Prezentace z třetího ročníku konference New Media Inspiration (http://nminspiration.cz), který se konal 8. 2. 2014 v hlavní budově FF UK pod vedením @petrkou, @simindr a @josefslerka.
Mobilní bankovnictví a bezpečnostní rizikaPetr Dvorak
Co je mobilní bankovnictví, jaké jsou jeho nejčastější způsoby (SIM Toolkit, aplikace pro operační systémy iOS, Android, Symbian apod.). V čem jsou jeho výhody a v čem spočívá jeho nebezpečí a riziko? Je možné dlouhodobě spoléhat na jednofaktorovou bezpečnost řešení mobilních bankovnictví?
New Media Inspiration 2014 - Bezpečnost v kontextu Internetu věcíPetr Dvorak
“Internet věcí” přináší mimo celé řady příležitostí i novou a relativně pestrou paletu potenciálních problémů. Fakt, že jeden uživatel bude mít u sebe kromě chytrého telefonu i tablet, chytré brýle a chytré hodinky, představuje výzvu pro návrh autentizace uživatele do různých typů aplikací v rámci komplexu osobních přenosných zařízení. Tato výzva nespočívá jen v návrhu samotné bezpečnosti, ale také v zachování přívětivé user-experience.
Prezentace z třetího ročníku konference New Media Inspiration (http://nminspiration.cz), který se konal 8. 2. 2014 v hlavní budově FF UK pod vedením @petrkou, @simindr a @josefslerka.
Mobilní bankovnictví a bezpečnostní rizikaPetr Dvorak
Co je mobilní bankovnictví, jaké jsou jeho nejčastější způsoby (SIM Toolkit, aplikace pro operační systémy iOS, Android, Symbian apod.). V čem jsou jeho výhody a v čem spočívá jeho nebezpečí a riziko? Je možné dlouhodobě spoléhat na jednofaktorovou bezpečnost řešení mobilních bankovnictví?
New Media Inspiration 2014 - Bezpečnost v kontextu Internetu věcíPetr Dvorak
“Internet věcí” přináší mimo celé řady příležitostí i novou a relativně pestrou paletu potenciálních problémů. Fakt, že jeden uživatel bude mít u sebe kromě chytrého telefonu i tablet, chytré brýle a chytré hodinky, představuje výzvu pro návrh autentizace uživatele do různých typů aplikací v rámci komplexu osobních přenosných zařízení. Tato výzva nespočívá jen v návrhu samotné bezpečnosti, ale také v zachování přívětivé user-experience.
2. O čem bude příspěvek?
• o penězích
• o penězích v online světě
• o krádežích peněz
• o krádežích peněz v online světě
• o krádežích a „praní“ peněz v online světě
2
3. On-line banking fraudy / 1
Pravděpodobně první co nás napadne,
kde bychom mohli přijít o peníze
• Internet banking, mobile banking, tele-banking
• Útoky nejčastěji směřují na klienty
• Škála útoků poměrně široká
• Phishing (sociální inženýrství)
• Credential stealing
• Man-in-the-browser & co. (MITB, MITM, MITMo, BITB)
• Cross-channel útoky
• Útoky na mobilní platformy (viz předchozí prezentace)
• Různé autentizační metody činí útoky různě náročné
• Jméno heslo
• SMS OTP, SW OTP, SW PKI (či jiná kryptografie)
• HW: OTP, čipová karta (dříve SIM toolkit, „kalkulátory“)
3
4. On-line banking fraudy / 2
Bankovní malware
• ZeuS – „legenda“
• Následovníci: SpyEye Citadel Dridex Hesperbot aj.
