On-line podvody představují riziko pro banky a finanční instituce na celém světě. Nejen, že se v době krize počty útoků zvyšují, ale internetoví podvodníci současně stále vylepšují metody svých útoků, využívají nejmodernější technologie a nezastaví se ani před sociálním inženýrstvím. To vše samozřejmě s jediným cílem – zachytit do svých sítí co možná nejvíc zákazníků využívajících internetové či mobilní bankovnictví. Těm následně buď zcizí přístupové údaje pro jejich pozdější zneužití, nebo rovnou využijí aktuální připojení uživatele k bance a bez jeho vědomí provedou podvodnou operaci.

Jako v jakémkoliv jiném boji i zde platí zásada, že pokud se chci útočníkovi ubránit, musím nejprve velmi dobře poznat metody a způsoby jeho boje. Teprve na základě těchto informací mohu navrhnout a praktikovat efektivní obranu. Pojďme se tedy v tomto duchu nejdříve podívat na dva nejběžnější typy útoků, které jsou na banky a jejich klienty denně z internetového podsvětí směřovány. Mimochodem, data, která mám k dispozici, svědčí o konstantním nárůstu těchto útoků na banky v České republice, včetně nárůstu počtu zcizených údajů, a tedy kompromitovaných bankovních účtů. ČR už se dokonce dostala v celosvětovém měřítku do „top 10“ v celkovém počtu útoků, které byly nebo jsou vedeny na banky a jiné instituce v daném státě.

Typy útoků

Krádež přihlašovacích údajů uživatele do internetového bankovnictví, tedy krádež jeho on-line identity s cílem pozdějšího zneužití, je relativně jednoduchá a lze s úspěchem využít buď metodu phishingu nebo metodu distribuce škodlivého kódu (nejčastěji trojského koně). Stále častější je také automatizované generování podvodných transakcí na pozadí aktuálního, již autentizovaného a autorizovaného připojení, o kterých nemá uživatel ani ponětí.

Phishing je většinou založen na falešných e-mailech tvářících se jako důležité zprávy z banky a obsahující odkaz na falešnou přihlašovací stránku do internetového bankovnictví. Jakmile uživatel na odkaz klikne, dostane se na tuto falešnou stránku (kterou má útočník pod kontrolou) a v dobré víře tam vepíše své přístupové údaje. Ty si útočník uloží pro pozdější zneužití a současně s nimi přihlásí uživatele do původní bankovní aplikace, aby uživatel nic nepoznal. Phishing je velmi stará a nejjednodušší metoda, jak rychle přijít k velkému množství přihlašovacích údajů. I přes určitou informovanost uživatelů je tato metoda stále úspěšně využívána a počty phishingových útoků se rozhodně nesnižují. Současné bezpečnostní mechanismy bank v České republice již však, alespoň ve své většině, nestojí jen na uživatelském jméně a hesle, a často tak vyžadují dvoufaktorovou autentizaci (např. jednorázové heslo přes SMS), čímž dokáží své zákazníky před „obyčejným“ phishingem celkem slušně bránit.

Metoda pomocí škodlivého kódu je mírně složitější a funguje zhruba následovně. V první fázi musí dojít k „nakažení“ počítače uživatele trojským koněm či jiným škodlivým kódem. To je pro uživatele naprosto neviditelné a může se mu to stát kdykoliv při brouzdání po internetu či při pročítání elektronické pošty a otevírání přiložených souborů, byť se tváří naprosto nevinně. Nikdo nemá jistotu, že stránka nebo příloha e-mailu, kterou si právě prohlíží, není zdrojem nákazy. Oproti všeobecnému přesvědčení se však nemusí zrovna jednat o stránky či e-maily s erotickým obsahem, ale často se jedná o on-line videa, zpravodajské či herní servery, a dokonce i cílené „pracovní“ e-maily.

Po nakažení počítače škodlivým kódem nastává fáze vyčkávání. V tuto chvíli je již počítač uživatele nakažen, nicméně škodlivý kód vyčkává na uživatelovo připojení k bance. Jakmile uživatel spustí svůj webový prohlížeč a přejde na stránky své banky, škodlivý kód se aktivuje. V tu chvíli nastává již fáze vlastní krádeže přístupových údajů, nebo přímo provedení podvodné transakce. V případě zcizení přístupových údajů a certifikátů jsou tato data automaticky zasílána na server ovládaný útočníky. Ti je pak buď sami využívají, nebo, a to mnohem častěji, je prodávají v internetovém podsvětí těm, kteří se specializují na vlastní fraud. V případě automatizovaných podvodných transakcí systém žádné přístupové údaje nikam neodesílá – transakce jsou provedeny okamžitě po přihlášení uživatele na pozadí jeho aktuálního připojení, který samozřejmě nic netuší. Tento typ útoků se nazývá main-in-the-browser (MITB), případně man-in-the-middle (MITM), a to podle toho, kde daný škodlivý kód běží – buď přímo v prohlížeči uživatele (MITB), nebo na jiném počítači, přes který je komunikace do banky přesměrována (MITM).

Způsobů a technik, které dnes útočníci používají, je samozřejmě mnohem více. Jedná se například o sociální inženýrství, pomocí něhož útočníci získávají další cenné informace o uživatelích, které pak využívají při přípravě výše popsaných útoků. Nicméně tyto typy útoků jsou v našem regionu zatím docela vzácné, a proto se jim zde nebudu detailně věnovat.

Jak se bránit?

