Bankovní institut vysoká škola Praha Katedra matematiky, statistiky a informačních technologií
Rozbor bezpečnostních incidentů a ataků internetového bankovnictví v roce 2010 Bakalářská práce
Autor:
Michal Černý, DiS. Informační technologie, MPIS
Vedoucí práce:
Praha
Ing. Antonín Vogeltanz
01/2012
Prohlášení: Prohlašuji, ţe jsem bakalářskou práci zpracoval samostatně a v seznamu uvedl veškerou pouţitou literaturu. Svým podpisem stvrzuji, ţe odevzdaná elektronická podoba práce je identická s její tištěnou verzí, a jsem seznámen se skutečností, ţe se práce bude archivovat v knihovně BIVŠ a dále bude zpřístupněna třetím osobám prostřednictvím interní databáze elektronických vysokoškolských prací.
V Praze, dne 13. 1. 2012
Michal Černý, DiS.
Poděkování: Na tomto místě bych rád poděkoval panu Ing. Antonínu Vogeltanzovi za pomoc týkající se struktury i obsahu práce a za odborné rady, kterými přispěl k vypracování této bakalářské práce. Michal Černý, DiS.
Anotace Předmětem bakalářské práce „Rozbor bezpečnostních incidentů a ataků internetového bankovnictví v roce 2010“ je rozbor internetového bankovnictví v České republice a útoků, které na něj byly provedeny za poslední 3 aţ 4 roky. První část je zaměřena na teoretické vymezení internetového bankovnictví a představení předních českých bank. V následující části se zabývám tím, jaké jsou nejčastější hrozby útoku na internetové bankovnictví. Třetí část nám ukáţe přehled uskutečněných útoků na internetové bankovnictví a jejich dopad na koncového uţivatele. V poslední části se zaměříme na výčet bezpečnostních doporučení a nejpouţívanějších bezpečnostních prvků pouţívaných v současné době v bankách.
Annotation The subject of the thesis "Analysis of security incidents and attacks against Internet banking in 2010" is the study of internet banking in the Czech Republic and the attacks made on it in the last 3-4 years. The first part focuses on the theoretical definition of Internet banking and the introduction of leading Czech banks. In the following section I deal with the most common threats of attack on Internet banking. The third part shows a summary of the attacks on internet banking and their impact on end-user. In the last section I concentrate on a list of safety recommendations and widely used security features currently applied in banks.
Úvod ........................................................................................................................................................ 6 1.
2.
Internetové bankovnictví obecně ................................................................................................... 7 1.1
Rozdělení internetové bankovnictví........................................................................................ 7
1.2
Česká spořitelna ...................................................................................................................... 8
1.3
mBank.................................................................................................................................... 10
1.4
ČSOB ...................................................................................................................................... 11
1.5
Raiffeisen BANK ..................................................................................................................... 12
1.6
EQUA Bank ............................................................................................................................ 12
1.7
GE Money Bank ..................................................................................................................... 13
1.8
Komerční banka..................................................................................................................... 14
Možné hrozby................................................................................................................................ 17 2.1.
Phishing ................................................................................................................................. 17
2.1.1.
Historie .......................................................................................................................... 17
2.1.2.
Příklady útoků................................................................................................................ 18
2.1.3.
Techniky phishingu ........................................................................................................ 21
2.1.4.
Využití slabin IDN........................................................................................................... 22
2.2.
Typosquatting........................................................................................................................ 25
3.
Realizované hrozby ....................................................................................................................... 29
4.
Bezpečnostní doporučení .............................................................................................................. 36 4.1
Zabezpečení přenosu dat ...................................................................................................... 36
4.2
Identifikace klienta ................................................................................................................ 37
4.2.1
Jméno a heslo ................................................................................................................ 37
4.2.2
Autorizace pomocí SMS................................................................................................. 38
4.2.3
Autorizační kalkulátor ................................................................................................... 38
4.2.4
Elektronický certifikát.................................................................................................... 39
4.3
Identifikace banky ................................................................................................................. 40
Závěr ...................................................................................................................................................... 43 Seznam použité literatury ..................................................................................................................... 44 Seznam použitých obrázků a tabulek .................................................................................................... 48
Úvod Bankovnictví je klasické ekonomické odvětví, kterému z nemalé části vděčíme za současnou ekonomickou vyspělost. Jako většina oborů se ani bankovnictví a odvětví sním spojená nemohou bránit vlivům pokroku. Především informační a komunikační technologie ve velké míře zasáhly do procesů nejen uvnitř bank, ale i do obyčejných ţivotů jejich zákazníků[1]. Jedním z mnoha takových příkladů mohou být kreditní karty, s nimiţ není třeba se při nakupování omezovat, nebo internetové bankovnictví, jehoţ zásluhou můţeme v jakoukoliv moţnou denní i noční hodinu disponovat svým bankovním účtem. Technologická zlepšení nám nejenţe šetří čas a prostředky, ale přinášejí s sebou bohuţel i nová ohroţení spojená s jejich uţíváním. Ta si přitom mnoho klientů zatím stále neuvědomuje[2], čímţ dochází k vytvoření prostoru zneuţitelného počítačovou kriminalitou. Navíc zde existuje i další motiv, a to v podobě niţšího rizika pro útočníky, neboť v elektronickém prostředí nehrozí při dopadení zdravotní újma a sazby za tuto činnost jsou niţší neţ v případě ozbrojeného přepadení[3]. Z tohoto ohledu se ve své práci zaměřuji na moţná ohroţení spojená s uţíváním elektronického bankovnictví, především v oblasti internetu, který nám přináší nepřeberné moţnosti, ale tyto moţnosti se dají vyuţít i útočníky. V první části své práce popíši internetové bankovnictví jako takové, a to především bezpečnostní prvky uţívané nejznámějšími českými bankami. Následující části nám přiblíţí nejčastější techniky útoků na internetové bankovnictví. V třetí části jsou dostupné uskutečněné útoky a bezpečnostní incidenty na internetové bankovnictví za poslední 3 roky. Poslední část je zaměřena na soupis bezpečnostních doporučení a nejpouţívanějších bezpečnostních prvků, které se v současné době pouţívají v bankách.
1
PŘÁDKA, Michal; KALA, Jan. Elektronické bankovnictví : rady a tipy. Praha : Computer Press, 2000. 166 s. ISBN 8072263285, s.2 2 DHAMIJA , Rachna ; TYGAR, J. D. ; HEARST, Marti . Why phishing works. Proceedings of the SIGCHI conference on Human Factors in computing systems [online]. 2006, CHI06, [cit. 2011-04-28]. Dostupný z WWW:
. ISSN :1-59593-372-7. 3 KONEČNÁ, Hana. Trestněprávní aspekty zneužívání vybraných typů elektronického bankovnictví [online]. Brno : Masarykova univerzita, 2009. 70 s. Diplomová práce. Masarykova univerzita, PrF. Dostupné z WWW: s.22
6
1. Internetové bankovnictví obecně Internetové bankovnictví neboli internetbanking je v současné době nejpouţívanější podobou přímého bankovnictví. Ke komunikaci s bankou potřebujeme pouze počítač s internetovým prohlíţečem a samozřejmě připojení k internetu. Pro přístup ke svému účtu potřebuje klient banky znát webovou adresu své banky (např. www.servis24.cz) a přihlašovací údaje, tedy přihlašovací jméno a certifikační kód. Po zadání těchto údajů se klient dostává na zabezpečené stránky svého účtu. Vývoj a hlavně zabezpečení internetového bankovnictví je stále během na dlouhou trať. Bankovní informace, které klient i banka během operací provedou, jsou velmi citlivé a často se stávají terčem nástrah a útoků počítačových hackerů. Toto je hlavním důvodem nemalých investic bankovních institucí do různých druhů zabezpečení. Internetové bankovnictví poskytuje klientům nejširší škálu operací ze všech forem elektronického bankovnictví. Přehled o veškerých účtech klienta u banky, zobrazení zůstatku nebo historie transakcí je samozřejmostí. Další operací, kterou internetové bankovnictví nabízí, je správa trvalých příkazů k úhradě. Některé banky nabízí klientům i vedení SIPO, přímé investice do různých fondů, podání ţádosti o spotřebitelský úvěr či kreditní kartu, správu termínovaných vkladů nebo moţnost inkasa. Z důvodu různorodosti klientského softwaru je pro banku velmi náročné obsáhnou veškeré druhy operačních systémů, internetových prohlíţečů a na to navázaných plug-inů. Banky i přes tyto problémy upřednostňují přechod na tento druh elektronického bankovnictví. Díky internetovému bankovnictví banky výrazně redukují náklady a minimalizují rizika spojená se špatným zpracováním transakcí.
1.1 Rozdělení internetové bankovnictví Plnohodnotné – u plnohodnotného bankovnictví není zapotřebí, aby měl klient na svém počítači nainstalovaný bezpečnostní software. Pro přístup do internetového bankovnictví stačí pouze osobní počítač s internetovým připojením. Bezpečná autentizace klienta je pak řešena pomocí přístupového kódu klienta. Tento kód je zpravidla vygenerován při podpisu smlouvy a doručen klientovi do vlastních rukou. Po prvním přihlášení je klientovi nabídnuta moţnost si vygenerované heslo změnit za vlastní. Neplnohodnotné – tato forma internetového bankovnictví vyţaduje nainstalovaný bezpečnostní software na počítači klienta. Pomocí tohoto softwaru jsou následně 7
generovány digitální certifikáty a digitální podpisy pro komunikaci klienta s bankou. Tato forma internetového bankovnictví je tak vázána na konkrétní počítač a podobá se předchozímu typu elektronického bankovnictví – homebankingu.[4] Bezpečnost internetového bankovnictví je na nejniţší úrovni zajišťována bezpečným kanálem pro přenos zpráv, a to pomocí šifrování SSL. Pro autentizaci klienta lze pouţít uţivatelské jméno a heslo, PIN kód generovaný PIN kalkulátorem nebo autorizačním a podpisovým certifikátem, který je uloţen v počítači klienta. Dalším vítaným doplňkem je i časový limit, po kterém bude v případě neaktivity uţivatel automaticky odhlášen. Způsoby zabezpečení internetového bankovnictví se u jednotlivých bank poměrně liší. Většina bank v České republice pouţívá pro přenos dat šifrované SSL spojení. Způsoby autentizace klienta jsou však velmi odlišné.
