Technikai rabló-pandúr on-line csalások gyakorlati példákkal

Méret: px

Mutatás kezdődik a ... oldaltól:

Download "Technikai rabló-pandúr on-line csalások gyakorlati példákkal"

Róbert Horváth
8 évvel ezelőtt
Látták:

1 IT ADVISORY Technikai rabló-pandúr on-line csalások gyakorlati példákkal Gaidosch Tamás szeptember 25.

2 Tartalom Trendek A probléma mértéke Példák Hogyan védekezzünk? 1

3 2

4 Résztvevők Szektorok 80% magánszektor 10% állami szektor 330 résztvevő Földrajzi eloszlás 78% Európa 8% Amerika Cégméret 47% 100 millió USD fölött Válaszok megoszlása Law Enf 4% Gov 6% Non profit 10% Business 80% 3

8% Amerika Cégméret 47% 100 millió USD fölött

5 A felmérés előtt... Már ismert volt % -os növekedése az új malware fenyegetéseknek 2006 és 2008 között (Symantec Corp Internet Security Threat Report 2008) 207% -os növekedése a számla elbirtoklási csalásoknak (facility takeover fraud) az Egyesült Királyságban Phishing támadások áldozatainak száma közel megháromszorozódott (287%) Get Safe Online felmérés (2008-ban, 2007-hez képest) Az összes támdás több mint feléhez nincs szükség elmélyült technikai tudásra A legtöbb támadás detektálható lett volna a létező rendszerek jobb felhasználásával A támadások egyre célzottabbak és kifinomultabbak 4

számla elbirtoklási csalásoknak (facility takeover fraud) az Egyesült Királyságban Phishing támadások áldozatainak száma közel megháromszorozódott

6 A legjelentősebb problémák A válaszadók közül... 79% nem gondolja, hogy a lenyomat alapú biztonsági szoftverek megfelelő védelmet nyújtanak 66% egyetért abban, hogy a munkanélküli IT-szakértők számának növekedése oda vezet, hogy egyre több technikailag felkészült ember csatlakozik a cyber-bűnözői gazdasági érdekszférákhoz 63% szerint a fertőzött honlapok képviselik azt támadási módot, amely a legvalószínűbben kompromittálják ügyfeleik online biztonságát 49% az ügyfeleiket ért támadások technikai kifinomultságának növekedéséről számolt be 45% az ügyfeleiket ért támadások számának növekedését tapasztalta 5

számának növekedése oda vezet, hogy egyre több technikailag felkészült ember csatlakozik a cyber-bűnözői gazdasági érdekszférákhoz 63% szerint a

7 Célkeresztben az ügyfelek Mely támadási módok milyen valószínűséggel eredményezik ügyfelei online biztonságának kompromittálódását? Támadás Százalék Fertőzött honlapok Fertőzött Phishing Közösségi site-ok Előugró figyelmeztetések és download ablakok 63% 48% 48% 43% 25% 6

Támadás Százalék Fertőzött honlapok Fertőzött email Phishing

8 Jellemző megjegyzések Fennáll a veszélye, hogy a támadások gyakorlatilag detektálhatatlanokká és rendkívül nehezen elháríthatóvá válnak. Megtámadtak már oly módon, hogy a fertőzés 10 hónapig passzív maradt és elkerülte a detektálást. Hány ilyen lehet most is a gépeinken? Nemrég olyan malware-t fedeztünk fel, amely specifikusan minket vett célba. Egyik legsúlyosabb incidensünk a CIO-t ért fókuszált támadás volt, amely a családtagjai közösségi honlapokra feltett post-jaira épült. Forrás: e-crime felmérés és KPMG ügyfelek 7

Hány ilyen lehet most is a gépeinken? Nemrég olyan malware-t fedeztünk fel, amely specifikusan minket vett célba.

9 Változó fenyegetettségi térkép malware legitim alkalmazások A malware-ek száma már meghaladja a legitim alkalmazásokét. Jelenleg a Symantec több mint 2,4 millió különböző malware-t ismer. 8

10 A detektálás elkerülése és a megtévesztés a fő mozgatórugója a növekedésnek Új malware-ek száma ben naponta ban naponta Forrás: Symantec 9