Jak jsme již uvedli v úvodu článku, způsob obrany musí odpovídat metodě útoku. Jinak je možné se bránit proti zneužití zcizených přihlašovacích údajů, jinak v případě MITM a MITB útoků. Protože osvěta uživatelů internetového bankovnictví nepřináší i přes vynaložené náklady výrazné snížení počtu obětí phishingových útoků, musí se o ochranu svých klientů v mnohem větší míře začít starat sama banka. Drtivá většina obětí krádeže identity totiž vůbec netuší, že byly jejich přihlašovací údaje včetně certifikátů zcizeny, a že tedy mohou být kdykoliv zneužity. Antivirové programy napadení počítače moderními trojskými koni totiž vůbec neodhalí. V případě phishingu je tedy nutné se zaměřit přímo na proces autentizace uživatelů.

Prvním krokem k ochraně proti phishingu může být tzv. site-to-user autentizace. V tomto případě se sama přihlašovací stránka do internetového bankovnictví autentizuje uživateli. Funguje to tak, že po zadání uživatelského jména systém zjistí, o jakého klienta se jedná, a na další stránce s požadavkem na zadání hesla mu prezentuje klientem dříve vybraný obrázek či text. Klient si tak může být jist, že své heslo nezadává do falešné phishingové stránky. Dalším krokem je zavedení silnější autentizace uživatelů, a to buď již zmíněnými digitálními certifikáty (avšak uloženými mimo internetový prohlížeč), jednorázově generovanými a použitelnými hesly nebo adaptivní autentizací. Protože je však správa životního cyklu digitálních certifikátů či generátorů jednorázových hesel pro velké množství klientů velmi nákladná, banky začínají víc a víc využívat právě metody adaptivní autentizace. Navíc, jak jsme již zmínili, ani digitální certifikát útočníka nezastaví.

Adaptivní autentizace je založena na risk-based multifaktorové autentizaci. To znamená, že způsob a síla ověření uživatele se určuje až v momentě připojení uživatele k elektronickému bankovnictví. Pokud se uživatel přihlašuje standardně (např. ze svého počítače, z běžné IP adresy, přes svého ISP, v běžnou denní dobu), systém vyhodnotí přihlášení jako minimálně rizikové a uživateli bude k přístupu na účet stačit jednofaktorová autentizace (např. jméno a heslo). Pokud však systém vyhodnotí v připojení uživatele nějakou anomálii, vyhodnotí připojení jako rizikovější a požádá uživatele o dodatečnou autentizaci (např. zaslaným SMS kódem, položením několika osobních otázek, automatizovaným zavoláním na jeho mobilní telefon). V případě extrémních anomálií může systém připojení úplně odmítnout a věc dále řešit například pomocí call centra. I přes to, že adaptivní autentizace je ještě mnohými lidmi považována za nevyspělou a spíše experimentální metodu ochrany, opak je pravda. Již dnes je pomocí adaptivní autentizace velmi úspěšně chráněno několik set milionů klientů bank a dalších institucí po celém světě.

Co se útoků MITB a MITM týče, protože úplně obcházejí proces autentizace (neboť využívají již autentizované spojení), nelze se proti nim chránit pomocí digitálních certifikátů, jednorázových hesel, ani pomocí jakékoliv jiné, byť sebesilnější autentizace. Cesta tak vede pouze jedním směrem, a to přes monitorování a analýzu vlastních transakcí. Stejně jako u výše zmíněné adaptivní autentizace je také u monitorování transakcí sledována rizikovost dané transakce (většinou ve spojení s rizikovostí aktuálního připojení) a na základě vyhodnocení je nebo není uživatel požádán o další úroveň ověření. Tímto způsobem je například běžná měsíční platba za nájem vyhodnocena jako bezriziková (děje se pravidelně, nemění se parametry) a uživateli bude stačit přihlášení pomocí jména a hesla, ale platba za nové auto (výjimečná platba, vysoká částka, nový účet příjemce) bude vyhodnocena jako riziková a systém bude po uživateli vyžadovat dodatečnou autentizaci, ideálně jiným než webovým kanálem (SMS, telefon, e-mail).

Způsoby ochrany elektronického bankovnictví

Ochrana internetového a mobilního bankovnictví proti moderním útočníkům není jednoduchá. Vyžaduje nejen důkladnou znalost jednotlivých forem útoků, ale také schopnost na daný útok vhodně reagovat, ochránit své klienty před jeho dopady a současně útok v co nejkratším čase eliminovat. Ochranu klientů před zneužitím jejich identity dokážou ve velké míře zajistit výše popsané technologie. Nicméně bez dokonalého know-how v oblasti internetového zločinu a bez schopnosti rychlé reakce kdekoliv na světě (útoky jsou většinou vedeny z úplně jiné země, než je cílová banka) není ochrana klientů a jejich účtů kompletní. Technologie je tedy vhodné doplnit právě o specializované služby (monitoring internetového podsvětí, rozpoznání připravovaného útoku, příprava banky na útok, eliminace útoku atd.), na které ale nemá v podstatě žádná banka dost kvalifikovaných lidí a většinou ani finančních zdrojů.

Dobrou zprávou pro všechny je, že nejen technologie, ale i tyto specializované „anti e-fraud“ služby se dnes již dají plně outsourcovat. Špatnou zprávou naopak je, že stejně tak se dnes již dají plně outsourcovat služby útočníků. Kdokoliv, kdo umí alespoň trochu anglicky nebo rusky, si může přes internet objednat útok na vybranou banku a za pár set dolarů získat all-inclusive služby – od výroby trojského koně na vybranou banku až po výběr ukořistěných peněz a jejich zaslání na vaši adresu. A to mě jako bezpečnostního konzultanta, ale i jako obyčejného klienta banky dost děsí.

David Matějů
Autor působí jako senior systems engineer ve společnosti RSA, bezpečnostní divizi EMC.