1.2 Česká spořitelna Nejširší paletu moţností autentizace nabízí Česká spořitelna. Klient České spořitelny má moţnost vyuţít nejjednodušší formy autentizace v podobě dvojice identifikační číslo – heslo. Délka uţivatelského hesla musí být v rozmezí 8 aţ 30 znaků a heslo musí obsahovat minimálně dvě číslice. Další moţností autentizace je pouţití autentizačního kalkulátoru. Poslední moţností je pouţití klientského certifikátu. Doplňujícím bezpečnostním prvkem je pouţití denních limitů u aktivních transakcí. U České spořitelny tento limit činí 200 000Kč. Jedná se pouze o aktivní transakce, které nejsou autorizovány klientským certifikátem. Internetové bankovnictví České spořitelny poskytuje zákazníkům všechny základní operace. Specifikem u internetového bankovnictví České spořitelny je moţnost exportu dat a správa produktů dceřiných společností. Česká spořitelna jako jedna z prvních bank v České republice nabídla svým klientům sluţbu e-fakturace. Tato sluţba umoţňuje klientům propojit faktury za sluţby přímo s platebním příkazem. Fakturu si můţe klient uloţit na svůj počítač i 62 dní po její splatnosti. Česká spořitelna má v dnešní době uzavřené smlouvy se čtyřmi společnostmi – ČEZ, Kooperativa, RWE a E.ON.
4
KUČEROVÁ, Petra. Elektronické bankovnictví [online]. Brno: Masarykova univerzita, 2010. 80s. Diplomová práce. Masarykova univerzita. [cit. 2011-12-20]. Internetbanking. Dostupné z WWW: s.39
8
Česká spořitelna vlastní nejvíce klientů vyuţívajících internetové bankovnictví. Podle údajů z října roku 2009 pouţívá internetové bankovnictví České spořitelny 1,24 milionů zákazníků. Přes internetové bankovnictví probíhá 80 procent všech transakcí České spořitelny.[5]
Obrázek 1: Internetové bankovnictví Servis 24 Internetbanking od České spořitelny
5
KUČEROVÁ, Petra. Elektronické bankovnictví [online]. Brno: Masarykova univerzita, 2010. 80s. Diplomová práce. Masarykova univerzita. [cit. 2011-12-20]. Internetbanking. Dostupné z WWW: s.39
9
1.3 mBank Autentizačním prvkem, který vyuţívá mBanka, je autentizační pár: číslo klienta a heslo. Heslo musí být v rozmezí 8 aţ 20 znaků a nesmí být sloţeno pouze z alfabetických nebo pouze z numerických znaků. Heslo musí obsahovat minimálně jedno písmeno a minimálně jednu číslici. Pro ověření emailů zasílaných bankou se pouţívá elektronický podpis. Veškerá komunikace s bankou probíhá přes SSL spojení. Banka usiluje o minimalizaci bankovních poplatků a ve srovnání s ostatními bankami je nejlevnější bankou působící v České republice. Zvláštností internetového bankovnictví mBanky oproti jiným bankám je moţnost změny limitu pro platební karty. Zákazník si tak můţe kdykoliv změnit limit pro platby přes internet, pro výběr z bankomatu nebo pro platbu u obchodníka. Nevýhodou internetového bankovnictví u mBanky je nemoţnost provádět zahraniční platby. Počet klientů mBanky je v dnešní době okolo čtvrt milionu.[6]
Obrázek 2: Internetové bankovnictví od mBanky
6
KUČEROVÁ, Petra. Elektronické bankovnictví [online]. Brno: Masarykova univerzita, 2010. 80s. Diplomová práce. Masarykova univerzita. [cit. 2011-12-20]. Internetbanking. Dostupné z WWW: s.41
10
1.4 ČSOB U ČSOB má klient moţnost zvolit si také mezi více způsoby autentizace. Prvním z nich je autentizace pomocí elektronického podpisu. Při zvolení této moţnosti autentizace klient od banky obdrţí čipovou kartu, na které jsou jeho osobní údaje a klientský certifikát. Po zadání PIN kódu je vygenerován podpis a je provedena autentizace klienta. Druhou moţností je zadání identifikačního čísla klienta a PIN kódu. Poslední moţností je zadání identifikačního čísla klienta, hesla a SMS klíče. SMS klíč zaslaný na mobilní telefon klienta má omezenou platnost, a to 10 minut. Po zadání všech potřebných údajů je provedeno přihlášení klienta. Pro autorizaci plateb se pouţívají dva způsoby – elektronický klíč a SMS klíč. Kromě standardních sluţeb nabízí ČSOB podobně jako Česká spořitelna moţnost efakturace. Tato sluţba se u ČSOB jmenuje Komfortní vyúčtování. Klienti tak mohou snadno vyřídit faktury od UPC a ČSOB pojišťovny. Výhodou internetového bankovnictví je moţnost přehledu investic nebo penzijního připojištění. Internetové bankovnictví ČSOB vyuţívá 501 600 klientů.[7]
Obrázek 3: Internetové bankovnictví od ČSOB
7
KUČEROVÁ, Petra. Elektronické bankovnictví [online]. Brno: Masarykova univerzita, 2010. 80s. Diplomová práce. Masarykova univerzita. [cit. 2011-12-20]. Internetbanking. Dostupné z WWW: s.45
11
1.5 Raiffeisen BANK Raiffeisenbank pro autentizaci klientů pouţívá dvojici: identifikační číslo klienta – heslo. Pro autorizaci transakcí jsou vyuţívány dva způsoby. Prvním z nich je autorizační SMS kód, kdy banka klientovi po zadání transakce pošle autorizační kód v podobě SMS zprávy. Tento kód pak klient musí zadat do aplikace, aby byla transakce provedena. Druhou moţností je autorizace platby pomocí podpisového certifikátu, který je zabezpečen samostatným heslem.[8]
Obrázek 4: Internetové bankovnictví eKonto od Raiffeisenbank
1.6 EQUA Bank Autentizace uţivatele u EQUA Bank probíhá opět zadáním dvojice: identifikační číslo klienta – heslo. Pro autorizaci transakcí je moţno vyuţít několika moţností. Pro přenášení dat je opět pouţito SSL šifrování. Autentizace uţivatele pomocí Osobního certifikátu. Autorizace platebních příkazů prostřednictvím SMS kódu. Identifikační číslo a heslo je generováno systémem, slouţí k přihlášení ke Sluţbám přímého bankovnictví.
8
KUČEROVÁ, Petra. Elektronické bankovnictví [online]. Brno: Masarykova univerzita, 2010. 80s. Diplomová práce. Masarykova univerzita. [cit. 2011-12-20]. Internetbanking. Dostupné z WWW: s.42
12
Obrázek 5: Internetové bankovnictví od EQUA Bank
1.7 GE Money Bank Pro přístup k internetovému bankovnictví GE Money Bank si můţe klient zvolit dva způsoby. Prvním z nich je přihlášení klienta pomocí přihlašovacích údajů klienta – přihlašovací jméno a heslo. Všechny aktivní operace musí být potvrzeny mobilním klíčem, který klient obdrţí formou SMS zprávy. Bezpečnostní limit aktivních transakcí je stanoven na 500 000Kč. Druhou moţností je autentizace pomocí digitálního certifikátu. Nevýhodou tohoto internetového bankovnictví je nemoţnost provádět zahraniční platby. Výhodou je moţnost zřídit spořicí účet. Internetové bankovnictví GE Money Bank získalo v soutěţi Zlatá koruna 2010 Cenu veřejnosti. Tuto cenu GE Money Bank získala druhý rok po sobě.[9]
9
KUČEROVÁ, Petra. Elektronické bankovnictví [online]. Brno: Masarykova univerzita, 2010. 80s. Diplomová práce. Masarykova univerzita. [cit. 2011-12-20]. Internetbanking. Dostupné z WWW: s.44
13
Obrázek 6: Internetové bankovnictví od GE Money Bank
1.8 Komerční banka Komerční banka pro autentizaci uţivatele pouţívá klientský certifikát, o který si klient před prvním přihlášením musí poţádat přes internetovou stránku Komerční banky. Po podání ţádosti o certifikát musí klient navštívit pobočku Komerční banky a podepsat smlouvu. Klientský certifikát je mu pak dodán elektronickou cestou. Přístup k dodanému certifikátu chrání bezpečnostní heslo generované uţivatelem nebo PIN kód, jedná-li se o čipovou kartu. Internetové bankovnictví Komerční banky je specifické moţností investice do podílových fondů, moţností uzavřít stavebního spoření online nebo moţností dobíjet kredit u všech mobilních operátorů. Ojedinělou sluţbou, kterou Komerční banka nabízí klientům, kteří podnikají v oblasti zdravotnictví, je balíček Optimum Medicum. Součástí tohoto balíčku je klientský certifikát, pomocí kterého se klient přihlašuje nejen ke svému účtu, ale také k internetovým aplikacím některých zdravotních pojišťoven. Tato sluţba je tak velmi vhodná například pro obchodníky s farmaceutickým zboţím.
14
Počet uţivatelů přímého bankovnictví u Komerční banky dosáhl čísla 966 000. Přes internet nebo telefon ovládají svůj účet tři pětiny klientů Komerční banky.[10]
Obrázek 7: Internetové bankovnictví Mojebanka od Komerční banky
Tabulka 1: Bezpečnostní prvky internetového bankovnictví[11] Jméno a heslo
SSL
certifikát
čipová karta
SMS kódy
kalkulátor
Česká spořitelna
ano
ano
x
ano
ano
ano
mBank
ano
ano
ano
x
ano
x
ČSOB
ano
ano
ano
ano
ano
x
Raiffeisen Bank
ano
ano
ano
ano
ano
x
EQUA Bank
ano
ano
ano
ano
ano
x
GE Money Bank
ano
ano
ano
x
x
x
Komerční banka
x
ano
ano
ano
ano
x
K velkým výhodám této formy elektronického bankovnictví patří bezesporu největší mnoţství prováděných operací. Výhodou je i největší rychlost prováděných operací ve srovnání s ostatními formami elektronického bankovnictví. To přináší jak úsporu časovou, 10
KUČEROVÁ, Petra. Elektronické bankovnictví [online]. Brno: Masarykova univerzita, 2010. 80s. Diplomová práce. Masarykova univerzita. [cit. 2011-12-20]. Internetbanking. Dostupné z WWW: s.40 11 Pramen: vlastní
15
tak i úsporu finančních nákladů. K dalším výhodám této formy patří i moţnost spravovat své účty z jakéhokoliv počítače, který je připojen k internetu. Nevýhodou internetového bankovnictví je nemoţnost vyřešit samostatně nestandardní situace. Vyskytnou-li se, je klient nucen kontaktovat bankéře telefonicky nebo jiným způsobem. Aby banky předešly těmto situacím, vystavují na svých stránkách sekci FAQ (Frequently Asked Questions), ve které je moţné najít řešení některých podobných situací.[12]
12
KUČEROVÁ, Petra. Elektronické bankovnictví [online]. Brno: Masarykova univerzita, 2010. 80s. Diplomová práce. Masarykova univerzita. [cit. 2011-12-20]. Internetbanking. Dostupné z WWW: s.47
16
2. Moţné hrozby V této části se zaměříme na některé typy útoků, jejichţ úspěch či neúspěch do značné míry závisí i na samotných uţivatelích (chování, obezřetnost nebo manipulace se systémem).
