Peníze!
COMMUNICATION WEDNESDAY – 4. listopadu 2015 Osobní bezpečnost na internetu
Karel Miko, DCIT, a.s.
[email protected]
O čem bude příspěvek? • o penězích • o penězích v online světě • o krádežích peněz • o krádežích peněz v online světě • o krádežích a „praní“ peněz v online světě
2
On-line banking fraudy / 1 Pravděpodobně první co nás napadne, kde bychom mohli přijít o peníze • Internet banking, mobile banking, tele-banking • Útoky nejčastěji směřují na klienty • Škála útoků poměrně široká • • • • •
Phishing (sociální inženýrství) Credential stealing Man-in-the-browser & co. (MITB, MITM, MITMo, BITB) Cross-channel útoky Útoky na mobilní platformy (viz předchozí prezentace)
• Různé autentizační metody činí útoky různě náročné • Jméno heslo • SMS OTP, SW OTP, SW PKI (či jiná kryptografie) • HW: OTP, čipová karta (dříve SIM toolkit, „kalkulátory“) 3
On-line banking fraudy / 2 Bankovní malware • ZeuS – „legenda“ • Následovníci: SpyEye Citadel Dridex Hesperbot aj. • Velmi sofistikovaný, často velmi obtížně odhalitelný, z technického hlediska „mistrovský kousek“, spojený s organizovaným zločinem, lze „koupit“ jako SaaS • S odhalením nové mutace dobrého bankovního malware má problém i odborník, laik – bez šance • Dovede pokořit i velmi sofistikované autentizační a autorizační metody (jako např. čipová karta) • Obvykle to začíná jedním špatným klikem • Malware není k útoku nezbytně nutný (phishing, MITM) 4
On-line banking fraudy / 3 Zranitelnost autentizačních metod: • SMS OTP – phishing, mobile malware • HW OTP – phishing, MITB / MITM • SW „cokoli“ – MITB / malware (v počitači či mobilu) • Čipová karta – MITB, speciální trojan/malware Oběti • Běžný uživatel (často náhodná oběť) • VIP uživatel (spear phishing + navazující kroky) • Firmy (externí útočník + malware) • Firmy (insider – spíše ve velkých firmách) 5
Fraudy s platebními kartami / 1 Šance, že přijdete o peníze zneužitím platební karty je o řád vyšší než útokem přes internetové bankovnictví • Počet fraudů 1 : 20 (IB : Karta) • Objem fraudu 1 : 15 (IB : Karta) • Data z UK-2014, v ČR? Karetní fraudy celosvětově: • 2014: 16 mld.$, 2010: 7 mld.$, 2005: 4 mld.$ • Zdroj: nilsonreport.com • Procento z objemu transakcí je dlouhodobě < 0.1% • Organizovaný zločin, je skutečně organizovaný 6
Fraudy s platebními kartami / 2 Typové rozložení (ECB-2014) • 66% CNP (card not present) • 20% POS (terminál u obchodníka) • 14% ATM (bankomat) Fraudy CNP • Spadají sem veškeré on-line platby • Rostou a porostou Fraudy ATM / POS • Nástup čipových karet (EMV) výrazně snížil objem fraudů tohoto typu (v Evropě) 7
Fraudy s platebními kartami / 3 Útoky • Stolen cards (virtuálně: BIN + CVV) – phishing, telefon, e-mail, obecně internet, hotely, restaurace .. • Skimming / klonování (ATM, hotely, restaurace) • Stolen cards (fyzicky ukradené karty) • Úniky informací o kartách od zpracovatelů či poskytovatelů služeb • Krádež identity + zneužití "uložené" platební karty • Sofistikované útoky (zneužití EMV karty bez znalosti PINu, „cinknuté“ POS terminály) 8
Ostatní on-line fraudy / 1 Nemusí jít přímo o peníze (ale nepřímo) • např. obchodování s akciemi / komodity / deriváty • Pump & dump + variace Nemusí jít o peníze nýbrž o „krypto peníze“ • např. Bitcoin (anonymní – „svým způsobem“) • Umět zaplatit Bitcoinem se občas hodí i běžnému uživateli (ransomware) • Žádný charge-back, krádež/ztráta je nevratná
9
Ostatní on-line fraudy / 2 Oběť často sama pošle peníze na účet útočníka • Obvykle v návaznosti na sociální inženýrství • Podvody: „nigerijské“ dopisy, fiktivní výhry Obětí fraudu se můžete stát i případě, že přijímáte bezhotovostní platbu • Chtěl odesílatel poslat peníze skutečně Vám?
10
Praní peněz Také se může do fraudu zapojit jako „bílý kůň“ • Podivné inzeráty na snadný přivýdělek • Přeposílání peněz (money mule) – součást internet banking fraudů • Přeposílání zásilek (parcel mule) – součást karetních fraudů (adresa v ČR sice není úplné „terno“, ale patří spíše mezi ty lepší destinace)
11
Budoucnost? • Objem on-line plateb/transakcí poroste • Potenciální „kořist“ bude čím dál větší • Budeme uklidňováni, že fraudů je pouze <0.1% • Přijdou inovované metody fraudů • Nezastaví se to
12
Diskuze
Otázky?
13