení (Martin Mačok)DCIT, a.s.
 
Internet Banking Attacks (Karel Miko)
Internet Banking Attacks (Karel Miko)Internet Banking Attacks (Karel Miko)
Internet Banking Attacks (Karel Miko)DCIT, a.s.
 

More from DCIT, a.s. (13)

Smerovanie IT bezpečnosti na Slovensku (Martin Zajíček)
Smerovanie IT bezpečnosti na Slovensku (Martin Zajíček)Smerovanie IT bezpečnosti na Slovensku (Martin Zajíček)
Smerovanie IT bezpečnosti na Slovensku (Martin Zajíček)
 
Bezpečnosť mobilných aplikácií (Martin Zajíček)
Bezpečnosť mobilných aplikácií (Martin Zajíček)Bezpečnosť mobilných aplikácií (Martin Zajíček)
Bezpečnosť mobilných aplikácií (Martin Zajíček)
 
Implementace bezpecnostni politiky v organizaci
Implementace bezpecnostni politiky v organizaciImplementace bezpecnostni politiky v organizaci
Implementace bezpecnostni politiky v organizaci
 
Útok na užívateľa zabezpečenej WWW aplikácie (Martin Zajíček)
Útok na užívateľa zabezpečenej WWW aplikácie (Martin Zajíček)Útok na užívateľa zabezpečenej WWW aplikácie (Martin Zajíček)
Útok na užívateľa zabezpečenej WWW aplikácie (Martin Zajíček)
 
Internetové bankovníctvo - útok na užívateľa (Martin Zajíček)
Internetové bankovníctvo - útok na užívateľa (Martin Zajíček)Internetové bankovníctvo - útok na užívateľa (Martin Zajíček)
Internetové bankovníctvo - útok na užívateľa (Martin Zajíček)
 
Ľudský faktor – najslabší článok bezpečnosti (Martin Zajíček)
Ľudský faktor – najslabší článok bezpečnosti (Martin Zajíček)Ľudský faktor – najslabší článok bezpečnosti (Martin Zajíček)
Ľudský faktor – najslabší článok bezpečnosti (Martin Zajíček)
 
Bezpečnostný audit a penetračné testy (Martin Zajíček)
Bezpečnostný audit a penetračné testy (Martin Zajíček)Bezpečnostný audit a penetračné testy (Martin Zajíček)
Bezpečnostný audit a penetračné testy (Martin Zajíček)
 
Bezpečnosť webových aplikácií (Martin Zajíček)
Bezpečnosť webových aplikácií (Martin Zajíček)Bezpečnosť webových aplikácií (Martin Zajíček)
Bezpečnosť webových aplikácií (Martin Zajíček)
 
Jen technická obrana nestačí (Jindřich Hlaváč)
Jen technická obrana nestačí (Jindřich Hlaváč)Jen technická obrana nestačí (Jindřich Hlaváč)
Jen technická obrana nestačí (Jindřich Hlaváč)
 
Interpretace výsledků penetračních testů (Karel Miko)
Interpretace výsledků penetračních testů (Karel Miko)Interpretace výsledků penetračních testů (Karel Miko)
Interpretace výsledků penetračních testů (Karel Miko)
 
Konfigurační standardy (Luboš Číž)
Konfigurační standardy (Luboš Číž)Konfigurační standardy (Luboš Číž)
Konfigurační standardy (Luboš Číž)
 
Bezpečnost otevřených a uzavřených řešení (Martin Mačok)
Bezpečnost otevřených a uzavřených řešení (Martin Mačok)Bezpečnost otevřených a uzavřených řešení (Martin Mačok)
Bezpečnost otevřených a uzavřených řešení (Martin Mačok)
 
Internet Banking Attacks (Karel Miko)
Internet Banking Attacks (Karel Miko)Internet Banking Attacks (Karel Miko)
Internet Banking Attacks (Karel Miko)
 