1000000 800000 600000 400000 2000-ben naponta 5 2008-ban

11 Statisztikák itthonról IT audit észrevételek terület szerinti megoszlása 8% 3% 1% 15% 17% 9% 47% IT menedzsment Fizikai biztonság Információbiztonság Rendszerfolytonosság Változáskezelés Rendszerfejlesztés Belső ellenőrzés 10

menedzsment Fizikai biztonság Információbiztonság

12 Fenyegetések: a meghatározó trend Szükséges tudás BackOrifice Bérelhető botnet keretrendszerek Támadás kifinomultsága DDoS Phishing rendszerek Csomag hamisítás Automatikus hacking keretrendszerek Automatikus szkennerek A Carnegie Mellon University tanulmánya alapján 11

rendszerek Csomag hamisítás Automatikus hacking keretrendszerek

13 12

14 ...És ami mögötte van Corporate blabla: a bizonyíték hiánya nem bizonyíték valaminek a hiányára. Klasszikus hack: privilege escalation 13

15 14

16 ...És ami mögötte van felhasználó autentikáció nem ugyanaz, mint tranzakció autentikáció 15

17 Két faktoros autentikáció mi ellen véd és mi ellen nem? Mr. Ügyfél ibank Autentikáció kérés: Mr. Ügyfél [token sorozatszám] Login: Mr. Ügyfél Jelszó: AAA szerver OK Számlavezető rendszer Normál bejelentkezés 16

Ügyfél [token sorozatszám] 112233 Login: Mr.

18 Két faktoros autentikáció mi ellen véd és mi ellen nem? Mr. Ügyfél OK összeg: 1,000,000 kedvezm: ABC Kft. ibank Autentikáció kérés: Mr. Ügyfél [token sorozatszám] összeg: 1,000,000 kedvezm: ABC Kft. aláírás: AAA szerver OK Számlavezető rendszer Normál tranzakció 17

19 Két faktoros autentikáció mi ellen véd és mi ellen nem? Mr. Ügyfél ibank Autentikáció kérés: Mr. Ügyfél [token sorozatszám] trójai prog. Login: Mr. Ügyfél Jelszó: AAA szerver Számlavezető rendszer Sikertelen támadás: jelszólopás még működik... 18

Ügyfél [token sorozatszám] 112233 trójai prog. Login: Mr.

20 Két faktoros autentikáció mi ellen véd és mi ellen nem? Mr. Ügyfél ibank Autentikáció kérés: Mr. Ügyfél [token sorozatszám] trójai prog. AAA szerver Nem OK Δt Login: Mr. Ügyfél Jelszó: Számlavezető rendszer Sikertelen támadás: jelszóvisszajátszás már nem működik! 19

Ügyfél [token sorozatszám] 112233 trójai prog.

21 Két faktoros autentikáció mi ellen véd és mi ellen nem? Mr. Ügyfél ibank Autentikáció kérés: Mr. Ügyfél [token sorozatszám] trójai prog. AAA szerver OK Login: Mr. Ügyfél Jelszó: Login: Mr. Ügyfél Jelszó: Számlavezető rendszer Sikeres támadás 1. fázis: MITM login relay 20

22 Két faktoros autentikáció mi ellen véd és mi ellen nem? Mr. Ügyfél OK ibank Autentikáció kérés: Mr. Ügyfél [token sorozatszám] trójai prog. összeg: 1,000,000 kedvezm: ABC Kft. OK összeg: 9,000,000 kedvezm: HACK Kft. OK AAA szerver összeg: 1,000,000 kedvezm: ABC Kft. aláírás: összeg: 9,000,000 kedvezm: HACK Kft. aláírás: Számlavezető rendszer Sikeres támadás 2. fázis: MITM tranzakció átírás 21

23 22

24 ... És ami mögötte van Trend: malware terjesztés megbízhatónak tartott wesite-ok kompromittálásával 23

25 IFRAME, te csodás Támadás: SRC= push_malware.html 24

26 25

27 ...És ami mögötte van A Captcha mechanizmus feltörése tényleg nagy szám... 26

28 ... Hacsak így nem... Mr. Ügyfél Regisztráció good-site.com trójai prog. captcha Controller 27

29 A háború útja A háború útja: elkerülni az erőset és lecsapni a gyengére (Szun-cu, i.e. V. század) 28

30 A háború első útja: kifinomult phishing támadások Spear phishing: egy adott szervezetre szabott phishing aktuális témákról szóló levelek, hihető tartalom felső vezetéstől (például HR vezető, IT igazgató) intranetes alkalmazásra mutató hiperlink Speciálisan phishingre fejlesztett trójai programok Például internet bankolást, e-kereskedelmi tranzakciókat felismerő és loggoló eszközök Phishing redirektorok 29

