Ads 468x60px

keskiviikko 4. huhtikuuta 2012

Pankkitroijalainen tyhjentää tilejä Suomessakin - ja näin se toimii

Vuosia keksimisensä jälkeen niin sanottu Man in the Browser - hyökkäys ylittää suomessakin uutiskynnyksen.

http://www.iltasanomat.fi/digi/pankkitroijalainen-tyhjentaa-tileja-suomessakin/art-1288460044982.html

KPMG:n hacknet-tilaisuudessa demosimme tätä hyökkäystä muistaakseni 3 tai 4 vuotta sitten. Demossa työntekijämme "huijasi" itseltään ulkomaisesta pankista yhden sentin (omalta tililtään).

Hyökkäys toimii näin:

  1. Hyökkääjä valmistelee sopivan haittaohjelman ja keksii sopivan tavan saada se mahdollisimman monelle käyttäjälle.
  2. Haittaohjelma on testattu eri virusskannereilla sen varmistamiseksi, että sitä ei löydetä - Netissä on tahoja, jotka toimittavat haittaohjelmia takuulla. Jos ohjelma löytyy virusskannerilla ostaja saa takuuseen uuden version.
  3. Uhri saa haittaohjelman koneelleen esim. puuttuvien päivitysten ja varomattoman linkkien klikkailun seurauksena.
  4. Haittaohjelma jää odottamaan, että uhri menee verkkopankkiin.
  5. Uhri menee verkkopankkiin ja kirjautuu sinne esim. kertakäyttösalasanalla.
  6. Uhri menee verkkopankissa maksamaan laskun ja syöttää laskun tiedot.
  7. Haittaohjelma aktivoituu ja selaimessa muuttaa pankille lähetettävän laskun tiedot (tilinumeron ja summan), mutta näyttää käyttäjälle alkuperäisen laskun tiedot.
  8. Uhri hyväksyy laskun, jolloin selain lähettää pankille muokatun laskun ja näyttää käyttäjälle alkuperäisen laskun olevan hyväksytty.
  9. Pankin järjestelmä vastaanottaa muokatun laskun ja lähettää uhrille hyväksymispyynnön.
  10. Selain vastaanottaa hyväksymispyynnön muokattuun laskuun, mutta näyttää uhrille hyväksymispyynnön alkuperäiseen laskuun.
  11. Uhri hyväksyy maksun tunnusluvullaan ja selain lähettää hyväksymisvahvistuksen pankkiin.
  12. Pankki laittaa muokatun maksun maksettavaksi.
  13. Uhri luulee maksaneensa alkuperäisen laskun.
  14. Haittaohjelma jää taustalle ja muokkaa esim. käyttäjälle näytettävää tilin saldoa niin, että käyttäjä edelleen luulee tililtään lähteneen alkuperäisen summan, vaikka sieltä lähti haittaohjelman määrittelemä summa.
  15. Pankin järjestelmässä ei koskaan ollut periaatteessa mitään vikaa tai tietoturvapuutetta, vika oli käyttäjän koneessa. Pankin kannalta käyttäjä on myös itse hyväksynyt maksun omilla tunnuksillaan, joten sopimusehtojen mukaan uhri on itse vastuussa tapahtuneesta transaktiosta. (toistaiseksi pankit ovat kuitenkin monesti korvanneet vahingot)
Miten tämä sitten vältetään?
  1. Käyttämällä nettipankkia mahdollisimman turvalliselta koneelta
  2. Katsomalla saldotietoja välillä joltakin toiselta koneelta
  3. Käyttämällä maksujen tekstiviestivarmennusta tms, jos pankki sitä tukee (ja oikeasti lukemalla tekstiviestissä olevat maksutiedot ennen hyväksymistä. Tekstiviestissä näkyisi muokatun maksun tiedot olettaen, että hyökkääjä ei pysty modifioimaan myös tekstiviestejä - mobiililaitteissa tämäkin voi olla mahdollista....)

Ei kommentteja:

Lähetä kommentti