2.1. Phishing PHISHING je druh internetového podvodu, kterým se podvodníci snaţí z uţivatelů internetového bankovnictví vylákat přístupové údaje k účtům a zneuţít je pro svoje obohacení. K získání těchto důvěrných informací vyuţívají podvodné e-maily, které na první pohled vypadají, ţe jsou odeslány přímo z banky a snaţí se přesvědčit uţivatele, aby kliknul na odkaz. Jestliţe neopatrný uţivatel na tento falešný odkaz klikne, dostane se na podvodné stránky, kde jsou po něm poţadovány, přístupové údaje k účtům, platebním kartám nebo jiné důvěrné informace. Pokud je uţivatel naivně vyplní, získají tato data podvodníci, kteří je následně vyuţijí pro svůj prospěch.[13]
2.1.1. Historie Technika phishingu byla detailně popsána v roce 1987 v práci a prezentaci předané International HP Users Group, Interex. Poprvé byl termín phishing pouţit v usenetové skupině alt.online-service.america-online dne 2. ledna 1996, ačkoli se označení mohlo objevit jiţ dříve v tištěném magazínu 2600: The Hacker Quarterly.
Začátky phishingu na AOL Phishing na AOL byl úzce spjat s warez komunitou, jeţ si vyměňovala pirátský software, a scénou crackerů, která padělala kreditní karty a páchala jiné internetové zločiny. Phisher (původce phishingu) se mohl vydávat za pracovníka AOL a odeslat zprávu potenciální oběti, ve které ţádal odhalení jejího tajného hesla. Ve zprávě byly většinou ţádosti jako „ověřit účet“, nebo „potvrdit informace“, coţ by vedlo samozřejmě k prozrazení choulostivých informací oběti. Jestliţe se útočník dozvěděl heslo, mohl disponovat účtem oběti, nebo rozesílat nevyţádanou poštu (spam). Oboje, jak phishing, tak warez na AOL, obecně vyţadovaly programy napsané uţivateli, jako například AOHell. Phishing začal být tak častý, ţe byl do všech zpráv přidán řádek: „Ţádný pracovník AOL se vás nemůţe nikdy ptát na heslo, ani údaje ohledně vašeho účtu.“ 13
DŢUBÁK, Josef. Hoax.cz [online]. 2007 [cit. 2011-12-22]. Phishing. Dostupné z WWW: .
17
Po roce 1997 AOL zpřísnila svůj pohled na phishing a warez, tudíţ všechen pirátský software odstranila ze svých serverů. Současně vyvinula AOL systém pro okamţitou deaktivaci účtů spojených s phishingem, aniţ by oběti mohli nějakým způsobem odpovědět. Zakázaní warez scény vedlo k tomu, ţe většina phisherů opustila sluţby AOL.
Přechod z AOL na finanční instituce Zmocnění se informací z AOL účtu mohlo vést útočníky ke zneuţití informací z kreditních karet. Tím si útočníci uvědomili, ţe jsou proveditelné i útoky na platební systémy. První známka o přímém pokusu napadnout platební systém je z června 2001, kdy se cílem stal e-gold. Tento pokus byl následován „post-9/11 ID kontrolou“ krátce po útocích 11. září 2001 na Světové obchodní centrum. Oba pokusy prakticky ztroskotaly, ale lze na ně pohlíţet jako na prvotní pokusy vůči následným plodnějším útokům na přední banky. K roku 2004 byl jiţ phishing povaţován za plně rozvinutou ekonomiku zločinu, která poskytovala za hotovost součásti, které byly shromaţďovány na konečný útok. Odhaduje se, ţe mezi květnem 2004 a květnem 2005 se vinou phishingu ztratilo 929 milionů USD. Z té doby je známá spousta různých technik.[14]
2.1.2. Příklady útoků Útočníci se převáţně zaměřují na zákazníky bank a on-line platebních sluţeb. E-maily zdánlivě od IRS (finanční úřad USA) sbíraly citlivá data amerických daňových poplatníků. Zatímco první takové pokusy byly rozesílány náhodně s očekáváním, ţe některé přijdou zákazníkům dané banky nebo sluţby, novodobý výzkum ukazuje, ţe útočníci v principu dokáţí rozpoznat, jaké banky potenciální oběti pouţívají a příslušně falešné e-maily přizpůsobují. Takto cílenému phishingu se říká spear phishing (z anglického oštěp). Jsou známé případy útoků směřovaných specificky na nejvyšší management a jiné vysoké cíle z hlediska byznysu. Pro takový druh útoků se ustálil pojem whaling (z anglického velryba). Jedním z hlavních cílů současného phishingu jsou sluţby sociálních sítí, neboť osobní detaily z těchto sítí mohou být pouţity k odcizení identity. Koncem roku 2006 počítačový červ převzal kontrolu nad sluţbou MySpace a pozměnil odkazy, aby přesměrovaly návštěvníky na adresu navrţenou k odcizení přihlašovacích údajů. Experimentální phishing na sociální sítě ukazuje úspěšnost přesahující 70 %.
14
WIKIPEDIA. cs.wikipedia.org [online]. 2011 [cit. 2011-12-22]. Phishing. Dostupné z WWW: .
18
Phishing se zaměřil i na stránky sluţby pro sdílení souborů RapidShare, aby tak získával prémiové účty, které odstraňují rychlostní omezení během stahování, automatické odstraňování nahraných souborů, čekání na spuštění stahování a časové prodlevy mezi stahováními.[15] Následující e-mail obdrţelo velké mnoţství českých uţivatelů v roce 2008:
Obrázek 8: Příklad phishingu
Stránky, na které je klient z phishingového emailu směřován, vypadají po obsahové a grafické stránce prakticky stejně jako originál, jsou však umístěny na jiné internetové adrese. Cílem je získání důleţitých osobních údajů klienta, nejčastěji se jedná o číslo kreditní karty. Obrázek č. 9 zobrazuje náhled na falešnou webovou stránku, na kterou je klient odkázán po kliknutí na odkaz uvedený v emailu. Pokud by člověk správně zkontroloval prvky uvedené v části zabývající se identifikací banky, okamţitě by věděl, ţe se nenachází na originální stránce internetového bankovnictví, pro upřesnění WWW.SERVIS24.CZ. Ověření doménového jména je v této situaci naprosto nezbytné a můţeme jej povaţovat za jedno ze základních bezpečnostních pravidel. I v tomto případě se pouţívají triky
15
WIKIPEDIA. cs.wikipedia.org [online]. 2011 [cit. 2011-12-22]. Phishing. Dostupné z WWW: .
19
pro zmatení uţivatele, který řádně kontroluje adresu v prohlíţeči. Technika se nazývá fuzzy domains[16] a spočívá v registraci podobných doménových jmen, například pro útok na Česko spořitelnu (CSAS.CZ) by byla vhodná doména CSAC.CZ nebo CS.CZ.[17]
Obrázek 9 : Náhled na falešnou stránku internetového bankovnictví
16
JAMES, Lance; MOUDRÝ, Lubomír. Phishing bez záhad. 1. vyd. Praha : Grada, 2007. 281 s. ISBN 9788024717661, s.30 17 KOLAŘ, Jan Antonín. Možná ohrožení elektronické bankovnictví [online]. Brno: Masarykova univerzita, 2011. 64s. Bakalářská práce. Masarykova univerzita. [cit. 2011-12-20]. Phishing v České Republice. Dostupné z WWW: s.31
20
Všimnout si také lze absence ikony zámku značící SSL šifrování. V tomto konkrétním případě nezáleţí, jaké jsou zadané přihlašovací údaje, neboť útočníkovi šlo o údaje kreditní karty. Po přihlášení je v kontextu zaslané emailové zprávy klient vyzván k zadání veškerých údajů o jeho kartě včetně PIN kódu, po jejichţ vyplnění a odeslání je můţe útočník prakticky okamţitě zneuţít. Metoda falešné stránky není jediným druhem vylákání údajů v phishingovém emailu. Formulář na vloţení údajů můţe být vloţen přímo v emailové zprávě nebo při kliknutí na odkaz dojde k přesměrování na originální stránku, zároveň se také otevře nové okno s falešnou stránkou, které ţádá o vyplnění osobních údajů. Nicméně právě zmíněná metoda falešných stránek se vyuţívá nejčastěji.[18]
2.1.3. Techniky phishingu Hacking sdíleného virtuálního serveru Kaţdoročně vznikají nové a nové taktiky útoků, které drasticky ovlivňují statistiky. V roce 2011 dominuje taktika, která je ve skutečnosti stará, avšak do té doby spíše povrchní. V tomto případě útočník vnikne do webového serveru, který hostuje mnoho domén - tzv. sdílený virtuální server. Jakmile je útočník uvnitř takového serveru, namísto vloţení své „návnady“ (stránka s falešným obsahem) napřed na server nahraje svůj obsah. Následně změní konfiguraci serveru tak, aby všechny obsaţené weby začaly jeho obsah zobrazovat. To je standardní schopnost webových serverů, která umoţňuje administrátorům nastavovat sdílené informační stránky, administrační zařízení a chybové stránky („stránka nenalezena“ a další). Takţe místo nabourávání se do jedné stránky po druhé, útočník můţe infikovat stovky aţ tisíce webů naráz, podle velikosti daného serveru. V první polovině roku 2011 bylo identifikováno přes 40.000 unikátních útoků pouţívajících tuto taktiku. Kaţdý z nich pomocí jiné domény. To je 37 % všech útoků celosvětově. Hromadných útoků bylo identifikováno celkem 122, kaţdý zahrnující minimálně 50 domén. Útoky zahrnovaly jen 25 institucí; z toho nejčastější byly PayPal (přes 23.000 domén/útoků) a Wells Fargo (přes 6.500 domén/útoků).
Vyuţití poddomén Většina metod phishingu vyuţívá některou z forem technického oklamání navrţeného tak, aby odkazy v e-mailech (a příslušné falešné stránky) vypadaly, ţe náleţí falšované 18
KOLAŘ, Jan Antonín. Možná ohrožení elektronické bankovnictví [online]. Brno: Masarykova univerzita, 2011. 64s. Bakalářská práce. Masarykova univerzita. [cit. 2011-12-20]. Phishing v České Republice. Dostupné z WWW: s.32
21
organizaci. Následující odkaz http://www.konkretnibanka.novasluzba.cz/ vypadá, jako by vedl na sekci nová služba na webu konkrétní banky; ve skutečnosti tento odkaz míří na sekci „konkrétní banka“ (tedy phishing) stránky „nová služba“.
