want to advertise here $100 / views

Mar 12, 2013

Hacking E-Banking

E-banking adalah target yang menarik bagi penyerang. Cara termudah mencuri uang dalam e-banking adalah untuk menyerang titik terlemah - klien.



Artikel ini menjelaskan, secara singkat, bagaimana menyerang otentikasi klien dan otorisasi transaksi - dua lapisan keamanan mendasar dalam e-banking. Hal ini juga menyajikan penanggulangan dan membahas efektivitas mereka. Akhirnya, membahas bagaimana risiko mencuri uang klien dapat dikurangi.

Mari kita asumsikan, bahwa penyerang mengetahui username klien dan password untuk e-banking sistem mereka. Jika tidak ada rahasia tambahan yang digunakan untuk melakukan transaksi, penyerang bisa mengambil kendali penuh atas account klien. Untuk meminimalkan risiko mencuri uang klien, dua lapisan keamanan yang digunakan. Pertama, klien harus mengotentikasi. Jika hal itu dilakukan dengan sukses, klien hanya dapat melihat account. Ketika klien ingin melakukan transaksi, ia perlu menyampaikan rahasia lain untuk mengotorisasi transaksi - password otorisasi.

Penyerang ingin mendapatkan pengembalian yang tinggi atas investasi mereka. Dia perlu sesuatu yang terukur untuk mencapai tujuan ini. Phishing dan malware tampaknya menjadi pilihan yang baik untuk kedua otentikasi klien dan otorisasi transaksi.

Phishing dapat otomatis ketika dikirim melalui email. Beberapa orang tidak menyadari risiko dan jumlah korban sebanding dengan jumlah usaha.

Kode berbahaya dapat dimasukkan dalam permainan yang menarik tersedia secara gratis. Orang-orang men-download dan menginstal permainan bersama dengan malware. Permainan tampak baik-baik saja dan orang-orang tidak menyadari risiko. Mereka terhubung kemudian e-banking sistem mereka dan ini adalah apa penyerang yang menunggu.

Ini hanya contoh, tetapi mereka menunjukkan bagaimana klien e-banking yang khas, yang tidak menyadari risiko, dapat diserang.

Orang mungkin mengatakan bahwa ada mekanisme deteksi malware dan phishing yang akan menghentikan penyerang. Masalahnya adalah bahwa mereka mendeteksi serangan dikenal (blacklist untuk phishing dan malware tanda tangan untuk) dan mencoba untuk mendeteksi serangan yang tidak diketahui (pendekatan heuristik). Itu sebabnya tidak ada jaminan untuk mendeteksi serangan. Risiko menjadi korban berkurang, namun.

a. Klien otentikasi

Ketika klien ingin mendapatkan akses ke sistem e-banking, ia harus terlebih dahulu mengotentikasi. Dia menghubungkan ke bank melalui SSL / TLS (HTTPS digunakan sebagai pengganti HTTP) dan mendapat sertifikat digital. Browser tidak menampilkan peringatan, ketika sertifikat digital ditandatangani oleh salah satu dari Otoritas Sertifikat dipercaya (CA). Klien biasanya memasuki username dan password untuk masuk ke e-banking system. Sebelum itu terjadi, klien harus memeriksa apakah sertifikat milik bank yang ingin berkomunikasi dengan.

Mari kita menganalisis bagaimana phishing dan malware dapat digunakan untuk mencuri kredensial klien.

a.1 Phishing

Tidak semua orang mengerti bagaimana sertifikat bekerja. Kemudian, mungkin cukup untuk mengirim klien link ke domain tidak dilindungi oleh SSL / TLS yang terlihat mirip dengan yang sah. Beberapa klien tidak akan melihat perbedaan. Jika mereka mengklik link tersebut, penyerang akan dapat mengumpulkan identitasnya.

Mari kita berasumsi bahwa klien selalu memeriksa apakah SSL / TLS digunakan ketika berkomunikasi dengan bank. Penyerang mungkin telah menerima sertifikat digital ditandatangani oleh salah satu dari CA terpercaya untuk domain, yang terlihat mirip dengan yang sah. Maka klien dapat melihat bahwa SSL / TLS digunakan ketika ia menghubungkan ke bank dan browser tidak menampilkan peringatan. Ketika klien tidak memeriksa siapa pemilik sertifikat, ia akan mengungkapkan mandat untuk penyerang.

