Aktuality - Bankovní bezpečnost

Zpět do 'Aktuality'

„Nový“ malware cíleně útočí na Citibank

8.5.2013 | Batou

Nový malware šířící se spamem se zaměřuje na klienty banky, sbírá hesla a otevírá zadní vrátka pro následný vzdálený přístup.

Zprávy jsou zasílány do fakturačního oddělení jedné z největších světových bank a obsahují přílohu, ve které je zabalený dokument ukrývající škodlivý kód. V těle zprávy útočníci žádají příjemce, aby neodpovídali klasicky tlačítkem „Odpovědět“. Namísto toho se mají podívat do přílohy na detaily o kontaktu. E-mail je také několikrát nazýván jako důvěrný.

Po rozbalení .zip souboru čeká na příjemce překvapení v podobě trojana Zbot (známý též jako Zeus [link]), který okamžitě zablokuje firewall, slídí po heslech a připraví zmiňovaný backdoor. Pomocí toho posléze dotahá další malware. Společnost Bitdefender ho označuje jako Trojan.GenericKD.973769 a nabízí řešení na ochranu.

Rubrika: Bankovní bezpečnost | Comments: 0 | Viewed: 2491x | Rate: 0/0


Shrnutí zabezpečení mobilního bankovnictví

7.5.2013 | Batou

Dnešní trošku neobvyklou „novinkou“ je výcuc z článku shrnujícího bezpečnost mobilního bankovnictví v současné době. Vyšel na blogu Petra Dvořáka sice již 8. dubna, avšak jistě stojí za povšimnutí. Mobilní bankovnictví je po tom internetovém na velkém vzestupu a určitě stojí za to, zamyslet se nad tím jak funguje a jaké výhody/nevýhody plynou z jeho používání ať už z hlediska bezpečnosti, či komfortu. Jistě se hodí podotknout, že autor pracuje ve společnosti, zabývající se vývojem mobilních aplikací i pro celkem významné společnosti ([link]).

První část je zaměřená na autentizaci. Autor zde popisuje 3 základní možnosti, jak je možné obecně v nějakém systému autentizovat uživatele - trefně to přirovnává k větám:
1. „Něco vím.“ (PIN, heslo,...)
2. „Něco mám.“ (certifikát, telefon,...)
3. „Něco jsem.“ (otisk prstu, analýza duhovky,...)

Ve světě mobilů se využívájí prevážně první dva faktory a vývojáři mobilních aplikací stojí před úkolem správně je implementovat. Přitom se musí vypořádat s přenosností zařízení, velmi častým online připojením a třeba také různými sítěmi wifi s různě důslednými zabezpečeními.
Mobilní telefon samotný je brán nejčastěji jako 2. faktor autentizace, také proto je v současné době prakticky vyloučeno prohlásit útok nějakého sofistikovaného programu za nemožný. Podle autora však ještě nenastal ten pravý boom mobilního malware. U většiny bank je mobilní bankovnictví aktivováno pomocí internetového bankovnictví - dojde k výměně klíčů a náš telefon se spojí s účtem v bance. Až se zvýší hrozba mobilního malware, začne se využívat třeba TrustZone na ARM procesorech ([link]) či čipy s technologií SecureID ([link]).

Druhá část je věnovaná SMSkám v mobilním bankovnictví. Podle autora hloupost. Pokud je totiž již na mobilu zabydlený malware, může si libovolně „číst“ příchozí zprávy (např. v Androidu to může dělat libovolná aplikace bez speciálních práv), nebo měnit ty odchozí (třeba upravovat formuláře těsně před odesláním).

Důležitou součástí mobilního bankovnictví jsou také hesla, tedy v našem rozvržení první faktor. Jako příklad je zde uváděn systém, využívající Raiffeisenbank:
- PIN uložený v mobilu slouží k lokálnímu „odemčení úložiště“ dlouhých klíčů, které jsou vytvářeny náhodně při aktivaci, neposílá se ani do banky.
- Při odšifrování lokálního klíče se do banky posílá požadavek na kontrolu, zda je správný. To probíhá přes HTTPS a navíc ani neposíláte pravý klíč, jen jeho derivát.
- Po několika neúspěšných přihlášeních vám banka účet zablokuje.
Pokud útočník zruší druhý ochranný faktor (ukradne vám telefon), musí prolomit onen PIN. Má několik možností - sociální inženýrství, odpozorování hesla (zajímavé video, např. o strojové analýze odrazu v brýlích a jiných možnostech - [link]), bruteforce (celkem vtipné, když vezmeme v úvahu max. délku 9 znaků, ale pouze 5 pokusů) a útok „dolováním hesla“ z paměti zařízení (prováděné třeba vykutáleným „opravářem“). Snahou aplikace je vždy to, aby se PIN v paměti vyskytoval co nejméně to jde. Napomáhá se tomu např. implementací šifrované klávesnice či speciálními moduly, které se starají o nemožnost přečtení ani právě otevřeného klíče.

