Ads 468x60px

maanantai 20. helmikuuta 2012

Poimintoja "RSA 2012 CYBERCRIME TRENDS REPORT" -julkaisusta

RSA on julkaissut raportin vuoden 2011 cyberrikollisuuden trendeistä. Alla on omia poimintojani kyseisestä raportista. Linkki koko raporttiin löytyy tästä:
http://viewer.media.bitpipe.com/1039183786_34/1295279253_317/CYBRC_WP_0111-RSA.pdf

Ensimmäinen raportin trendeistä käsittelee troijalaisia, cyberrikollisten päätyökaluja. Mainittavaa on, että maailmanlaajuisesti Zeus-niminen troijalainen on yksin ollut vastuussa yli miljardin dollarin menetyksistä viimeisen viiden vuoden aikana. RSA varoittelee myös mobiilialustoille leviävistä troijalaisista, jotka pystyvät muun muassa kaappaamaan kosketusnäyttöpuhelimen 'näppäimenpainalluksia', mikä on huomattavasti fyysisen näppäimistön näppäintenpainallusten kaappaamista hankalampaa. Troijalaiset alkavat myös olla paremmin maakohtaisia. Esimerkkinä RSA mainitsee troijalaisen, joka on suunnattu vain venäläisien pankkipalveluiden käyttäjiä kohtaan.

Troijalaisten esittelyn yhteydessä RSA esittelee mielenkiintoisen Man-in-the-browser (MITB) -termin. Kyse on hyökkäyksestä , jossa selaimen on määrä suorittaa tiettyjä toimintoja käyttäjän käyttäessä nettipankkiaan. Nämä toimintoskriptit voivat aktivoitua esimerkiksi kun käyttäjä on suorittamassa tilisiirtoa ja muokata tilisiirron kohdetiliä lennossa. Troijalainen voi yrittää myös suorittaa omia pankkisiirtojaan, mikäli pankkisivuston tietoturva ei vaadi käyttäjältä lisävarmennuksia onnistuneen sisäänkirjautumisen jälkeen.

Kolmas RSAn esittelemä trendi on varsin mielenkiintoinen Fraud-as-a-service (FaaS). Tämä termi tarkoittaa jatkuvasti ylläpidettyä työkalupakkia, joka tähtää yksinkertaiseen ja helppoon käyttökokemukseen, madaltaen kynnystä ryhtyä cyberrikolliseksi.

RSA:n raportissa esitellään myös rikollisten tapoja kiertää vahvoja tunnistuksia, esimerkiksi hyökkäyksen, jossa rikollinen on saanut uhrin koneen, sekä puhelimen haltuunsa (tietokoneelta löytyviä tietojahan voidaan käyttää apuna käyttäjän puhelimen tietojen selvittämisessä). Molemmat näistä laitteista voivat olla fyysisesti uhrin tiloissa. Tässä hyökkäyksessä pystytään kiertämään pankin vahva tunnistautuminen. Tunnistautumisessa pankki lähettää tekstiviestikoodiin, joka tulee kirjoittaa maksusuorituksen yhteyteen. Hyökkääjän kaappaama puhelin, voi edelleenlähettää tämän tekstiviestin hyökkääjän prepaid liittymään, jolloin hyökkääjä saa tietoonsa myös toisen vahvan tunnistautumisen elementin.

3 kommenttia:

Mika Laaksonen kirjoitti...

Man-in-the-browser hyökkäyksiä on myös käytetty suomalaisiakin pankkeja vastaan. KPMG Hacknetissä oli toimiva livedemo MITB hyökkäyksestä erästä eurooppalaista pankkia vastaan jo joitakin vuosia sitten.

Hyökkäyksen torjuminen on pankkien kannalta hankalaa, koska asiakaspää ei ole heidän hallinnassaan. Tällä hetkellä torjuntakeinona on maksutapahtuminen tekstiviestivarmennus, joka sinällään on toimiva, mutta käytettävyyttä alentava ratkaisu.

Anssi kirjoitti...

Suljetun alustan softat ovat astetta turvallisempia. Pääseekö jatkossa pankkiin vain iOSilla ja pelikonsoleilla ;-)

Anssi kirjoitti...

BTW, kun seuraavan sukupolven telkkarit tulevat koteihin, pitänee köydä iso keskustelu niiden tietoturvasta, esim. suljettu vai avoin softaympäristö? Ne kun integroitunevat TV-mainontaan ja shoppailuun ja maksujärjestelmiin...se Digi-TV:n unelma, joka ei toteutunut toteutuu nyt netti-TV:nä...

Applen oma viritelma lienee kulman takana ja lienee vahvoilla markkinoilla. Google yrittää samaan aikaan Androidilla. Ja takavasemmlta tulee...kuka ja millä teknologialla?

Lähetä kommentti