Překlepy a zkreslení odkazů Běţným trikem bývají překlepy v odkazech. Dalším běţným trikem je, aby text odkazu vypadal jinak, neţ skutečný odkaz. V levém dolním rohu většiny prohlíţečů se zobrazuje skutečný cíl daného odkazu, na který právě ukazuje myš.[19]
2.1.4. Vyuţití slabin IDN Další problém s odkazy vznikl v souvislosti se zpracováním internacionalizovaných doménových jmen (IDN). Ve webových prohlíţečích je moţné docílit, aby vizuálně identické adresy vedly na různé, potenciálně nebezpečné, weby. Některá písmenka vypadají totiţ skoro (nebo úplně) stejně a rozdíl adres nemusí být patrný. Jindy se můţe jednat o adresu s diakritikou - pričemţ v originále diakritiku postrádá. Navzdory publicitě této vady známé jako IDN spoofing či homografový útok, zneuţívají útočníci tohoto rizika pouţitím otevřeného URL přesměrování na stránkách důvěryhodné organizace k zamaskování škodlivého obsahu s důvěryhodnou doménou. Ani digitální certifikát neřeší tento problém, protoţe pro útočníka je moţné si pro tyto účely pořídit platný certifikát a následně měnit obsah, aby důvěryhodnou stránku zfalšoval.
Zkracování domén Zkracování domén je taţeno popularitou Twitteru a dalších sociálních sítí a mobilních telefonů a dalších zařízení. Uţivatelé těchto sluţeb mohou získat velmi krátký odkaz pro vloţení do svých (znakově omezených) zpráv, které automaticky přesměrují návštěvníka na o mnoho delší „skrytý“ odkaz. Někteří poskytovatelé zkracování agresivně zbrojí proti škodlivému přesměrování a vydávají pravidla, kterými komplikují případné zneuţití jejich systému. Řada poskytovatelů zkracování domén však je na černé listině.
Unikání filtrům Útočníci začali pouţívat obrázky místo textů, aby tak zkomplikovali anitphishingovým filtrům detekovat běţně pouţívané texty nebezpečných e-mailů.
19
WIKIPEDIA. cs.wikipedia.org [online]. 2011 [cit. 2011-12-22]. Phishing. Dostupné z WWW: .
22
Padělání stránek Navštívením podvrţené stránky klamání nekončí. Některé podvodné stránky pouţívají JavaScript pro změnu adresového řádku. Toho je docíleno buďto umístěním obrázku legitimní adresy přes adresní řádek nebo zavřením původního adresního řádku a otevření nového s legitimní adresou. Útočník můţe dokonce vyuţít chyby ve skriptu důvěryhodné stránky proti oběti.[29] Tento typ útoku (známý jako cross-site scripting) je částečně problematický, protoţe nabádají uţivatele k přihlášení na stránce banky nebo sluţby, kde se všechno od webové adresy po bezpečnostní certifikát jeví korektně. Ve skutečnosti je však odkaz na stránku vytvořený tak, aby provedl útok. Bez specializovaných znalostí je velmi obtíţné útok vystopovat. Právě taková vada byla pouţita v roce 2006 proti společnosti PayPal. V roce 2007 byl odhalen univerzální balíček Man in the middle (MITM) Phishing Kit, poskytující jednoduše pouţitelné rozhraní, díky kterému útočník přesvědčivě replikuje webové stránky a zaznamená přihlašovací údaje vloţené na falešné stránce. Aby se vyhnuli technikám skenujícím weby pro odhalování phishingu, začali útočníci vytvářet falešné stránky v technologii Flash. Ty vypadají jako skutečné stránky, ale skrývají text v multimediálním objektu.
Telefonický phishing Ne všechny metody phishingu vyţadují falešné stránky. Zprávy, které tvrdí, ţe jsou z banky a nabádají uţivatele, aby zavolali na určité číslo s odvoláním na problémy s jejich bankovními účty. Jakmile klient zavolal na uvedené číslo (vlastněné útočníkem a poskytované sluţbou Voice over IP), byl vyzván k vloţení čísla účtu a PINu. Takzvaný Vishing (z anglického voice phishing) někdy pouţívá zfalšovanou identifikaci volajícího. Vyvolá tak dojem, ţe volá z důvěryhodné organizace.
Další techniky phishing: Úspěšně se pouţívá přesměrování klienta na legitimní stránku banky s následným otevřením vyskakovacího okna poţadujícího přihlašovací údaje. Okno vyskočí na povrchu stránky s bankou, takţe vzniká dojem, ţe citlivé údaje poţaduje banka.[35] Technika tabnabbing zneuţívá záloţek, které oběť pouţívá a tiše přesměruje uţivatele na falešnou stránku. Technika Evil twin (wireless networks) se těţko detekuje. Útočník vytvoří falešnou bezdrátovou síť, která vypadá stejně jako legitimní veřejná síť, kterou je moţné najít
23
na veřejných místech, jako jsou letiště, hotely nebo kavárny. Kdykoli se někdo připojí do této sítě, podvodníci se pokusí zachytit jejich důvěrné informace.[20]
20
WIKIPEDIA. cs.wikipedia.org [online]. 2011 [cit. 2011-12-22]. Phishing. Dostupné z WWW: .
24
2.2. Typosquatting Kaţdé internetové bankovnictví má svoji vlastní webovou adresu nebo-li doménu. Jde o unikátní sled znaků a písmen v systému DNS nahrazující číselnou adresu serveru, která je ve znakové podobně lépe zapamatovatelná. Jak jsem si uvedl výše, můţe být obsah stránky duplikován, doména je oproti tomu jednoznačný identifikátor. Z tohoto důvodu phishingoví útočníci pouţívají jako jednu z technik zmatení klienta takzvané fuzzy domény, tedy domény na první pohled podobné originální adrese internetového bankovnictví. Je však moţné zaregistrovat takovou doménu, která je nejen velice podobná doméně originální, ale současně na ní chodí i sami uţivatelé v domnění, ţe se nacházejí na originální stránce. Výše popsaná metoda se nazývá typosquatting a generuje ve světě přibliţně 500 miliónů dolarů ročně. Za tímto poněkud sloţitým názvem se skrývá jedna z forem cybersquattingu, někdy označovaného také jako URL únos. Princip je zaloţen na přirozeném generování překlepů při psaní na klávesnici. Činnost typosquattera tak spočívá v registraci doménových jmen, jeţ jsou překlepem nějaké známé webové sluţby, v našem případě internetového bankovnictví. Tímto způsobem můţe útočník získat s minimálním úsilím značný počet návštěvníků a následně s nimi nakládat ve svůj prospěch. Stránky bývají obvykle vyuţívány k takzvanému parkování domén, tedy zobrazování velkého počtu relevantních reklam, z jejichţ výnosu má typosquatter podíl. Takto chybujícím návštěvníkům nemusí být jen zobrazena reklama, ale mohou být jednoduše přesměrováni na jakoukoliv jinou stránku na internetu, a pokud znovu nezkontrolují doménu v adresním řádku prohlíţeče, nemusí si vůbec uvědomit, ţe skončili na jiném místě. V neprospěch uţivatele hraje i fakt, ţe i v případě pomíchání jednotlivých písmen ve slově při zachování prvního a posledního písmene dokáţe člověk navzdory překlepu vnímat dané slovo správně. Tímto způsobem vybudovaná falešná důvěra můţe být jednoduše zneuţitelná a způsobit tak v kontextu internetového bankovnictví znatelné finanční ztráty.[21]
21
KOLAŘ, Jan Antonín. Možná ohrožení elektronické bankovnictví [online]. Brno: Masarykova univerzita, 2011. 64s. Bakalářská práce. Masarykova univerzita. [cit. 2011-12-20]. Typosquatting. Dostupné z WWW: s.34
25
Statistiky vyhledávaných výrazů (servis24, ekonto, mojebanka) spojených s internetovým bankovnictvím na www.seznam.cz :
Česká spořitelna – internetové bankovnictví : www.servis24.cz
Obrázek 10 : Dotazy obsahující "servis24"
Obrázek 11 : Dotazy pouze "servis24"
Obrázek 12 : Nejhledanější dotazy obsahující "servis24"
26
Raiffeisen Bank – internetové bankovnictví : www.ekonto.cz
Obrázek 13 : Dotazy obsahující "ekonto"
Obrázek 14 : Nejhledanější dotazy obsahující "ekonto"
Komerční banka – internetové bankovnictví : www.mojebanka.cz
Obrázek 15 : Dotazy obsahující "mojebanka"
27
Obrázek 16 : Dotazy pouze "mojebanka"
Obrázek 17 : Nejhledanější dotazy obsahující "mojebanka"
28
3. Realizované hrozby Přenesení čísla a útok na uživatele internetového bankovnictví V souvislosti s nedávno publikovaným útokem na klienta internetového bankovnictví australské Commonwealth Bank, který pro přístup ke svému účtu pouţíval dvoufaktorovou autentizaci, je zajímavé, jakým způsobem útok proběhl, a zda by ho někdo nemohl realizovat i zde v ČR. Útok byl v podstatě velice primitivní a spočíval v tom, ţe útočník poţádal jménem oběti o přenos telefonního čísla od společnosti Vodafone k jinému operátorovi, u kterého si zřídil za tímto účelem účet. Po ověření poţadavku byl přenos telefonního čísla po 30 minutách proveden a číslo bylo aktivováno v síti jiného operátora. Útočník se následně přihlásil do internetového bankovnictví (přihlašovací údaje získal prostřednictvím malwaru, který se nacházel na laptopu oběti) a následně provedl transakci ve výši 45.000 australských dolarů, kterou potvrdil pomocí jednorázového kódu, který mu byl zaslán bankou na jeho mobilní telefon. Vzhledem k tomu, ţe se jednalo o poměrně velkou částku, došlo zároveň k vygenerování alarmu systémem pro detekci podvodů (Fraud Detection Systém, zkr. FDS) a po třech neúspěšných pokusech telefonicky klienta kontaktovat, došlo z preventivních důvodů k zablokování účtu, a další transakce tak jiţ nemohly být provedeny. Zdá se, ţe banka v tomto případě splnila vše, co je doporučováno v dodatku k příručce Authentication in an Internet Banking Environment, který vydal FFIEC. Z publikované zprávy nicméně není zřejmé, na jaké mobilní číslo se banka snaţila klientovi dovolat, zda na stejné na jaké mu předtím zaslala autorizační SMS, nebo na jiné. V případě, ţe by se jednalo o číslo, na které byla klientovi zaslána autorizační SMS, postrádá toto ověření trochu smysl, protoţe útočník mohl stejně tak hovor přijmout a transakci potvrdit. A pokud daná banka není schopna ověřit klienta podle hlasu, podobně jako to dělá National Australia Bank, nemá moc moţností jak zjistit, ţe nehovoří s útočníkem. Moţnost poţádat o přenos telefonního čísla k jinému operátorovi a povinnost vyhovět tomuto poţadavku je definována v zákoně a jeho smyslem je zvýšení konkurence a tím i kvality poskytovaných sluţeb. V Austrálii je tato sluţba poskytována od roku 2001 (podmínky definuje C570:2009 Australian Communications and Media Authority) a v Česku pak od roku 2006 (zákon č. 127/2005 Sb. o elektronických komunikacích, kdy přesné podmínky přenositelnosti ještě upravuje předpis ČTÚ). Přenos telefonního čísla je v našich krajinách realizován v řádu dnů nebo týdnů.