Ani limit 2 min na odlášení aplikace, která je na pozadí (platí pro Mobilní eKonto) se podle autora článku nezdá býti dlouhá. Pádným argumentem je (ne)pravděpodobnost, že se útočník trefí do tohoto času a ve srovnání s uživatelovým pohodlím je to jistě cena přijatelná.
Pro aktivní operace jsou vyžadována hesla a při určitém časovém limitu je sezení ukončeno ať se nám to líbí, či ne.

V závěru je tedy celkem rozumné podotknout, že mobilní bankovnictví je v současné době zabezpečné dostatečně, podobně jako bankovnictví na desktopu.

Rubrika: Bankovní bezpečnost | Comments: 0 | Viewed: 1866x | Rate: 0/0

Dnešní závažné problémy mBank jsou snad u konce

5.4.2013 | Batou

Dnes, zhruba od 9 hodin, má mBank problémy se svými webovými aplikacemi, jak uvedl její mluvčí Matěj Kubec. Jedná se údajně o určitou technickou závadu v systému, více se mi nepodařilo zjistit. Ač v článku na novinkách autor píše, že je již vše v pořádku, z Facebookového profilu banky (kde o problémech informovala) je patrné, že někteří klienti měli stále problémy ještě před hodinou (mezi 15. a 16. h.).

Problémy byly s hlavním webem www.mbank.cz, ale i s cz.mbank.eu, který slouží jako brána k internetovému bankovnictví společnosti. Na již zmíněné Facebookové stránce jsou v zásadě pouze dva typy reakcí - lidí, kteří dnes něco nutně potřebovali vyřídit (za všechny vyberu: „To si děláte legraci???Pořad IB nejde,tak co tu blbě kecáte,že už je vše v pořádku!!!!“ a „NIC NEFUNGUJE!!!!!!!!!!!!!!!!!!“) a lidí, kteří mají již všechno zaplaceno („Jednou za rok to nefunguje a vy uz z toho delate tragedii... tak si bezte k jine bance,platte si tam vsechny ty absurdni poplatky a pak si stezujte...“).

Dlužno podotknout, že mBank neměla podle svých slov takovéto problémy za dobu její existence na českém trhu (5 let) ani jednou. Určité gesto je také to, že veškeré operace se dají provádět přes tzv. mLinku a takto provedené operace nebudou v době výpadků účtovány. Na druhou stranu se jedná o banku, která nemá bankomaty a na pobočce není možné si vybrat hotovost.

Trošku zvláštním přístupem mi přijde poskytování informací o nějakém problému pouze na Facebookové stránce ([link]), nikoliv na stránkách mbank.cz (kde je jako poslední aktualita „Transakční mLinka nyní v provozu 7 dní v týdnu“). Jako by byla povinnost mít Facebook.

Rubrika: Bankovní bezpečnost | Comments: 0 | Viewed: 2370x | Rate: 0/0

Obří útoky na americké banky končí třetí fázi

4.4.2013 | Batou

Všichni mluví o DDoS útocích. Neprobíhají samozřejmě jen u nás, např. již několik týdnů probíhají útoky na mnohé americké banky.
A nejedná se o žádné okrajové drobečky - Bank of America a Citibank jsou jistě známé u nás, ale i např. TD Bank patří do skupiny, která vlastní aktiva v hodnotě 219 miliard dolarů.
Konkrétně tato banka měla výpadky online a mobilního bankovnictví téměř půl dne (již starší záležitost, počátek března). Útoky se dotkly i mnoha dalších bank.

K útokům se hlásí hacktivistická skupina Izz ad-Din al-Qassam Cyber Fighters, která napadá weby už od letošního ledna. Na začátku března vyzvali na pastebin banky, aby se připravili na nadcházející útoky ([link]) . Jedná se již o tzv. třetí fázi útoků (která narozdíl od dvou předchozích měla i nebankovní cíle), obě předchozí fáze trvaly přes 6 týdnů.

Počátkem veškerých útoků je údajně protimuslimské video (či spíše několik), která nechal YouTube nějaký čas bez povšimnutí online.

Včera vyšel článek na bankinginfosecurity.com ([link]), který se snaží shrnovat nově nabité poznatky, získané z proběhlých útoků. Z článku vyplývá, že banky jsou mnohem více připraveny, lépe útokům odolávají, ačkoliv ty byly stále mocnější. Mluví se zde dokonce o největších ochranách proti DDoS v historii. Některé názory říkají, že důvodem útoků je právě větší vynakládání prostředků na bezpečnost. K útokům byl využíván botnet Brobot. Byl tak velký, že určité dny bylo napadeno i 6 bank.

Rubrika: Bankovní bezpečnost | Comments: 0 | Viewed: 2123x | Rate: 0/0

Webové stránky banky Unicredit hacknuty

12.3.2013 | .cCuMiNn.

Webové stránky banky Unicredit byly včera hacknuty a byl na nich proveden defacement. K útoku se přihlásila již poměrně známá tuzemská skupina vystupující pod názvem Czechurity.

