Internetové bankovnictví a nešifrované SMS

Zdroj: SOOM.cz [ISSN 1804-7270]
Autor: Mirek
Datum: 5.1.2010
Hodnocení/Hlasovalo: 1.55/67

Čas od času vždycky někdo začne spekulovat o tom, zda je autorizace transakcí pomocí jednorázového hesla zasílaného na mobilní telefon uživatele internetového bankovnictví ve formě nešifrované SMS bezpečná nebo ne. Bezpečná samozřejmě není, ale přesto si dovoluji tvrdit, že nepředstavuje takové riziko, které by většina z nás nemohla nebo nebyla ochotna podstoupit. Proč? Protože alfou a omegou je pravděpodobnost získání tohoto jednorázového hesla.

To, že tento útok lze teoreticky provést, ještě neznamená, že se budou útoky tohoto typu v reálném světě objevovat nějak často a budou mít zdrcující dopad. Nebudou, prostě proto, že by se realizace takového útoku v reálném světě útočníkovi nevyplatila. Pokud jde o samotný útok, můžeme v zásadě rozlišit dva typy útoku a to útok, kdy počet a konkrétní jména obětí nejsou předem známy a útok vedený proti konkrétní fyzické nebo právnické osobě.

Pro první typ útoku je typické, že útočník nikdy dopředu neví, kdo se stane jeho obětí a čí účet nebo identitu se bude snažit následně zneužít. Je to totéž, jako když jdete chytat ryby, nahodíte a nějaká se chytí nebo máte smůlu a nechytíte nic. Např. jeden z nejčastějších útoků tzv. phishing je založen na předpokladu, že oběť uvěří mailu, který ji útočník poslal a bude se domnívat, že se jedná o mail od banky a na webové stránce, která se bude tvářit jako stránky banky, zadá své uživatelské jméno a heslo, které používá do svého internetového bankovnictví. Oběť se může na falešné stránky, které na první pohled vypadají stejně jako stránky banky dostat v důsledku změny záznamů v DNS, kdy je po zadání URL, které by ji normálně vedlo na stránky banky, směrována na server útočníka (tzv. pharming) a zde zadá své přihlašovací údaje v domnění, že se nachází na stránkách banky. V okamžiku, kdy tento server naváže spojení s bankou, můžeme hovořit o útoku typu MITM (Man In The Middle). Přihlašovací údaje však může útočník získat i díky tomu, že se na počítači oběti nachází keylogger, který zachytává přihlašovací údaje a posílá je útočníkovi. A pak je tu ještě poslední typ útoku tzv. MITB (Man In The Browser), kdy útočník jméno a heslo oběti nepotřebuje znát, neboť s požadavky klienta manipuluje přímo v browseru. Vzhledem k tomu, že pro potvrzení aktivní operace je zapotřebí do aplikace přepsat unikátní a časově omezený kód tzv. OTP (One Time Password), který se uživateli objeví na mobilu, je zřejmé, že útočník může bez znalosti tohoto kódu provádět pouze pasivní operace. Aby útočník mohl provést aktivní operaci, musel by kromě jména a hesla zachytit ještě OTP. Je vysoce nepravděpodobné, že by někdo, kdo v podstatě jen náhodou odchytil vaše jméno a heslo do internetového bankovnictví, ztrácel čas zjišťováním vaší fyzické identity a pak vás ještě okradl nebo nechal okrást o mobilní telefon nebo se pokusil odchytit OTP zaslané formou nešifrované SMS na váš mobilní telefon. Teoreticky to samozřejmě možné je, ale i útočník, pokud jeho motivem není osobní msta nebo netrpí nějakou psychickou poruchou, si spočítá, zda by se mu to takový útok vyplatil. Porovná náklady na provedení celé této akce, její výnosy a riziko, které by musel podstoupit. Pomineme-li náklady na kybernetický útok, které mohou být velice nízké, neboť lze realizovat značné úspory z rozsahu (phishingový mail může být zaslán na spoustu adres a stejně tak se trojan s keyloggerem může dostat do velkého množství počítačů), tak nám zde vyvstávají mnohem vyšší náklady a riziko spojené se samotným zcizením mobilního telefonu konkrétní vytypované oběti. Podstatný faktor, který pravděpodobnost takového útoku značně snižuje, je skutečnost, že útočník, který páchá kyberkriminalitu, si obvykle nechce špinit ruce pácháním klasického trestného činu, kde je riziko zanechání stop, prozrazení, dopadení a tedy i odsouzení mnohem vyšší. Nechci tvrdit, že nelze ukrást konkrétní mobil na zakázku, určitě by se nějaký zoufalec, který by se o to pokusil, našel, ale náklady na provedení takové akce by byly vyšší než výnosy, takže z tohoto důvodu je to velmi nepravděpodobné.