29
Aby mohlo k přenosu telefonního čísla dojít, musí ţadatel nejprve kontaktovat operátora, ke kterému chce přejít a oznámit mu jaké telefonní číslo chce přenést. Od operátora obdrţí jedinečný kód, který sdělí opouštěnému operátorovi. Operátoři se mezi sebou dohodnou, kdy k přenosu telefonního čísla dojde, a nový operátor vystaví ţadateli novou SIM kartu, která je aktivována maximálně do několika hodin poté, co dojde ke zrušení telefonního čísla u opouštěného operátora. Je zřejmé, ţe oprávněnému uţivateli v okamţiku přenosu telefonního čísla k jinému operátorovi přestane jeho číslo fungovat, nicméně útočník je schopen pouţít metod sociálního inţenýrství a oběť přesvědčit, ţe např. došlo k nějaké technické závadě, a ţe se na jejím odstranění pracuje, a tím získat potřebný čas. Tak tomu bylo ostatně i v tomto případě. Ověření ţadatele o přenos telefonního čísla k jinému operátorovi je klíčové, protoţe v okamţiku, kdy by o přenos telefonního čísla poţádala neoprávněná osoba a jejímu poţadavku by bylo vyhověno, mohl by oprávněný uţivatel utrpět značnou škodu, jejíţ výše by se odvíjela od toho, k čemu všemu svůj telefon pouţívá. V tomto případě stačilo útočníkovi zodpovědět několik jednoduchých otázek, jako je zákaznické číslo a datum narození. Australské banky navíc mají moţnost se od roku 2009 připojit k databázi obsahující přenesená telefonních čísla a vyuţít těchto informací v rámci svých FDS. Je zvláštní, ţe této moţnosti plně nevyuţívají. Je zřejmé, ţe pokud by ověření ţadatele o přenos telefonního čísla probíhalo jen výše uvedeným způsobem, mohl by útočník snadno poţádat o přenos telefonního čísla k jinému operátorovi. Na dotaz zaměstnanec operátora sdělil, ţe poţadují, aby se ţadatel o přenos telefonního čísla osobně dostavil na jejich pobočku a předloţil občanský průkaz. V případě, ţe o přenos telefonního čísla poţádá klient písemně, je ověřen jeho podpis nebo je případně kontaktován na telefonním čísle, které ve své ţádosti uvedl, tedy i na jiném, neţ o jaké ţádá. Netřeba snad dodávat, ţe i kdyby těch způsobů, jak můţe klient o přenos telefonního čísla poţádat, bylo více a probíhalo by tam i bezpečnější ověření, tak útočník bude volit ten nejjednodušší způsob.[22]
22
ČERMÁK, Miroslav. www.cleverandsmart.cz [online]. c 2008-2012 [cit. 2011-12-28]. Přenesení čísla a útok na uţivatele internetového bankovnictví. Dostupné z WWW: .
30
SpyEye: bankovní malware SpyEye je bankovní malware, který je schopen odchytit přihlašovací údaje uţivatele internetového bankovnictví a nejen to. Oběti je po přihlášení do internetového bankovnictví prostřednictvím MITB (Man In The Browser) zobrazen formulář, který na pozadí provede změnu telefonního čísla, na které banka zasílá jednorázový kód, a který je nutné do aplikace přepsat, aby bylo moţné danou transakci dokončit. I v tomto případě je vygenerován jednorázový kód, který je zaslán jako SMS na mobilní telefon oběti. V okamţiku, kdy je tento kód přepsán, dojde ke změně telefonního čísla, na které jsou zasílány autorizační SMS. Oběti to bude zdůvodněno tak, ţe jí z důvodu bezpečnosti bude zaslána nová SIM karta. Jedná se tedy o klasický případ sociálního inţenýrství, a pokud oběť nepojme podezření, a kód přepíše, budou od daného okamţiku veškeré autorizační kódy chodit na číslo útočníka a ten tak bude moci realizovat libovolné finanční transakce. Banky by měly ve svých autorizačních SMS jasně uvádět, k jaké operaci se zaslaný kód vztahuje, a pokud tak nečiní, vystavují své klienty zbytečně riziku, ţe se stanou obětí tohoto útoku. Ale nejedná se o jediný způsob, jak se útočník můţe dostat k přihlašovacím údajům oběti. Nedávno se totiţ objevila nová verze tohoto bankovního trojana, nazvaná Spitmo (SpyEye In The Mobile), která odchytává jednorázová hesla, které některé banky zasílají svým klientům na mobil, a které jsou vyţadovány pro přihlášení do internetového bankovnictví. Tento trojan se šíří tak, ţe je uţivatel, v jehoţ počítači se SpyEye nachází, vyzván, aby si nainstaloval do svého smartphonu bezpečnostní SW. A pokud si oběť tento SW do svého smartphonu nainstaluje, jsou pak SMS obsahující autorizační kódy přeposílány útočníkovi a ten pak můţe opět realizovat libovolné finanční transakce. Nikdy si neinstalujte na svůj smartphone ţádný bankovní SW, pokud si předem u své banky neověříte, ţe je pro správnou funkčnost a zajištění odpovídající úrovně bezpečnosti jejich elektronického bankovnictví nutný.[23]
23
ČERMÁK, Miroslav. www.cleverandsmart.cz [online]. c 2008-2012 [cit. 2011-12-28]. SpyEye Mitmo opět udeřil. Dostupné z WWW: .
31
ZeuS Mitmo: trijský kůň ZeuS Mitmo je trojský kůň, který je cílen na uţivatele internetového bankovnictví, kteří pro autentizaci a autorizaci transakcí pouţívají mobilní telefon, resp. mTAN (mobile Transaction Authentication Number), coţ je jednorázové heslo (One Time Password, zkr. OTP), které jim banka zasílá na jejich mobilní telefon ve formě SMS. Tento trojský kůň se poprvé objevil v minulém roce ve Španělsku, ale o tom jsme jiţ psali. Zdálo se, ţe je klid, avšak v pondělí 21. února 2011 zveřejnil Petr Konieczny na webu Niebezpiecznik informaci o tom, ţe se v Polsku objevila nová verze trojana ZeuS Mitmo, která byla cílena na klienty ING Bank a mBank. Útok byl v podstatě stejný jako posledně. Klient se dostal na podvodnou stránku, tam zadal jméno a heslo a dále byl pod záminkou zvýšení bezpečnosti poţádán ještě o zadání telefonního čísla a typu svého telefonu. To proto, aby útočník věděl, na jaký telefon mu má poslat odkaz na staţení bezpečnostního certifikátu, rozuměj škodlivého kódu, který je k dispozici pro Symbian, Blackberry a Windows Mobile. Polské banky ING bank a mBank na tuto situaci neprodleně reagovaly a e-mailem informovaly své klienty, ţe po nich nikdy nebudou chtít zadávat číslo jejich telefonu značku nebo model a stejně tak nebudou vyţadovat, aby si do svého telefonu instalovali nějaké certifikáty nebo aplikace. Tuto informaci pak začaly zobrazovat i na stránkách svého internetového bankovnictví a obdobnou zprávu zasílaly svým klientům i jako SMS. Na stránkách mBank se píše, cituji: „System nigdy nie prosi o podanie haseł jednorazowych, telekodu, danych kart płatniczych i kredytowych (numer karty, kod PIN, CVV2) oraz danych dotyczących Twojego telefonu (numer i model) bezpośrednio po zalogowaniu, podczas sprawdzania stanu konta i przeglądania historii operacji. Przed potwierdzeniem operacji należy zawsze uważnie przeczytać SMS-a zawierającego hasło, aby upewnić się, że dotyczy on właściwej, zleconej przez Ciebie operacji.“ Zdá se, ţe je jen otázkou času, kdy a kde se nová verze ZeuS Mitmo zase objeví a kdo se stane další obětí.[24]
Man in the mobile Kdyţ se před časem na severu SecurityPortal objevil příspěvek o moţném útoku na uţivatele internetového bankovnictví, kteří vyuţívají mTAN zasílaný ve formě SMS do mobilního telefonu jako druhý autentizační faktor nebo jím potvrzují transakci, tak to na tvářích mnohých bezpečnostních expertů vyloudilo jen pobavený úsměv. 24
ČERMÁK, Miroslav. www.cleverandsmart.cz [online]. c 2008-2012 [cit. 2011-12-28]. Zeus Mitmo opět udeřil. Dostupné z WWW: .