Co se samotného zabezpečení webových aplikací této banky týká, mohu pouze souhlasit s tvrzením, že je skutečně na velmi mizerné úrovni, o čemž svědčí i má vlastní zkušenost:

Před nějakým časem jsem se také na některé z webů patřících Unicredit bance podíval a narazil na několik míst náchylných například na SQL injection. Zjistit se daly například i přístupová hesla jednotlivých poboček ve tvaru prostého textu. O místech zranitelných na XSS se nebudu raději ani zmiňovat.

Po té, co jsem tuto skutečnost oznámil bance prostřednictvím webového formuláře, si mě zaměstnanci v korespondenci chvíli přehazovali jako horký brambor, a nakonec mě odkázali na externí firmu AMI Praha a.s., která jím prý stránky vytvářela.

Té jsem tedy zaslal seznam nalezených zranitelností s popisem a čekal... Po velmi dlouhé době (nechci spekulovat jak dlouho to bylo, už si to nepamatuju) se skutečně nějaké opravy objevily. Některá místa však stále zůstala neošetřena (domnívám se, že je tomu tak dodnes) a při nápravě jiných zase vznikly chyby nové.

Co tedy k tomu nedávnému hacku říci? Asi snad raději nic...

Rubrika: Bankovní bezpečnost | Comments: 0 | Viewed: 2269x | Rate: 0/0

Pokračování DDOS útoků - tentokráte cílem české bankovní instituce

6.3.2013 | Liu

Tak to vypadá, že DDOS útoky nekončí pouze útoky na weby Seznamu, ale někdo si vzal na "paškál" české bankovní instituce.

Rubrika: Bankovní bezpečnost | Comments: 0 | Viewed: 2572x | Rate: 0/0

Americké banky uprostřed Blitzkrieg

14.12.2012 | Emkei

Americké banky jsou již několik hodin pod masivními útoky DDoS, a to v rámci ohlášené operace Blitzkrieg. Pod útokem se ocitly desítky amerických finančních institucí. Podobný útok v menším měřítku Amerika zažila již v říjnu a dle některých vyjádření jí další čekají v roce 2013. Útoky nemá na starosti pravděpodobně skupina Anonymous, ale jedinec s nickem vorVzakone, který nabádá ostatní, aby se k jeho aktivitě přidali.

Rubrika: Bankovní bezpečnost | Comments: 0 | Viewed: 2746x | Rate: 0/0

Muž zadržen policií ve chvíli, kdy připojil k bankomatu USB klávesnici a vykrádal z něj veškerou hotovost

5.12.2012 | .cCuMiNn.

Tento až komický příběh se stal v Brazílii, kde policie zadržela muže, který z bankomatu vyloupl bezpečnostní kameru připojenou přes USB a namísto ní zapojil svůj flash disk a klávesnici.

Vzhledem k tomu, že většina bankomatů jede na OS Windows, byla připojená zařízení operačním systémem detekována a jejich ovladače bez potíží automaticky doinstalovány. Útočníkovi, pak již nic nebránilo v restartu systému a nabootování stroje podle vlastních představ.

Muž následně z bankomatu vybral všechny 100$ bankovky a přistoupil k výběru 50$ bankovek. Banka ale mezitím bezpečnostní incident zaznamenala a vyslala na místo policejní hlídku, která muže zadržela po té, co již stihl z bankomatu vybrat 41.000$.

Zadržený muž byl během útoku telefonicky instruován někým s dobrou znalostí daného systému - patrně některým za zaměstnanců banky. Svého komplice ale zadržený neprozradil.

Rubrika: Bankovní bezpečnost | Comments: 0 | Viewed: 3116x | Rate: 0/0

Po Skypu se šíří Dorkbot malware lokalizovaný do 31 jazyků

20.11.2012 | .cCuMiNn.

Nová verze malwaru Dorkbot se snaží zapůsobit na uživatele jeho rodným jazykem, přičemž byl tento malware lokalizován do neuvěřitelných 31 jazyků. Ke zjištění, jakým jazykem se má ke konkrétnímu uživateli vyjadřovat, využívá API GetLocaleInfo.

Malware se šíří po infikování počítače rozesláním zpráv s odkazem na "novou profilovou fotografii" všem Skype kontaktům. Po kliknutí na odkaz se uživatel dostane na webovou stránku, která se pokusí exploitovat některou z bezpečnostních slabin.

Rubrika: Bankovní bezpečnost | Comments: 0 | Viewed: 2521x | Rate: 0/0

Čipová karta a dvoufaktorová autentizace vás již neochrání

15.11.2012 | .cCuMiNn.

Uživatelé, kteří používají pro přístup ke službám dvoufaktorovou autentizaci, jež kombinuje čipovou kartu a znalost hesla, se již nemohou cítit zcela bezpečně. Paul Rascagneres vyvinul a představil malware, který obsahuje ovladače pro USB a dokáže tak bez problémů přečíst data z připojeného zařízení. Tím může být například právě smardcard reader. Pro odchycení hesla je využito běžného keyloggeru. Nutno podotknout, že malware není určen pro konkrétní typ čipové karty, takže má docela široký záběr.

Rubrika: Bankovní bezpečnost | Comments: 0 | Viewed: 2509x | Rate: 0/0


Stránky: 1 2 3 4 5 6 7 8 9 10