• Velmi sofistikovaný, často velmi obtížně odhalitelný, z
technického hlediska „mistrovský kousek“, spojený s
organizovaným zločinem, lze „koupit“ jako SaaS
• S odhalením nové mutace dobrého bankovního malware
má problém i odborník, laik – bez šance
• Dovede pokořit i velmi sofistikované autentizační a
autorizační metody (jako např. čipová karta)
• Obvykle to začíná jedním špatným klikem
• Malware není k útoku nezbytně nutný (phishing, MITM)
4
5. On-line banking fraudy / 3
Zranitelnost autentizačních metod:
• SMS OTP – phishing, mobile malware
• HW OTP – phishing, MITB / MITM
• SW „cokoli“ – MITB / malware (v počitači či mobilu)
• Čipová karta – MITB, speciální trojan/malware
Oběti
• Běžný uživatel (často náhodná oběť)
• VIP uživatel (spear phishing + navazující kroky)
• Firmy (externí útočník + malware)
• Firmy (insider – spíše ve velkých firmách)
5
6. Fraudy s platebními kartami / 1
Šance, že přijdete o peníze zneužitím
platební karty je o řád vyšší než útokem
přes internetové bankovnictví
• Počet fraudů 1 : 20 (IB : Karta)
• Objem fraudu 1 : 15 (IB : Karta)
• Data z UK-2014, v ČR?
Karetní fraudy celosvětově:
• 2014: 16 mld.$, 2010: 7 mld.$, 2005: 4 mld.$
• Zdroj: nilsonreport.com
• Procento z objemu transakcí je dlouhodobě < 0.1%
• Organizovaný zločin, je skutečně organizovaný
6
7. Fraudy s platebními kartami / 2
Typové rozložení (ECB-2014)
• 66% CNP (card not present)
• 20% POS (terminál u obchodníka)
• 14% ATM (bankomat)
Fraudy CNP
• Spadají sem veškeré on-line platby
• Rostou a porostou
Fraudy ATM / POS
• Nástup čipových karet (EMV) výrazně snížil objem
fraudů tohoto typu (v Evropě)
7
8. Fraudy s platebními kartami / 3
Útoky
• Stolen cards (virtuálně: BIN + CVV) – phishing,
telefon, e-mail, obecně internet, hotely, restaurace ..
• Skimming / klonování (ATM, hotely, restaurace)
• Stolen cards (fyzicky ukradené karty)
• Úniky informací o kartách od zpracovatelů či
poskytovatelů služeb
• Krádež identity + zneužití "uložené" platební karty
• Sofistikované útoky (zneužití EMV karty bez znalosti
PINu, „cinknuté“ POS terminály)
8
9. Ostatní on-line fraudy / 1
Nemusí jít přímo o peníze (ale nepřímo)
• např. obchodování s akciemi / komodity / deriváty
• Pump & dump + variace
Nemusí jít o peníze nýbrž o „krypto peníze“
• např. Bitcoin (anonymní – „svým způsobem“)
• Umět zaplatit Bitcoinem se občas hodí i běžnému
uživateli (ransomware)
• Žádný charge-back, krádež/ztráta je nevratná
9
10. Ostatní on-line fraudy / 2
Oběť často sama pošle peníze na účet
útočníka
• Obvykle v návaznosti na sociální inženýrství
• Podvody: „nigerijské“ dopisy, fiktivní výhry
Obětí fraudu se můžete stát i případě, že
přijímáte bezhotovostní platbu
• Chtěl odesílatel poslat peníze skutečně Vám?
10
11. Praní peněz
Také se může do fraudu zapojit jako
„bílý kůň“
• Podivné inzeráty na snadný přivýdělek
• Přeposílání peněz (money mule) – součást internet
banking fraudů
• Přeposílání zásilek (parcel mule) – součást
karetních fraudů (adresa v ČR sice není úplné
„terno“, ale patří spíše mezi ty lepší destinace)
11
12. Budoucnost?
• Objem on-line plateb/transakcí poroste
• Potenciální „kořist“ bude čím dál větší
• Budeme uklidňováni, že fraudů je pouze <0.1%
• Přijdou inovované metody fraudů
• Nezastaví se to
12