32
O několik měsíců později jim však úsměv na rtech poněkud ztuhl, protoţe se začaly objevovat první zprávy, ţe popsaný útok je nejen moţné poměrně snadno realizovat, ale ţe jiţ dokonce začal, viz informace na blogu s21sec nebo fortinet, kde je popsáno, jak tato nová verze trojského koně ZeuS, která útok na uţivatele internetového bankovnictví umoţňuje, vlastně funguje. Analýzou C&C serveru bylo zjištěno, ţe riziku jsou vystaveni především uţivatelé, kteří pouţívají mobilní telefony se systémem Symbian, Blackberry a Windows Mobile, přičemţ byl zachycen analyzován jen malware pro Symbian, který je v té době nejpouţívanějším OS v mobilních telefonech. Je ale jen otázkou času, kdy bude vydána nová verze pro iPhone nebo Google Android, který získává stále větší trţní podíl. Útočník musel vyřešit jen jednu otázku a to, jak dostat na smartphone oběti škodlivý kód, který by SMS obsahující mTAN přeposlal nebo modifikoval. Zatím to vyřešil tak, ţe uţivateli při vstupu na stránky internetového bankovnictví zobrazí výzvu, aby zadal své telefonní číslo, na které mu pošle odkaz pro staţení certifikátu nebo upgradu, kterým ale není nic jiného neţ mobilní verze trojského koně ZeuS. Dovedeme si představit, ţe v další verzi můţe být SMS od banky přeposlána a smazána anebo modifikována a uţivatel sám přepíše mTAN do aplikace internetového bankovnictví, neboť v SMS bude uveden původní účet a částka, byť mTAN bude vygenerován k úplně jinému účtu a částce. Nízký počet hlášených obětí (údajně desítky) a relativně malá finanční ztráta (stovky Euro) nás vedou k závěru, ţe se jednalo spíše o test, zda by se dal tímto způsobem útok realizovat a skutečný útok přijde v okamţiku, kdy se povede celý útok automatizovat. Je však také moţné, ţe reálný počet obětí je mnohem vyšší a neví se o nich jen proto, ţe FDS transakce jako podvodné nedetekovaly. Je evidentní, ţe mTAN, který byl doposud povaţován za bezpečnou formu out-ofband autentizace, nebude moţný do budoucna díky konvergenci počítačů a mobilů do jednoho zařízení (smartphonů) za bezpečný povaţovat a banky se budou muset porozhlédnout po nové formě vícefaktorové autentizace, anebo se v případě potvrzování transakce vrátit zpět k HW tokenům zaloţených na principu challenge response. Klientům internetového bankovnictví, kteří pro příjem mTAN pouţívají smartphony, doporučujeme pečlivě zváţit jakou aplikaci a odkud si do svého smartphonu stáhnou a nainstalují a to platí samozřejmě i pro antivir. Je asi zbytečné dodávat, ţe v okamţiku,
33
kdy máte svůj telefon propojen s PC a je jedno zda přes USB, Wi-Fi nebo bluetooth, tak se škodlivý kód můţe šířit i tímto způsobem.[25]
Vishing Tentokrát se útočník rozhodl, ţe klientovi banky vybere jeho bankovní účet, který ovládá přes internetové bankovnictví. Útočník se rozhodl, ţe se zaměří na návštěvníky pochybných webových stránek. A právě návštěvy webů pochybné kvality vystavily klienta riziku nákazy jeho počítače škodlivým kódem (malwarem). Pro úplnost dodejme, ţe klient pouţíval nejběţnější operační systém a bezpečnostní updaty moc neřešil, takţe to byla opravdu jen otázka času, neţ se jeho počítač nakazí. Klient neměl o přítomnosti malwaru ve svém počítači ani ponětí. Tento malware byl výplodem moderním doby – dokázal zcizit a zaslat útočníkovi autentizační údaje jakéhokoliv SSL spojení (např. do emailu) či provádět cílené útoky na konkrétní webové sluţby (zejména internetová bankovnictví), kde dokázal pozměnit cílové číslo účtu a částku u právě prováděné transakce (tzv. útok Man-in-the-Browser). Klient banky však pouţíval internetové bankovnictví, které k dokončení transakce vyţadovalo zadání autorizačního kódu, který vţdy přišel na mobil ve formě SMS. Uţivatelské jméno a heslo tak útočníkovi k dokončení transakce nestačilo, ale mohl se podívat na zůstatek, historii a další informace. Útočník se rozhodl získat autorizační kód pomocí techniky označované jako vishing, coţ je kombinace slov voice-over a phishing – čili lovení hesel přes telefon za pomocí sociálního inţenýrství. Vzhledem ke skutečnosti, ţe je v internetovém bankovnictví uveden majitel účtu včetně adresy, nebyl pro útočníka problém zjistit i klientovo telefonní číslo. Jakmile ho získal, přihlásil se do internetového bankovnictví, zadal tučnou transakci (max. moţnou převoditelnou částku) a byl připraven poţádat o autorizační kód pro provedení transakce, který přijde klientovi na mobil. Nic netušícímu klientovi banky mobil oznámil přijetí SMS. Nejednalo se ale o autorizační kód k podvodné transakci, která byla na spadnutí, nýbrţ o SMS zprávu s následujícím textem: VAZENY KLIENTE, ZAZNAMENELI JSME POKUS TRANSKACI Z VASEHO UCTU XY POMOCI 25
O PODVODNOU INTERNETOVEHO
ČERMÁK, Miroslav. www.cleverandsmart.cz [online]. c 2008-2012 [cit. 2011-12-28]. Man in the mobile aneb útok na uţivatele internetového bankovnictví. Dostupné z WWW: .
34
BANKOVNICTVI. ZA CHVILI VAS BUDE KONTAKTOVAT NAS SPECIALISTA Z TEL. CISLA XY A POMUZE PROBLEM VYRESIT. VASE BANKA XY.
Obrázek 18: ilustrační obrázek[26]
Klient zpozorněl, a vědom si svých úspor, pocítil jisté obavy. Zároveň ho však začal naplňovat pocit vděčnosti vůči jeho bance, která má takový zájem chránit jeho těţce vydobyté finanční prostředky. Po chvíli skutečně zavolal z uvedeného čísla jakýsi muţ, který se představil jako pracovník banky. Aby si získal klientovu důvěru, sdělil mu jeho uţivatelské jméno a dva znaky z jeho hesla. Takovou znalostí můţe disponovat pouze pracovník banky, pomyslel si klient a dál naslouchal pokynům onoho pracovníka. Pracovník mu klidným hlasem oznámil, ţe jejich systém zaznamenal pokus o podezřelou transakci a chtěl se ujistit, ţe iniciátorem této transakce není sám klient banky. Pracovník banky klienta vyzval, aby zachoval klid, ţe takové transakce se stávají dnes a denně a ţe je velmi jednoduchý způsob jak danou transakci stornovat. Bude mu však muset nadiktovat transakční kód, který mu přijde za okamţik na mobil. Klient banky neváhal a kód fiktivnímu pracovníkovi banky sdělil. Aţ za pár dní bohuţel zjistil, ţe na svém účtu mu chybí značná část peněz.[27]
26
ČERMÁK, Miroslav. www.cleverandsmart.cz [online]. c 2008-2012 [cit. 2011-12-22]. Vishing. Dostupné z WWW: . 27
ČERMÁK, Miroslav. www.cleverandsmart.cz [online]. c 2008-2012 [cit. 2011-12-28]. Vishing. Dostupné z WWW: .
35
4. Bezpečnostní doporučení Zajištění bezpečnosti je jednou z hlavních otázek, které musí banka řešit. Bezpečnost elektronického bankovnictví je klíčovým prvkem pro jeho úspěšnost. Narušení bezpečnosti má dalekosáhlé důsledky jak pro banky, tak pro klienty. Problém bezpečnosti elektronického bankovnictví je sloţen z několika dílčích problémů. Banka musí umět zajistit bezpečnou autentizaci klienta, bezpečné provedení autorizace plateb a především bezpečný přenos dat od klienta do banky a zpět. V následujících podkapitolách budou postupně rozebrány technologie, které se pro zajištění bezpečnosti v dnešní době nejčastěji pouţívají, dále rizika, která elektronické bankovnictví přináší bankám a klientovi, a moţnosti, jak tato rizika minimalizovat či eliminovat.[28]
4.1 Zabezpečení přenosu dat Datový tok internetového připojení prochází několika komunikačními uzly a je moţné jej odposlechnout, jedná se o takzvaný sniffing. Zranitelné místo bývá v případě bezdrátové komunikace mezi počítačem klienta a připojovacím bodem, z čehoţ vyplívá, ţe není vhodné pouţívat připojení otevřených bezdrátových síti, neboť takovýto přenos není nijak šifrován a je moţné ho bez problému zachytit jiným počítačem vybaveným technologií WIFI. Bohuţel však ani při dodrţování výše uvedené poučky nejsou vaše data zcela v bezpečí, neboť technicky zkušenější člověk dokáţe prolomit sice zastaralé, ale stále ještě pouţívané WEP šifrování. Z těchto důvodů je komunikace s bankou ještě zvlášť šifrována technologií SSL fungující na principu asymetrické šifry. „Přenos citlivých dat je ve všech bankách řešen SSL šifrováním (obvykle ikona žlutého visacího zámku na stavové liště) na vysoké úrovni a lze jej považovat za dostatečně bezpečný.“[29] SSL šifrování tak představuje z pohledu rizika minimálně ohroţenou část internetového bankovnictví. Nutno podotknout, ţe dobře zabezpečená technologie komunikace ještě neznamená, ţe bankovnictví je dobře zabezpečeno jako celek, i kdyţ banky v minulosti sluţbu tímto způsobem prezentovaly.[30]
28
KUČEROVÁ, Petra. Elektronické bankovnictví [online]. Brno: Masarykova univerzita, 2010. 80s. Diplomová práce. Masarykova univerzita. [cit. 2011-12-20]. Bezpečnost E-Bankingu. Dostupné z WWW: s.58 29 BOUŠOVÁ, Kateřina. Penize.cz [online]. 2006 [cit. 2011-12-20]. Internetové bankovnictví: jsou vaše peníze v bezpečí?. Dostupné z WWW: . 30 KOLAŘ, Jan Antonín. Možná ohrožení elektronické bankovnictví [online]. Brno: Masarykova univerzita, 2011. 64s. Bakalářská práce. Masarykova univerzita. [cit. 2011-12-20]. Zabezpečení přenosu dat. Dostupné z WWW: s.18
36
4.2 Identifikace klienta Identifikace a autentizace klienta, znamená v praxi rozpoznání a ověření totoţnosti klienta tak, aby banka měla jistotu, ţe dané bankovní operace provedl skutečný majitel účtu. Jedná se o velice podstatnou část zabezpečení, jíţ je věnovaná patřičná pozornost. V zájmu banky je pouţívat co nejvíce autentizačních prvků, jeţ by vylučovaly jakékoliv neoprávněné transakce. Nicméně čím více je těchto prvků pouţito, tím hůře se s bankovnictvím pracuje. Dochází ke kolizi dvou cílů, a to uţivatelské přívětivosti a úrovně zabezpečení. Daná problematika je v současnosti řešena víceúrovňovým zabezpečením s ohledem na typ provedené operace. Ty jsou rozlišeny na operace pasivní, které nemění zůstatek na účtu, například zjištění pohybů na účtu a operace aktivní, pomocí nichţ je nakládáno s peněţními prostředky (příkazu k úhradě). Tabulka 2 : Přehled bankovních operací[31]
Pasivní operace
Aktivní operace
Zjištění zůstatku účtu
Zadání příkazu k úhradě
Zjištění pohybů na účtu
Zadání příkazu k inkasu
Informace o produktech a sluţbách banky
Zřízení trvalého příkazu
Informace o aktuálních úrokových sazbách
Zahraniční platební styk
Informace o aktuálních kurzech cizích měn
Obsluha termínovaných účtů
Pro pasivní operace vyţaduje většina bank základní způsob autentizace pomocí jména a hesla. Poté je moţné procházet operace na účtu, zjišťovat stavy atd. Pokud by takto přihlášený klient chtěl provést platbu, bude po něm vyţadována další úroveň autentizace, jako například SMS klíč, elektronický certifikát, elektronický kalkulátor.[32]
