Jak Vám dnes někdo může vyloupit účet na dálku pomocí škodlivého kódu?
 Zeptali jsme se provozovatele webu cleverandsmart Miroslava Čermáka, co si myslí o aktuální situaci na poli škodlivých kódů útočících na klienty bank přes jejich internetbanking. Jak k vyloupení peněz z Vašeho účtu může dojít a jak to funguje u různých variant zabezpečení?
V médiích se v poslední době poměrně často hovoří o škodlivém kódu, který je cílen na uživatele internetového bankovnictví. Měli bychom se začít bát?
Pokud dodržujete základní bezpečnostní pravidla, která banky na svých stránkách uvádí, tak není důvod se obávat. Problém je, že tato pravidla málokdo dodržuje.
Můžete být konkrétnější a říci našim čtenářům, která pravidla klienti nejčastěji porušují?
Samozřejmě. Banky nabádají své klienty, aby udržovali svůj operační systém, prohlížeč a aplikace aktuální, měli aktivován firewall, používali nějaký antivirus, a především, aby navštěvovali na internetu pouze důvěryhodné weby, instalovali aplikace jen z oficiálních zdrojů a neotvírali přílohy e-mailu s podezřelým názvem nebo obsahem. Tato doporučení ale prakticky nikdo nedodržuje, protože to kolikrát ani dost dobře nejde.
Přesně tomu nerozumím, v čem je, prosím, problém?
Problém spočívá v tom, že vy jako běžný uživatel můžete velice obtížně posoudit, zda je daný web důvěryhodný ještě dříve, než ho navštívíte, a mnohdy to nedokážou ani firmy, co nabízejí hodnocení webů jako součást svého antivirového řešení a zobrazují jeho důvěryhodnost ve výsledcích vyhledávání. Kromě toho se škodlivý kód dost často nachází i na důvěryhodných hodně navštěvovaných webech a stejně tak e-mail obsahující škodlivý kód vám nezřídka přijde od osoby, kterou důvěrně znáte, protože se rozešle na všechny adresy, které najde v jejím adresáři.
Chcete říct, že i když budu dodržovat všechna výše citovaná pravidla, tak se přesto mohu nakazit?
Bohužel, když budete mít smůlu a zavítáte na nějaký důvěryhodný web, na který byl útočníkem právě nedávno umístěn škodlivý kód, který zneužívá nějaké dosud neošetřené chyby ve vašem operačním systému, prohlížeči, JAVĚ apod., tak pronikne do vašeho počítače, odkud pak může snadno ovládnout i vaše internetové bankovnictví a realizovat transakce pod vaší identitou.
Já ale používám pro potvrzení transakcí jednorázové heslo, které mi přijde na mobil.
V takovém případě útočníkovi nezbývá nic jiného, než se spolehnout na to, že bezmyšlenkovitě přepíšete zaslaný autorizační kód, aniž byste si přečetl, pro jakou částku a účet byl vygenerován. Jako klient sice vyplníte správné číslo účtu, částku, variabilní symbol atd. a kliknete na tlačítko odeslat, ale v tento moment malware vymění číslo účtu i částku za vlastní hodnoty a odesílá požadavek do banky. Banka generuje SMS, kde je uvedeno číslo účtu a částka útočníka. Klient pak dostává SMS, a pokud si nezkontroluje číslo účtu a částku a opíše bezmyšlenkovitě ověřovací kód do internetového bankovnictví, tak vlastně odsouhlasí zaslání peněz ze svého účtu na účet útočníka. Jediná možnost, jak této situaci zamezit, je zkontrolovat číslo účtu a částku v SMS a ověřovací kód do aplikace neopsat.
Případně se vás útočník může snažit přesvědčit, abyste si do svého smartphonu nainstaloval aplikaci, na kterou je ze stránek internetového bankovnictví odkazováno prostřednictvím QR kódu s tím, že se jedná o bezpečnostní certifikát pro váš smartphone. Netřeba snad dodávat, že se o žádný certifikát nejedná, nýbrž je to aplikace, jejímž cílem je odchytávat autorizační kódy a přeposílat je útočníkovi.
Tato ještě rafinovanější varianta spočívá v tom, že ověřovací kód sice přijde na mobilní telefon klienta, ale SMS je pak dále přeposlána na útočníkův server, tam se uloží do databáze. Malware na počítači klienta se s touto databází spojí, kód si přečte a sám jej do formuláře klienta vloží a transakci přímo potvrdí.
Takže když budu tuto výzvu ignorovat, a žádnou aplikaci si do svého smartphonu nenainstaluji, tak se nemusím obávat?
Vy ne, ale nezapomínejte na to, že jsou zde ještě klienti, kteří stále autorizují své transakce čipovou kartou, což v mnoha případech rozhodně nelze považovat za bezpečný způsob autorizace.
A já jsem si vždy myslel, že autorizace čipovou kartou s certifikátem je to nejbezpečnější řešení.