Masked sandi kadang-kadang digunakan ketika klien otentikasi. Klien diminta untuk memasukkan karakter yang dipilih dari password. Dengan demikian, penyerang membutuhkan upaya lebih untuk mendapatkan password keseluruhan, tetapi tidak harus menjadi masalah baginya. Penyerang dapat meminta klien untuk memasukkan password keseluruhan. Beberapa orang mungkin akan melakukan apa yang diinginkan penyerang - dari sudut pandang mereka sesuatu yang harus telah berubah baru-baru.

Bank juga bisa berbagi gambar dengan klien. Ketika klien akan dikonfirmasi, ia bisa melihat gambar ini. Kemudian klien tahu bahwa dia berkomunikasi dengan bank - penyerang tidak tahu gambar. Dengan cara ini, upaya phishing yang sukses dapat dideteksi selama klien selalu memverifikasi bahwa gambar itu akan muncul, ketika ia menjadi dikonfirmasi. Bila gambar tidak muncul, klien tahu bahwa ada sesuatu yang salah. Dia kemudian harus terhubung ke sistem e-banking yang sah segera dan mengubah password.

a,2 Malware

Ini diasumsikan dalam bagian ini bahwa mesin klien mendapat terinfeksi.

Itu tidak membantu ketika klien tahu bagaimana sertifikat bekerja. Semuanya baik-baik saja dari titik pandang klien - sertifikat bank secara digital ditandatangani oleh salah satu dari CA terpercaya dan klien memeriksa bahwa itu milik bank yang ingin berkomunikasi dengan. Tapi malware mampu belajar password ketika sedang dimasukkan pada website.
Gambar dibagi antara bank dan klien juga tidak membantu. Klien log in dan gambar muncul. Klien tidak menyadari bahwa malware belajar password ketika ia otentikasi.

Password bertopeng juga tidak masalah bagi malware - diam-diam dapat menganalisis selanjutnya log-dalam upaya untuk mempelajari password keseluruhan.

Keyboard di layar kadang-kadang digunakan untuk mencegah keystroke logging. Tapi itu tidak mencegah bentuk malware belajar password klien - malware yang mampu menangkap screenshot dengan posisi mouse.

b. Transaksi otorisasi

Mari kita menganalisis bagaimana phishing dan malware dapat digunakan untuk mencuri password otorisasi.

b.1 Phishing

Mari kita berasumsi bahwa klien memiliki daftar dicetak satu kali password (OTPs). Dia diminta untuk memasukkan password dari daftar untuk mengotorisasi transaksi. Ketika password telah digunakan, tidak ada gunanya bagi penyerang. Itulah mengapa lebih baik daripada password statis, tetapi tidak menghentikan penyerang. Para OTPs tidak berhubungan dengan rincian transaksi. Itulah sebabnya penyerang dapat menggunakan teknik phishing untuk mendapatkan OTPs beberapa dan melakukan transaksi sewenang-wenang. Ketika phishing digunakan, klien mungkin diberitahu bahwa bank memperkenalkan mekanisme keamanan baru dan klien diperlukan untuk membuktikan identitasnya - ia diminta untuk memasukkan, misalnya, tiga OTPs. Beberapa orang mungkin akan melakukan apa yang diinginkan penyerang - dari sudut pandang mereka bank meningkatkan keamanan.

Token juga dapat digunakan untuk menghasilkan OTPs. Ini bisa memiliki jam disinkronkan dengan server otorisasi dan berbagi rahasia dengan server. Token digunakan untuk membuat password otorisasi berlaku untuk waktu tertentu, misalnya, 60 detik. Ini lebih baik daripada daftar satu kali password karena ketika penyerang mendapatkan password ini, ia dapat menggunakannya hanya dalam waktu singkat. Selain itu, penyerang tidak dapat melakukan beberapa transaksi jika hanya ada satu transaksi diperbolehkan dalam rentang waktu. Tapi masalahnya masih OTP tidak berhubungan dengan rincian transaksi - phishing adalah mungkin.

b,2 Malware

Ini diasumsikan dalam bagian ini bahwa mesin klien mendapat terinfeksi.

Klien ingin melakukan transaksi. Dia memasuki rincian transaksi dan diminta untuk memberikan password otorisasi. Mari kita berasumsi bahwa password tidak berhubungan dengan rincian transaksi (misalnya, OTP yang dihasilkan oleh token). Klien memasuki password dan kewenangan transaksi. Namun sebelum dikirim ke bank, penyerang mengubah data, misalnya, rekening tujuan. Ini adalah serangan man-in-the-browser (MITB).