4.2.1 Jméno a heslo Jedná se o nejběţnější a zároveň nejméně bezpečný způsob Autentizace klienta vyuţívaný především pro pasivní operace. Přístupové údaje jsou zasílané obvykle ve speciální obálce pozemní poštou. Nezřídka vyzve rozhraní klienta po prvním přihlášení do prostředí 31
Pramen: vlastní KOLAŘ, Jan Antonín. Možná ohrožení elektronické bankovnictví [online]. Brno: Masarykova univerzita, 2011. 64s. Bakalářská práce. Masarykova univerzita. [cit. 2011-12-20]. Identifikace klienta. Dostupné z WWW: s.18 32
37
internetového bankovnictví ke změně hesla, které by mělo obsahovat minimálně 8 znaků a skládat se z kombinace písmen, číslic a speciálních znaků tak, aby bylo znemoţněno prolomení hesla pomocí speciálního softwaru. Bohuţel i v případě pouţití silného hesla je tento způsob identifikace klienta velice zranitelný, např. v případě škodlivého softwaru na odposlouchávání klávesnice (tzv. keylogger) nebo phishingových útoků. V grafu č.3 z roku 2006, můţeme vidět, jaké bezpečnostní prvky internetového bankovnictví byly tehdy vyuţívány. Jen zhruba 21 % bankovních sluţeb nevyuţívalo způsobu autentizace přes jméno a heslo. Za předpokladu maximálního uţití dvou prvků ochrany by kombinaci více způsobů zabezpečení vyuţívalo 27 % bank.[33]
4.2.2 Autorizace pomocí SMS Poměrně bezpečná a mezi českými bankami velice rozšířená metoda. Je zaloţená na odesílání SMS zprávy s autorizačním klíčem, který je vyţadován pro jednotlivé aktivní operace (např. pro příkaz k úhradě). Na rozdíl od elektronického kalkulátoru s sebou nese jen minimální náklady spojené s uţíváním, na druhou stranu je klient vázán na funkčnost mobilního zařízení, coţ částečně uţití internetového bankovnictví omezuje. Samotná GSM komunikace je šifrována a přesto, ţe byla jedna z šifer nedávno prolomena, tak technická náročnost případného odposlechu SMS zpráv narušitele spolehlivě odradí. Jednou z reálných moţností obejití metody můţe být zcizení SIM karty, ke které je učet vázán.[34]
4.2.3 Autorizační kalkulátor Autorizační kalkulátor je elektronické zařízení, které dokáţe generovat jednorázová hesla pro přístup k bankovní aplikaci. Tato zařízení bývají synchronizována se systémy banky tak, aby obě strany generovaly stejné klíče. Ty pak uţivatel opisuje do aplikace a ověřuje tak svou totoţnost jednoduše tím, ţe dokáţe, ţe je majitelem příslušného kalkulátoru. Generovaná hesla mívají obvykle návaznost na operace, které jsou pomocí klíče generovány a uţivatel je tak nucen do kalkulátoru uvádět informace jako je číslo účtu, částka se kterou je manipulováno a podobně. Z tohoto důvodu je velmi obtíţné podvrhnout uţivateli falešné formuláře k potvrzení, protoţe pokud nejsou na obou stranách zadány stejné údaje, klíče jsou neplatné. Jedná se o jednu z nejbezpečnějších metod autorizace uţivatele. 33
KOLAŘ, Jan Antonín. Možná ohrožení elektronické bankovnictví [online]. Brno: Masarykova univerzita, 2011. 64s. Bakalářská práce. Masarykova univerzita. [cit. 2011-12-20]. Identifikace klienta. Dostupné z WWW: s.19 34 KOLAŘ, Jan Antonín. Možná ohrožení elektronické bankovnictví [online]. Brno: Masarykova univerzita, 2011. 64s. Bakalářská práce. Masarykova univerzita. [cit. 2011-12-20]. Identifikace klienta. Dostupné z WWW: s.20
38
4.2.4 Elektronický certifikát Jedná se o jedinečný soubor slouţící k autentizaci klienta, jeho vydání zprostředkovává banka. Platnost certifikátu je časově omezena, je tedy nutné po uplynutí lhůty zaţádat o nový. Elektronický certifikát například vyuţívá Komerční banka povinně, u ČSOB a České spořitelny je moţné uţití za příplatek. Doporučuje se certifikát skladovat na jiném úloţném zařazení, neţ je disk počítače, kupříkladu na USB klíčence. Souborový charakter certifikátu umoţňuje jeho duplikaci, coţ je jeho slabinou, neboť škodlivá aplikace můţe tento soubor najít a elektronicky odeslat. K jeho pouţití je však stále nutná znalost hesla. Z výše uvedeného důvodu existuje také elektronický certifikát uloţený na čipové kartě.[35] „Vyšší bezpečnost poskytuje klientský certifikát uložený na čipové kartě. V tomto případě je nutné si pořídit čtečku čipových karet. Výhodou je nemožnost odcizení soukromého klíče bez fyzického odcizení čipové karty (klíč nelze z karty vyexportovat). Platí opět zásada, že karta se po použití vyjme ze čtečky a bezpečně uloží.“[36] Tabulka 3 : Využití bezpečnostních prvků internetového bankovnictví v ČR
certifikát čipová karta
autorizační kalkulátor
autorizační SMS
certifikát v souboru
jméno a heslo 0.00%
20.00%
40.00%
35
60.00%
80.00%
100.00%
KOLAŘ, Jan Antonín. Možná ohrožení elektronické bankovnictví [online]. Brno: Masarykova univerzita, 2011. 64s. Bakalářská práce. Masarykova univerzita. [cit. 2011-12-20]. Identifikace klienta. Dostupné z WWW: s.20 36 NYKODÝMOVÁ, Helena. Lupa.cz [online]. 2006 [cit. 2011-12-26]. Jak je to s bezpečností internetového bankovnictví?. Dostupné z WWW: .
39
4.3 Identifikace banky Nejen banka musí poznat, ţe komunikuje se správnou osobou, jeţ má oprávnění spravovat účet, ale podobně by měl klient ověřovat, ţe se nachází opravdu na stránkách banky. Mimo svět internetu si klient ověří banku jednoduše podle fyzické adresy pobočky, firemních log a podobně. To, co je v realitě dost těţko představitelné, tedy ţe by někdo otevřel falešnou pobočku banky (přestoţe i takové případy jsou zaznamenány[37]) za účelem vylákání citlivých údajů z klientů, je na internetu vytvoření falešných stránek banky relativně jednoduchá věc.[38] „Proč toto vše může na internetu fungovat? Vyplývá to z obtížnosti řešení autentizace na internetu. Zatímco postavit z cihel fyzickou napodobeninu banky určitě nebude jednoduchou záležitostí, vybudování falešné internetové identity banky již tak náročné (alespoň v současnosti) zdaleka není.“[39] „Útočníci na konta bank nejčastěji používají metodu označovanou jako phishing (rybaření). Rozešlou e-mailové zprávy, které se tváří jako oficiální výzva banky k provedení určitých operací a současně k poskytnutí osobních údajů na odkazovanou stránku. Tato stránka je však past. Většinou věrně napodobuje oficiální přihlašovací okno internetového bankovnictví banky. Pokud do něj uživatel zadá své přihlašovací jméno a heslo, prozradí je útočníkům. Ti mu pak mohou z účtu peníze ukrást.“[40] Útočníci těţí z faktu, ţe díky velice rychlému rozvoji informačních a komunikačních technologií nemá většina klientů prozatím patřičné informační znalosti ke správnému identifikování stránky banky. K bezpečnému pouţívání totiţ nestačí jen osvojení uţivatelského prostředí stránky, nýbrţ komplexnější pochopení fungování internetu tak, aby byl uţivatel schopen uvědomit si veškerá rizika spojená s uţíváním internetového bankovnictví a počítačů vůbec. To klade vysoké nároky nejen na vzdělávací systém, ale především na samotného uţivatele.
37
Novinky.cz [online]. 2009 [cit. 2011-12-20]. V Ugandě zmizela banka, byla falešná. Dostupné z WWW: . 38 KOLAŘ, Jan Antonín. Možná ohrožení elektronické bankovnictví [online]. Brno: Masarykova univerzita, 2011. 64s. Bakalářská práce. Masarykova univerzita. [cit. 2011-12-20]. Identifikace banky. Dostupné z WWW: s.21 39 PINKAVA, Jaroslav . Interval.cz [online]. 2006 [cit. 2011-12-26]. Phishing aneb rhybaření 1. Dostupné z WWW: . 40 SVOBODA, Jakub. Novinky.cz [online]. 2007 [cit. 2011-12-26]. Internetoví piráti stupňují útoky na účty v bankách. Dostupné z WWW: .
40
„Připomeňme, že nástup informačních technologií zastihl jednotlivé generace a populační ročníky v odlišné životní fázi, případně na odlišném stupni vzdělávací soustavy. Způsob získání počítačové gramotnosti je ovlivněn tím, že doposud větší část populace byla v době nástupu osobního počítače již mimo vzdělávací soustavu a ta část populace, která byla v té době na školách, zde počítačovou gramotnost nezískala, protože naše školství nebylo na výuku informatiky připravené.“[41] Uţivatelé střední a starší generace jsou tím pádem odkázáni na sebevzdělávání. To je však zřejmě nedostatečné, neboť jsou na tomto základě prováděny útoky, při nichţ klienti dobrovolně odevzdají své údaje o kreditních kartách či přihlašovací údaje v domnění, ţe jednají s bankou. Danou oblast tak můţeme prozatím povaţovat za zranitelnou část internetového bankovnictví.[42] „Ačkoliv banky vydávají na zabezpečení vysoké finanční částky, nejslabším článkem celého zabezpečení často bývá samotný klient. Většina bank poskytuje klientům informace, jak se bezpečně chovat při využívání internetového bankovnictví - na svých stránkách uvádějí různá desatera bezpečného využívání internetového bankovnictví.“[43] Banky na tuto situaci reagují snahou o vzdělávání svých uţivatelů, jeţ má zvýšit jejich odolnost vůči případným nástrahám. Ti však často o podobnou tématiku nemají zájem a spoléhají na technologické zabezpečení banky, které má však pramálo společného s tímto typem ohroţení. Kupříkladu GE Money bank řeší výše zmíněnou problematiku distribucí informační příručky „Pravidla bezpečného uţívání“ mezi své klienty, jenţ rozděluje identifikaci do třech bodů. „2) Ověřujte si, že se hlásíte do Internet Banky na správném místě: A) Po otevření přihlašovací stránky Internet Banky zkontrolujte, zda se vám v příkazovém řádku zobrazuje adresa https://ibs.internetbanka.cz/ibs31/ControllerServlet. V nových verzích prohlížeče se navíc příkazový řádek zeleně podbarví.
41
SAK, Petr. Lupa.cz [online]. 2006 [cit. 2011-12-26]. Počítačová gramotnost a způsoby jejího získávání. Dostupné z WWW: 42 ČEPSKÝ, Pavel. Lupa.cz [online]. 2011 [cit. 2011-12-26]. Phishingový útok na Raiffeisenbank: najde se ještě nějaký hlupák?. Dostupné z WWW: . 43 FELCMAN, Michal. Mesec.cz [online]. 2007 [cit. 2011-12-26]. Jak je zabezpečené internetové bankovnictví. Dostupné z WWW: .
41
B) V závislosti na typu a verzi internetového prohlížeče se v horní nebo dolní části zobrazuje ikona zamčeného visacího zámku. Po kliknutí na ikonu zámku se zobrazí informace o bezpečnostním certifikátu. C) V pravé dolní části obrazovky je umístěno logo VeriSign Secured. Po kliknutí na logo se otevře stránka s informacemi o bezpečnostním certifikátu vystaveném právě pro doménu ibs.internetbanka.cz společnosti GE Money Bank.“ [44]
Obrázek 19: Identifikační prvky internetového bankovnictví GE Money bank[45]
Po
detailní
evaluaci
bezpečnostních
prvků
internetového
bankovnictví
se v analýze předmětné oblasti zaměříme na rozbor realizovaných útoků na internetové bankovnictví vyuţívajících bezpečnostních nedostatků na straně klienta a ukáţeme si také, jak by dodrţování základních zásad identifikace banky zmíněných v příručce GE Money bank v těchto případech klienty ochránilo.