Kdysi tomu tak skutečně bylo. K útokům samozřejmě docházelo i tehdy, ale bylo jich podstatně méně, především proto, že pro úspěšné provedení útoku bylo nutné kompromitovat počítač s nainstalovaným „tlustým klientem“ (aplikace, která komunikuje přímo s bankovním serverem bez pomocí internetového prohlížeče - pozn. redakce) umožňujícím komunikaci s bankou, který byl zpravidla používán výhradně jen za tímto účelem. První obětí se staly ty firmy, které se vůči bance autentizovaly jen jménem a heslem, což bylo mimochodem v rozporu s doporučením FFIEC. Brzy po zavedení čipových karet, které sloužily k dvoufaktorové autentizaci a k podepisování transakcí, tyto útoky přestaly být úspěšné.
Ale dnes už je to zase jinak, co se stalo, že čipové karty najednou nejsou až tak bezpečné?
Chtěl bych podotknout, že to nebylo najednou, ale s tím jak se stále více transakcí začalo realizovat z „tenkého klienta“, rozumějte z prohlížeče, který byl nainstalován na počítači, který je připojen do internetu, a hlavně, který je využíván i k mnoha jiným účelům než jen pro komunikaci s bankou, minimálně je na něm otevírána pošta, a je z něho přistupováno i na jiné webové stránky, došlo k porušení oněch základních pravidel.
Dobře, ale k potvrzení transakce musím přeci také zadat PIN.
To ano, ale uvědomte si, kde ten PIN zadáváte. V ohrožení jsou především ti klienti, kteří používají čtečku čipových karet bez klávesnice, protože PIN v takovém případě zadáváte na klasické klávesnici připojené k počítači, na které je malware schopen stisknuté klávesy zaznamenat, a získat tak PIN. Malwaru nainstalovaném na počítači klienta pak stačí jen počkat, až klient vloží do čtečky kartu a už může jednoduše generovat transakce a sám si je i podepisuje, protože PIN zná.
Pokud používám čtečku čipových karet, která je vybavena vlastní klávesnicí, tak malware nemá šanci?
Neřekl bych, že malware nemá šanci, ale spíš že ti, co používají čtečku čipových karet s vlastní klávesnicí, jsou na tom podstatně lépe, protože PIN zadávaný tímto způsobem nemůže malware odposlechnout. To ovšem neznamená, že takový klient nemůže utrpět škodu. Útočníci se totiž stále více zaměřují na firemní zákazníky, kteří jsou do internetového bankovnictví připojení prakticky neustále, a co je důležité, realizují i vyšší počet transakcí o větším objemu.
Jestliže ale malware nemůže odposlechnout PIN, tak jak pak může být realizována podvodná transakce?
Je zde jeden nezanedbatelný problém a tím je autorizace většího počtu transakcí. Je nutné si uvědomit, že ve firmě zpravidla transakce do internetového bankovnictví zadává jiná osoba, než která je schvaluje, a i když připustíme, že tuto činnost v menší firmě vykonává třeba přímo její majitel nebo jím prověřená osoba, tak je těch transakcí moc. A když prakticky denně převádíte z účtu na účet stotisícové a vyšší částky, tak prostě po čase vaše pozornost ochabne, obzvlášť když to nejsou vaše peníze, ale peníze firmy.
Předpokládejme, že klient vytvořil transakci a chce ji poslat do banky, kliká tedy na tlačítko podepsat, aplikace do čtečky zasílá transakční data a ta jsou zobrazena na jejím displeji. Přičemž TAN může být generováno pro každou transakci, anebo může být generován pro celý soubor transakcí. V zásadě je jedno, která varianta je použita, podstatné je to, že ten kdo transakce potvrzuje, musí zkontrolovat, že minimálně číslo účtu, které se mu zobrazuje na displeji čtečky, je skutečně ono číslo účtu, na které chce peníze poslat.
A právě na skutečnosti, že tato kontrola neprobíhá, nebo probíhá nedostatečně, spoléhá malware, který před odesláním transakcí do čtečky ještě jednu transakci přidá nebo u jedné změní číslo účtu a případně i částku. V okamžiku, kdy je zadán PIN, a transakce nebo celý soubor transakcí je potvrzen, dojde k podepsání a k odeslání do banky.
Takže v zásadě jde obdobný problém jako u těch autorizačních SMSek.
Ano, musíte ta čísla účtů prostě kontrolovat, což u těch hromadných transakcí může být někdy problém. A jestliže se zamyslíte nad tím, jakým způsobem ona kontrola ve spoustě firem probíhá, tak jistě přijdete na to, že stačí jen drobná úprava v kódu malwaru a škody mohou být mnohem vyšší. Trochu vám napovím, nikdy nevěřte tomu, co vidíte na obrazovce.
všechny články | |
Dále v rubrice
všechny články v rubrice
|