Osobní bezpečnost na internetu

  • 1. Peníze! COMMUNICATION WEDNESDAY – 4. listopadu 2015 Osobní bezpečnost na internetu Karel Miko, DCIT, a.s. miko@dcit.cz
  • 2. O čem bude příspěvek? • o penězích • o penězích v online světě • o krádežích peněz • o krádežích peněz v online světě • o krádežích a „praní“ peněz v online světě 2
  • 3. On-line banking fraudy / 1 Pravděpodobně první co nás napadne, kde bychom mohli přijít o peníze • Internet banking, mobile banking, tele-banking • Útoky nejčastěji směřují na klienty • Škála útoků poměrně široká • Phishing (sociální inženýrství) • Credential stealing • Man-in-the-browser & co. (MITB, MITM, MITMo, BITB) • Cross-channel útoky • Útoky na mobilní platformy (viz předchozí prezentace) • Různé autentizační metody činí útoky různě náročné • Jméno heslo • SMS OTP, SW OTP, SW PKI (či jiná kryptografie) • HW: OTP, čipová karta (dříve SIM toolkit, „kalkulátory“) 3
  • 4. On-line banking fraudy / 2 Bankovní malware • ZeuS – „legenda“ • Následovníci: SpyEye Citadel Dridex Hesperbot aj. • Velmi sofistikovaný, často velmi obtížně odhalitelný, z technického hlediska „mistrovský kousek“, spojený s organizovaným zločinem, lze „koupit“ jako SaaS • S odhalením nové mutace dobrého bankovního malware má problém i odborník, laik – bez šance • Dovede pokořit i velmi sofistikované autentizační a autorizační metody (jako např. čipová karta) • Obvykle to začíná jedním špatným klikem • Malware není k útoku nezbytně nutný (phishing, MITM) 4
  • 5. On-line banking fraudy / 3 Zranitelnost autentizačních metod: • SMS OTP – phishing, mobile malware • HW OTP – phishing, MITB / MITM • SW „cokoli“ – MITB / malware (v počitači či mobilu) • Čipová karta – MITB, speciální trojan/malware Oběti • Běžný uživatel (často náhodná oběť) • VIP uživatel (spear phishing + navazující kroky) • Firmy (externí útočník + malware) • Firmy (insider – spíše ve velkých firmách) 5
  • 6. Fraudy s platebními kartami / 1 Šance, že přijdete o peníze zneužitím platební karty je o řád vyšší než útokem přes internetové bankovnictví • Počet fraudů 1 : 20 (IB : Karta) • Objem fraudu 1 : 15 (IB : Karta) • Data z UK-2014, v ČR? Karetní fraudy celosvětově: • 2014: 16 mld.$, 2010: 7 mld.$, 2005: 4 mld.$ • Zdroj: nilsonreport.com • Procento z objemu transakcí je dlouhodobě < 0.1% • Organizovaný zločin, je skutečně organizovaný 6
  • 7. Fraudy s platebními kartami / 2 Typové rozložení (ECB-2014) • 66% CNP (card not present) • 20% POS (terminál u obchodníka) • 14% ATM (bankomat) Fraudy CNP • Spadají sem veškeré on-line platby • Rostou a porostou Fraudy ATM / POS • Nástup čipových karet (EMV) výrazně snížil objem fraudů tohoto typu (v Evropě) 7
  • 8. Fraudy s platebními kartami / 3 Útoky • Stolen cards (virtuálně: BIN + CVV) – phishing, telefon, e-mail, obecně internet, hotely, restaurace .. • Skimming / klonování (ATM, hotely, restaurace) • Stolen cards (fyzicky ukradené karty) • Úniky informací o kartách od zpracovatelů či poskytovatelů služeb • Krádež identity + zneužití "uložené" platební karty • Sofistikované útoky (zneužití EMV karty bez znalosti PINu, „cinknuté“ POS terminály) 8
  • 9. Ostatní on-line fraudy / 1 Nemusí jít přímo o peníze (ale nepřímo) • např. obchodování s akciemi / komodity / deriváty • Pump & dump + variace Nemusí jít o peníze nýbrž o „krypto peníze“ • např. Bitcoin (anonymní – „svým způsobem“) • Umět zaplatit Bitcoinem se občas hodí i běžnému uživateli (ransomware) • Žádný charge-back, krádež/ztráta je nevratná 9
  • 10. Ostatní on-line fraudy / 2 Oběť často sama pošle peníze na účet útočníka • Obvykle v návaznosti na sociální inženýrství • Podvody: „nigerijské“ dopisy, fiktivní výhry Obětí fraudu se můžete stát i případě, že přijímáte bezhotovostní platbu • Chtěl odesílatel poslat peníze skutečně Vám? 10
  • 11. Praní peněz Také se může do fraudu zapojit jako „bílý kůň“ • Podivné inzeráty na snadný přivýdělek • Přeposílání peněz (money mule) – součást internet banking fraudů • Přeposílání zásilek (parcel mule) – součást karetních fraudů (adresa v ČR sice není úplné „terno“, ale patří spíše mezi ty lepší destinace) 11
  • 12. Budoucnost? • Objem on-line plateb/transakcí poroste • Potenciální „kořist“ bude čím dál větší • Budeme uklidňováni, že fraudů je pouze <0.1% • Přijdou inovované metody fraudů • Nezastaví se to 12