44
GEmoney.cz [online]. 2009 [cit. 2011-12-26]. Pravidla bezpečného uţívání Internet Banky. Dostupné z WWW: . 45 GEmoney.cz [online]. 2009 [cit. 2011-12-26]. Pravidla bezpečného uţívání Internet Banky. Dostupné z WWW: .
42
Závěr Práce se zabývá moţnými hrozbami a útoky v prostředí internetového bankovnictví. V části věnované současnému stavu internetového bankovnictví bylo mou snahou popsat bezpečnostní prvky, způsoby, jakými jsou uţívány, a to u předních českých bank. Na základě zjištěných poznatků mohu konstatovat, ţe zabezpečení pomocí elektronických certifikátů nebo SMS klíčů je v současnosti dostatečně silné proti většině dnešních útoků. Technická stránka zabezpečení není nejohroţenější částí internetového bankovnictví. Tím je klient, který často nevědomě a dobrovolně vyzrazuje informace, které často dokáţe útočník vyuţít ve svůj prospěch. Největším problémem je v současné době Phishing, jeţ byly realizovány i v České republice. V porovnání se světem se jedná o menší problém, přesto i u nás se škody vyšplhaly do řádů statisíců. Současně je zde předpoklad, ţe se tento typ útoků bude nadále stupňovat a banky by se měly na phishingové útoky zaměřit a věnovat jim dostatečnou pozornost. Hlavním předpokladem a jednoznačným prvkem identifikace internetového bankovnictví je URL adresa. Klient by měl vţdy adresu kontrolovat a tím předejít moţným problémů. Dále jsem věnoval pozornost zneuţívání překlepových domén tzv. typosquatting. Klienti nezřídka při zadávání adresy internetového bankovnictví udělají překlep a mohou se tak dostat na stránku obsahující reklamy a v případě cíleného útoku i škodlivý obsah. Rozborem překlepových variant domén největších bankovních ústavů jsem zjistil, ţe banky věnují těmto doménám jen minimální pozornost. V další části práce jsem sepsal dostupné uskutečněné útoky a bezpečnostní incidenty na internetové bankovnictví za poslední 3 roky. Jednalo se především o výše zmíněné typy útoků, tedy Phishing a Typosquatting. Kde útoky jsou zaměřeny na klienta a jeho nepozornost, dostatečnou znalost nebo důvěřivost. Poslední část je soupis bezpečnostních doporučení a nejpouţívanějších bezpečnostních prvků, které jsou zavedeny v bankách.
43
Seznam pouţité literatury Tištěné monografie: [1]
JAMES, Lance; MOUDRÝ, Lubomír. Phishing bez záhad. 1. vyd. Praha : Grada, 2007. 281 s. ISBN 9788024717661.
[2]
PŘÁDKA, Michal; KALA, Jan. Elektronické bankovnictví : rady a tipy. Praha : Computer Press, 2000. 166 s. ISBN 8072263285.
Internetové publikace: [3]
BOUŠOVÁ,
Kateřina. Penize.cz [online].
bankovnictví:
jsou
vaše
peníze
2006
v
[cit.
2011-12-20].
bezpečí?.
Dostupné
Internetové z
WWW:
.
[4]
ČEPSKÝ, Pavel. Lupa.cz [online]. 2011 [cit. 2011-12-26]. Phishingový útok na Raiffeisenbank:
najde
se
ještě
nějaký
hlupák?.
Dostupné
z
WWW:
.
[5]
ČERMÁK, Miroslav. www.cleverandsmart.cz [online]. c 2008-2012 [cit. 2011-12-28]. Přenesení čísla a útok na uţivatele internetového bankovnictví. Dostupné z WWW: .
[6]
ČERMÁK, Miroslav. www.cleverandsmart.cz [online]. c 2008-2012 [cit. 2011-12-28]. SpyEye Mitmo opět udeřil. Dostupné z WWW: .
[7]
ČERMÁK, Miroslav. www.cleverandsmart.cz [online]. c 2008-2012 [cit. 2011-12-28]. Zeus Mitmo opět udeřil. Dostupné z WWW: .
44
[8]
ČERMÁK, Miroslav. www.cleverandsmart.cz [online]. c 2008-2012 [cit. 2011-12-28]. Man in the mobile aneb útok na uţivatele internetového bankovnictví. Dostupné z WWW: .
[9]
ČERMÁK, Miroslav. www.cleverandsmart.cz [online]. c 2008-2012 [cit. 2011-12-28]. Vishing. Dostupné z WWW: .
[10] DHAMIJA , Rachna ; TYGAR, J. D. ; HEARST, Marti . Why phishing works. Proceedings of the SIGCHI conference on Human Factors in computing systems [online]. 2006, CHI06, [cit. 2011-04-28]. Dostupný z WWW: . ISSN :1-59593-372-7.
[11] DŢUBÁK, Josef. Hoax.cz [online]. 2007 [cit. 2011-03-22]. Phishing. Dostupné z WWW: .
[12] FELCMAN, Michal. Mesec.cz [online]. 2007 [cit. 2011-12-26]. Jak je zabezpečené internetové bankovnictví. Dostupné z WWW: .
[13] GEmoney.cz [online]. 2009 [cit. 2011-12-26]. Pravidla bezpečného uţívání Internet Banky. Dostupné z WWW: .
[14] KOLAŘ, Jan Antonín. Možná ohrožení elektronické bankovnictví [online]. Brno: Masarykova univerzita, 2011. 64s. Bakalářská práce. Masarykova univerzita. [cit. 2011-12-20]. Phishing v České Republice. Dostupné z WWW: .
[15] KOLAŘ, Jan Antonín. Možná ohrožení elektronické bankovnictví [online]. Brno: Masarykova univerzita, 2011. 64s. Bakalářská práce. Masarykova univerzita. [cit. 2011-12-20]. Typosquatting. Dostupné z WWW: .
45
[16] KOLAŘ, Jan Antonín. Možná ohrožení elektronické bankovnictví [online]. Brno: Masarykova univerzita, 2011. 64s. Bakalářská práce. Masarykova univerzita. [cit. 2011-12-20]. Zabezpečení přenosu dat. Dostupné z WWW: .
[17] KOLAŘ, Jan Antonín. Možná ohrožení elektronické bankovnictví [online]. Brno: Masarykova univerzita, 2011. 64s. Bakalářská práce. Masarykova univerzita. [cit. 2011-12-20]. Identifikace klienta. Dostupné z WWW: .
[18] KOLAŘ, Jan Antonín. Možná ohrožení elektronické bankovnictví [online]. Brno: Masarykova univerzita, 2011. 64s. Bakalářská práce. Masarykova univerzita. [cit. 2011-12-20]. Identifikace banky. Dostupné z WWW: .
[19] KONEČNÁ, Hana. Trestněprávní aspekty zneužívání vybraných typů elektronického bankovnictví [online]. Brno : Masarykova univerzita, 2009. 70 s. Diplomová práce. Masarykova univerzita, PrF. Dostupné z WWW: .
[20] KUČEROVÁ, Petra. Elektronické bankovnictví [online]. Brno: Masarykova univerzita, 2010. 80s. Diplomová práce. Masarykova univerzita. [cit. 2011-12-20]. Internetbanking. Dostupné z WWW: .
[21] KUČEROVÁ, Petra. Elektronické bankovnictví [online]. Brno: Masarykova univerzita, 2010. 80s. Diplomová práce. Masarykova univerzita. [cit. 2011-12-20]. Bezpečnost E-Bankingu. Dostupné z WWW: .
[22] Novinky.cz [online]. 2009 [cit. 2011-12-20]. V Ugandě zmizela banka, byla falešná. Dostupné
z
WWW:
zmizela-banka-byla-falesna.html>.
[23] NYKODÝMOVÁ,
Helena. Lupa.cz [online].
2006
[cit.
2011-12-26].
Jak je to s bezpečností internetového bankovnictví?. Dostupné z WWW: . 46
[24] PINKAVA, Jaroslav . Interval.cz [online]. 2006 [cit. 2011-12-26]. Phishing aneb rhybaření 1. Dostupné z WWW: .
[25] SAK, Petr. Lupa.cz [online]. 2006 [cit. 2011-12-26]. Počítačová gramotnost a způsoby jejího
získávání.
Dostupné
z
WWW:
gramotnost-zpusoby-ziskavani/>.
[26] SVOBODA, Jakub. Novinky.cz [online]. 2007 [cit. 2011-12-26]. Internetoví piráti stupňují
útoky
na
účty
v
bankách.
Dostupné
z
WWW:
.
[27] WIKIPEDIA. cs.wikipedia.org [online]. 2011 [cit. 2011-12-22]. Phishing. Dostupné z WWW: .
47
Seznam pouţitých obrázků a tabulek Seznam obrázků: Obrázek 1: Internetové bankovnictví Servis 24 Internetbanking od České spořitelny ............... 9 Obrázek 2: Internetové bankovnictví od mBanky ..................................................................... 10 Obrázek 3: Internetové bankovnictví od ČSOB ........................................................................ 11 Obrázek 4: Internetové bankovnictví eKonto od Raiffeisenbank ............................................. 12 Obrázek 5: Internetové bankovnictví od EQUA Bank .............................................................. 13 Obrázek 6: Internetové bankovnictví od GE Money Bank ....................................................... 14 Obrázek 7: Internetové bankovnictví Mojebanka od Komerční banky .................................... 15 Obrázek 8: Příklad phishingu .................................................................................................. 19 Obrázek 9 : Náhled na falešnou stránku internetového bankovnictví ...................................... 20 Obrázek 10 : Dotazy obsahující "servis24".............................................................................. 26 Obrázek 11 : Dotazy pouze "servis24" ..................................................................................... 26 Obrázek 12 : Nejhledanější dotazy obsahující "servis24" ....................................................... 26 Obrázek 13 : Dotazy obsahující "ekonto" ................................................................................ 27 Obrázek 14 : Nejhledanější dotazy obsahující "ekonto" .......................................................... 27 Obrázek 15 : Dotazy obsahující "mojebanka" ......................................................................... 27 Obrázek 16 : Dotazy pouze "mojebanka" ................................................................................. 28 Obrázek 17 : Nejhledanější dotazy obsahující "mojebanka" ................................................... 28 Obrázek 18: ilustrační obrázek[] .............................................................................................. 35 Obrázek 19: Identifikační prvky internetového bankovnictví GE Money bank[] ...................... 42
Seznam tabulek: Tabulka 1: Bezpečnostní prvky internetového bankovnictví.....................................................15 Tabulka 2 : Přehled bankovních operací..................................................................................37 Tabulka 3: Využití bezpečnostních prvků internetového bankovnictví v ČR............................39
48