Mari kita asumsikan, bahwa klien memasuki rincian transaksi dan diminta untuk memberikan password otorisasi yang terkait dengan transaksi. Password otorisasi dikirim oleh bank ke mesin klien, bersama dengan rincian transaksi. Bila hal ini terjadi, maka serangan MITB masih dapat digunakan untuk mengubah rekening tujuan. Penyerang tahu apa transaksi yang diinginkan klien untuk melakukan dan menampilkan rincian transaksi diharapkan oleh klien bukannya yang diterima dari bank. Dari titik pandang klien semuanya baik - dia kewenangan transaksi.

Mari kita bahas hal ini, ketika mesin klien yang digunakan untuk mengakses sistem e-banking dan perangkat mobile digunakan untuk verifikasi transaksi (SMS dikirim ke ponsel klien dengan rincian transaksi dan password otorisasi). Sekarang klien dapat memverifikasi transaksi bahkan jika mesinnya terganggu. Ia bekerja baik asalkan penyerang tidak menginfeksi telepon klien. Mari kita berasumsi, bahwa klien log in ke rekening bank. Kemudian malware dapat menampilkan pijat bahwa bank memperkenalkan mekanisme keamanan baru - klien harus men-download sertifikat ke telepon genggamnya. Semuanya tampak baik untuk klien. Dia diminta untuk memasukkan nomor telepon. Klien mendapat pesan SMS dengan link ke sertifikat (ini adalah malware sebenarnya). Hal-download dan diinstal oleh klien. Sekarang komputer klien dan mobile yang dikendalikan oleh penyerang. Klien ingin mentransfer uang. Dia memasuki rincian transaksi dan serangan MITB perubahan rekening tujuan. Password otorisasi dikirim ke ponsel klien dengan rincian transaksi. SMS membawa rekening tujuan penyerang, tetapi penyerang dapat mengubahnya, karena ia mengontrol ponsel dan tahu apa transaksi yang diinginkan klien untuk mengotorisasi .. Dari sudut pandang klien, semuanya baik-baik saja. Klien memberikan wewenang lagi transaksi.

Klien juga dapat menggunakan aplikasi mobile modern untuk mendapatkan akses ke e-banking dan melakukan verifikasi transaksi. Kemudian sudah cukup untuk membahayakan ponsel.

c. Kesimpulan

Dua lapisan keamanan diperkenalkan untuk mengurangi risiko mencuri uang klien - klien otentikasi dan otorisasi transaksi. Ketika penyerang mendapat kepercayaan klien, ia membutuhkan rahasia lain untuk mencuri uang klien - password otorisasi.

Password Otorisasi harus berhubungan dengan rincian transaksi. Bila hal ini terjadi, penyerang tidak dapat melakukan transaksi sewenang-wenang jika ia mendapat password otorisasi. Kemudian phishing tidak berguna bagi penyerang. Masalahnya masih malware, ketika mesin klien digunakan untuk verifikasi transaksi, masih dikompromikan. Pada pandangan pertama, smartphone modern tampaknya menjadi pilihan yang baik untuk verifikasi transaksi - mereka di mana-mana dan tidak ada perangkat tambahan yang diperlukan untuk tujuan ini. Tapi mereka adalah perangkat multifungsi dan memiliki masalah keamanan yang sama seperti komputer pribadi. Itulah mengapa hal itu diusulkan untuk menggunakan perangkat khusus untuk verifikasi transaksi.

Sebuah perangkat yang didedikasikan bisa berbagi rahasia dengan bank dan memerlukan klien untuk memasukkan rincian transaksi. Kemudian menghasilkan password otorisasi. Ini adalah satu-satunya tindakan perangkat didedikasikan tidak - konektivitas jaringan, misalnya tidak diperlukan. Dengan demikian, keamanan ditingkatkan sebagai konsekuensi dari pengurangan kompleksitas. Akhirnya, klien memasuki password pada website untuk mengotorisasi transaksi. Hal ini memungkinkan bank untuk mendeteksi serangan MITB asalkan perangkat khusus tidak terganggu. Ada masalah kegunaan, namun. Klien harus memasukkan rincian transaksi dua kali (website dan perangkat khusus).

Solusinya mungkin perangkat khusus dengan kamera built-in yang digunakan untuk mengambil gambar dari Quick Response (QR) kode yang ditampilkan oleh bank. Kode ini mencakup rincian transaksi dienkripsi dikirim oleh klien dan password otorisasi terkait dengan transaksi ini. Kunci enkripsi dibagi oleh bank dan perangkat khusus. Itulah mengapa klien dapat memverifikasi rincian transaksi tanpa memasukkan mereka pada perangkat khusus. Selain itu, ia dapat mengekstrak password otorisasi yang dimasukkan pada website untuk mengotorisasi transaksi.

Artikel Terkait

0komentar:

Post a Comment