Názory k článku
Za první kvartál banky řešily 23 tisíc kyberútoků na majetek svých klientů
-
nemám tvrdá čísla, ale velká část z toho budou ukradené platební karty, tam se to zarazí na 3D secure, kdy banka dnes už sama vyhodnocuje, kdy si extra potvrzení vyžádá a kdy ne. Buď se útočníkovi podaří přihlásit do bankovnictví nebo se mu podaří poslat či pozměnit platební příkaz.
Další velká kapitola jsou útoky na mobilní aplikace, ač technologie dnes umožňují dost, tak kvůli kompatibilitě s co největším množstvím mobilních telefonů aplikace nevyžaduje všechny bezpečnostní prvky, pokud je telefon napaden, tak cizí aplikace může získat token pro komunikaci s bankou. Tady se to ale opět zarazí na vynuceném potvrzení transakce. Banka to může detekovat podle platebních údajů, které jsou podezřelé nebo podle chybějící posloupnosti kroků (api volání), které produkuje aplikace a útočník již nikoliv. Zároveň se tady některé aplikace snaží podepisovat všechna volání vlastním certifikátem, aby nebylo tak snadné provést reply attack nebo ukrást token.
Zvedá se počet útoků typu, že ti někdo zavolá a chce poslat z peníze, příběhy jsou různé, ale ukazuje se, že ty věrohodné mohou velmi dobře fungovat. Od stolu se nám to zdá absurdní, ale pokud ti volá číslo, které se nějak představí, mluví spisovně, zná všechny potřebné reálie, dokážeme tomu podlehnout. V novinách se mluví o vydávání se třeba za policii nebo bankéře, ale objevují se i podvody typu, že se vydává za nějaký eshop a tvrdí, že se stal problém při platbě ať peníze pošleš znovu, že ty zaplacené se sami vrátí. Volají třeba pár minut po vytvoření objednávky, znají informace o objednávce, představí se jako ten eshop. Je těžké takovému útoku nepodlehnout. Údaje o objednávkách asi unikají buď přes reklamní systém nebo třeba napadeným redakčním systémem eshopu.
Čtvrtá varianta je překrytí obrazovky jinou informací, kdy si útočník, pokud již má plnou kontrolu nad telefonem může přepsat číslo účtu a částku.
Česká spořitelna generuje velké množství těhle čísel, protože prostě dohání technický dluh a jsou velcí, takže jsou cílem hodně útočníků. Pak také ČSOB je dobrý generátor podobných incidentů, jejich SSO tokeny (taková obdaba oauth2, kdy je možné vygenerovat odkaz, který tě rovnou přihlásí) jsou v bezpečnostní komunikatě pověstné, ale pššt, ať neprozadím něco, co jsem neměl :).
-
nikoliv, do počtu útoků, o kterých mluví zprávička se započítávají pouze ty, kde útočník se úspěšně jménem klienta dostal do rozhraní banky (tj. ukradené přístupové údaje, ukradené údaje ke kartě, kompromitace tokenů z mobilní aplikace, screensharing atd.) a zároveň nedošlo k nevratné škodě, tj. banka buď zablokované peníze vrátila nebo probíhající útok odhalila a zabránila mu (ať už znemožněním operace nebo požadavkem na další způsob ověření).
-
Dost dělají případy, kdy útočník získá přístup k elektronickému/mobilnímu bankovnictví, tedy k více účtům. Dneska i neznalí uživatelé mají běžný účet + spořicí účet + kreditku (úvěrový účet).
Banka toho je schopná odhalit celkem dost, někdy i případy, kdy útočník vymámí z uživatele odkliknutí přihlášení k účtu (třeba proto, že se do banky hlásí z Ukrajiny, ale mobil je v Česku).
A pak tu máme skupinu podvodů s podhozenými platebními QR-kódy, kdy se na to sice přijde poměrně rychle, ale zároveň ne dost rychle, aby neproběhlo několik stovek transakcí... -
Těch reálných 23k unikátních(účtů) niklov útoků, zni totiž drsně. Na to že by to byli "volači" a jsem skeptický jestli porušení nějaké úrovně bezpečnosti na straně obyč usera bych kvalifikoval vždy jako útok.
Nepřijde vám že třeba to ...úspěšně jménem klienta dostal do rozhraní banky... a .... probíhající útok odhalila a zabránila mu... jde docela proti sobě?
Zní to jako slovíčkaření ale dost by mě zajímalo jestli když je detekce malware na mobilu s aplikací banky dělá to automaticky "incident" , jestli to nevychází z nějaké databáze pwned bez ohledu na aktuálnost, případně brute-force bota, který prostě zkouší generovat čísla karet a PINy., případně nějaké dementní mobilní hry která uloží kartu a pak nakupuje sama.