Poznámka: kybernetický útok obvykle neprovádí jednotlivec, ale organizovaná skupina, kde jsou jednotlivé úkoly důsledně rozděleny mezi jednotlivce a týmy, které se dost často ani osobně neznají, neboť spolu komunikují výhradně přes internet a nacházejí se v různých částech světa, stejně jako stroje, které jsou k těmto útokům používány. Dělba práce mezi jednotlivými členy organizované skupiny jsou obvykle následující: napsání phishing mailu nebo trojana, jeho distribuce, instalace a konfigurace serveru, na kterém se budou ukládat zcizené údaje nebo bude běžet falešný web, zneužití přihlašovacích údajů a převod peněz na účet, ze kterého se dají peníze vybrat nebo ze kterého se dá zaplatit, výběr hotovosti v bance nebo z bankomatu, vyplacení provizí. Nutno podotknout, že tyto skupiny jsou vysoce organizované, používají nejmodernější prostředky komunikace, která bývá dost často šifrovaná, servery bývají zapojeny v geografickém clusteru, pro šíření malwaru se používá armáda zombií (nakažené počítače, které lze ovládat na dálku). Tyto skupiny též často spolupracují s IT specialisty, kteří s nimi mají uzavřenou standardní pracovní smlouvu a často ani netuší, pro koho vlastně pracují a k čemu výsledky jejich práce slouží.

Získat OTP zaslané na mobilní telefon formou nešifrované SMS lze v zásadě těmito způsoby:

- získání SMS respektive OTP v bance
- zkopírováním SMS v prostorách operátora
- zachycení SMS zasílané klientovi ve vzduchu
- krádeží samotného mobilního telefonu
- naklonování SIM karty
- přeposlání SMS na telefon útočníka

Získání SMS respektive OTP v bance

Tento způsob získání OTP nemá smysl řešit, neboť ten kdo má příslušná oprávnění v jakémkoliv systému, je může vždy zneužít. To, aby k tomu nedocházelo, je otázka vhodného nastavení odpovídajících práv, řízení logického přístupu, segregace rolí, zavedení pravidla čtyř očí apod.

Zkopírování SMS v prostorách operátora

Krádež přímo u operátora nelze vyloučit, ale v takovém případě by se jistě velice brzy dala očekávat série občanských stížností a oběť by s největší pravděpodobní o peníze nepřišla, ale byly by ji vráceny a ještě by byla odškodněna a dost možná by i takový operátor skončil. Nezapomínejte, že se vše loguje. Samozřejmě, že se zavedením šifrovaných SMS by se toto riziko snížilo prakticky na nulu.

Zachycení SMS zasílané klientovi ve vzduchu

Odposlechnutí SMS ve vzduchu by opět znamenalo nejprve identifikovat fyzickou osobu, které přihlašovací údaje patří a dále zjistit číslo jejího mobilního telefonu a poté se pohybovat v její blízkosti a SMS zprávu zachytit. V takovém případě, ale oběť dostane zprávu na mobil a hned bude vědět, že se něco děje. Pokud v SMS zprávě chodí číslo účtu a částka, tak tyto údaje nebudou sedět. Oběť navíc ani nemusí v internetovém bankovnictví v danou dobu pracovat, takže se bude velice divit, že jí SMS s OTP přišla.

Krádež samotného mobilního telefonu

V okamžiku, kdy oběť zjistí zcizení svého mobilního telefonu, což bude ve většině případů maximálně do několika málo minut, nahlásí tuto skutečnost své bance a operátorovi. Je zřejmé, že tudy cesta nevede. Pravděpodobnost realizace takového útoku je velice nízká, ač spousta bezpečnostních expertů tento způsob útoku s oblibou uvádí, leč bez uvedení konkrétních případů, že se tak již někde stalo. Přiznám se, že studii, která by popisovala závislost mezi počtem ztracených nebo ukradených mobilních telefonů a následně zneužitých výše popsaným způsobem neznám. (Pokud některý ze čtenářů o takové studii ví, nechť prosím uvede odkaz v diskusi pod článkem.) Většina mobilních telefonů umožňuje nastavit automatické uzamykání po x minutách nečinnosti a také to tak dělá. To znamená, že zloděj by musel mobilní telefon ukrást dříve, než se stihne uzamknout. Např. ho oběti vyrvat z ruky, když telefonuje. Je pravděpodobné, že v okamžiku, kdy si oběť uloží mobilní telefon do kapsy nebo do tašky, pravděpodobně si ho uzamkne. Ne ani tak kvůli bezpečnosti, ale spíš aby se náhodným stiskem kláves nevytočilo nějaké číslo nebo ho vypne úplně, aby se jí zbytečně nevybíjely baterky. A i kdyby tomu tak nebylo, tak ten, kdo mobilní telefon ukradne, se ho chce obvykle co nejrychleji zbavit, takže půjde do nejbližší zastavárny nebo bazaru, kde budou následně veškerá data v mobilním uložená s největší pravděpodobností zničena. Můžete sice argumentovat tím, že kdyby SMS byla šifrovaná, tak by se k ní útočník nedostal ani v případě, že by mobilní telefon ukradl. Ovšem pokud je oběť zvyklá si v mobilu ukládat nejrůznější přístupové kódy, nejspíš tam bude mít uložen i přístupový kód do SIM toolkit aplikace. Někteří bezpečnostní experti také dost často uvádějí jako příklad, že mobilní telefon oběti si může v nestřeženém okamžiku vypůjčit např. vaše manželka, ex-manželka, milenka, potomek, kolega apod. Jistě, ale kolik bylo takových případů, že tito lidé znali jméno a heslo oběti do internetového bankovnictví, vypůjčili si její mobil a transakci provedli?