31 Phishing redirektor HTTP(S) DNS (név szerver) Normál működés 30

32 Phishing redirektor Trójai program DNS (név szerver) Redirektor aktiválva 31

33 Spear fishing A felhasználó 2 karórát vásárolt az ebay-en egy megbízható eladótól (Powerseller), PayPal fizetési móddal... 32

34 Hamis levél az ebay-től / 1 33

35 Hamis levél az ebay-től / 2 Hibátlan adatok!!! 34

36 Hamis levél az PayPal-tól / 1 A PayPal ezt kéri? 35

37 Hamis levél az PayPal-tól / 2 Helytelen információ - volt szállítási és biztosítási díj 36

38 Hamis levél az PayPal-tól / 3 37

39 Megdöbbentő részletek A csalók tisztában voltak a vásárlás minden részletével Vásárló és eladó felhasználónevei Vásárolt termék pontos neve, ára, ebay azonosítója és a rá mutató link!!! Vásárlás pontos ideje Vásárló címe Honnan tudhatták? Vásárló vagy eladó account feltörése? Vásárló vagy eladó ebay account feltörése? Belső információ az ebay-től?. 38

40 Az ebay üzenet gyanús részletei Zavaros történet 39

41 Hogyan védekezzünk? Rendszerek (technológia) Kontrollok (folyamatok) Biztonsági tudatosság (emberek) 40

42 Basel II kockázati kategóriák Veszteség kategória Fogalom meghatározás IT aspektusok Belső csalás Csalásra, a vagyon hűtlen kezelésére, a jogszabályok vagy a vállalati szabályok (kivéve a hátrányos megkülönböztetésre vonatkozó szabályokat) kijátszására irányuló szándékos tevékenységből adódó veszteségek, legalább egy belső fél közreműködésével. szándékos programmódosítás programmódosítási funkció jogosulatlan használata rendszerbeállítások szándékos megváltoztatása a hardverek szándékos manipulációja a rendszer és az alkalmazások adatainak szándékos megváltoztatása hackeléssel a szoftver nem megengedett módon, licenc nélküli használata vagy másolása 41

43 Basel II kockázati kategóriák Veszteség kategória Fogalom meghatározás IT aspektusok Külső csalás Csalásra, a vagyon hűtlen kezelésére vagy a jogszabályok kijátszására irányuló, harmadik fél által elkövetett szándékos tevékenységből adódó veszteségek. A rendszer és az alkalmazások adatainak szándékos megváltoztatása hackeléssel Bizalmas iratok (papír vagy elektronikus) külső, illetéktelen személy általi sikeres megtekintése Kiemelt hozzáférések külső megkerülése Hallgatózás és adatelfogás a kommunikációs hálózaton jelszó kompromittálódás vírusok 42

44 Security blabla - termékek Saját fejlesztésű titkos algoritmus A biztonságot a 128 bites kódolás garantálja Teljesen biztonságos Teljeskörű védelem Feltörhetetlen Gazdag funkcionalitású biztonsági megoldás Komplex határvédelem Másolás ellen védett Katonai szintű (Military grade) Szoftverünk SOX / ISO17799 / CC megfelelő Kétfaktoros autentikáció (jelszó és számlaszám) 43

45 Security blabla - szolgáltatások Certified Hacker Teljesen megbízható Egyedülálló Tapasztalt biztonsági szakértő Megbízásaink annyira szenzitívek, hogy nem referenciázhatjuk Full scope penetration test Módszertanunk garantálja a biztonságos működést 44

46 Return on Security Investment (ROSI) 45

47 46

48 Összefoglaló Hangsúlyeltolódás a végpont biztonság felé Elengedhetetlen az információbiztonság strukturált megközelítése Vegyük észre a blablát 47

49 Az előadó elérhetősége Gaidosch Tamás KPMG Tanácsadó Kft The information contained herein is of a general nature and is not intended to address the circumstances of any particular individual or entity. Although we endeavour to provide accurate and timely information, there can be no guarantee that such information is accurate as of the date it is received or that it will continue to be accurate in the future. No one should act on such information without appropriate professional advice after a thorough examination of the particular situation.

Hasonló dokumentumok

Outsourcing és Cloud Biztonsági kérdések

IT ADVISORY Outsourcing és Cloud Biztonsági kérdések Gaidosch Tamás 2009. november 25. Tartalom Már megint hype: de mit is akarunk megoldani? Mi micsoda? Szempontok Biztonság, te drága Kockázatok 1 Hype