Naklonování SIM karty

Za největší hrozbu lze považovat naklonování SIM karty, kdy útočník disponuje stejným telefonním číslem jako oběť. I v tomto případě ale útočník musí nejprve spárovat přihlašovací údaje, které nějakým způsobem získal, s fyzickou osobou a jejím mobilním číslem, na které se autorizační SMS posílá. Pokud transakci provede v době, kdy má oběť mobilní telefon vypnut, nemusí ani pojmout podezření, že se něco děje.

Přeposlání SMS na telefon útočníka

Vzhledem ke konvergenci mobilních telefonů a počítačů roste riziko, že čím dál tím více mobilních zařízení (Smartphone) bude zranitelných stejným způsobem jako běžné počítače. To je dáno tím, že obsahují operační systém a lze do nich instalovat nejrůznější aplikace. Uživateli se tak do mobilního telefonu může dostat škodlivý kód, který způsobí, že vybrané SMS zprávy, které přijdou na jeho telefon, budou přeposílány na telefon útočníka a oběť si toho nemusí vůbec všimnout. Škodlivý kód se může do telefonu oběti dostat např. přes nezabezpečený Bluetooth nebo se uživatel může nakazit přes internet. I zde je však nutné, aby útočník zjistil kromě přihlašovacích údajů do internetového bankovnictví i jméno fyzické osoby, které tyto údaje patří a číslo jejího mobilního telefonu a zajistil spuštění škodlivého kódu na daném telefonním přístroji.

Opatření ke snížení hrozby a výsledného rizika

Útočník, který náhodným způsobem získá vaše identifikační údaje, neví na jaký telefon resp. na jaké telefonní číslo je SMS zasílána, jakou autentizaci používáte a jaký máte limit. Ano, jedná se sice o „security by obscurity“, ale ať chcete nebo ne, tak pravděpodobnost hrozby se tímto snižuje. Útočník se daleko spíš pokusí zneužít získaných přihlašovacích údajů u těch finanančních institucí, u kterých dodatečná autentizace není požadována vůbec nebo se pokusí přelstít Fraud Prevention System, který daná instituce používá. Účinnost Fraud Prevention System hraje v případě bank poměrně významnou roli, protože útočník musí vyřešit problém, jak peníze vyvést z banky ven. O banku, která má kvalitní systém na detekci takových podvodů nebude mít útočník až takový zájem.

Pokud máte obavu, že by si váš mobil mohl někdo z vašich blízkých spolupracovníků nebo rodinných příslušníků vypůjčit, tak si změňte PIN, mějte mobil pořád u sebe, a když to není možné, tak ho zamkněte nebo vypněte.

Pokud máte pocit, že budete někomu stát za to, aby si na vás někde počkal a donutil vás transakci provést, nastavte si takový limit, abyste byl danou finanční ztrátu schopen bez problémů ustát, protože v takovém případě bude úplně jedno, zda SMS bude šifrovaná nebo ne.

Závěr: Používání nešifrovaných SMS představuje paradoxně větší riziko pro samotnou banku než pro klienta. V případě klienta hrozí při realizaci výše uvedeného a krajně nepravděpodobného útoku ztráta maximálně několika tisíc, avšak banka se vystavuje značnému reputačnímu riziku, kdy k poškození dobrého jména může dojít jen díky několika málo expertům, bijících na poplach a poukazujících na nedostatečné zabezpečení a jednomu zoufalci, který se bude chtít zviditelnit a dokázat, že výše popsaný útok lze v praxi realizovat.