כותרות TheMarker >
    ';

    Professional

    הגיגים של יועץ אבטחת מידע, האקר, יועץ, איש עולם ה-corporate בעבר ועצמאי בהווה.

    טוב, אולי גם כמה דברים אישיים...

    ארכיון

    שוטרים וגנבים - על ההתמודדות הבלתי נגמרת עם גניבות מלקוחות בנקאות מקוונת - חלק א’

    0 תגובות   יום חמישי, 5/2/09, 22:10

    (פוסט זה נכתב בעקבות פרויקט מחקר שעשיתי עבור בנק אירופאי, שהינו למעשה בנק אינטרנטי.)

     

    מה רע?


    במהלך השנים האחרונות נעשו הונאות נגד לקוחות בנקאות באינטרנט לנפוצות ביותר, במדינה אירופאית בינונית שבה עבדתי, קרו מאות מקרים של גניבה מלקוחות הבנקים בשנה האחרונה, חלקם בהיקפים של עשרות ומאות אלפי דולרים, וההצלחה של הגנבים הולכת ועולה. מצב זה גורם לבנקים לחפש פתרונות טובים יותר לצמצום התופעה.


    פתרונות כמו התקנים שמציגים סיסמאות מתחלפות כבר אינם יעילים די הצורך, התקפות מסוג Man in the browser מצליחות בקלות יחסית להתמודד עם מערכות הזדהות כאלה. פתרונות שנחשבו פעם “חזקים” לא מסוגלים להתמודד עם תחכום ההתקפות.

    בסדרת פוסטים זו אנסה לפרט ולהסביר את הבעיה ואת דרכי ההתמודדות האפשריות.

     

    עם אילו התקפות אנו מתמודדים היום?


    קצת קשה להסביר את כל ההתקפות הנפוצות היום מבלי להיכנס להסברים טכניים, ולכן אנסה להציג אותן באופן פשטני, עם הפניות למקורות מעמיקים יותר, למי שירצה להבין יותר.
    בהסתכלות לאחור, ניתן לומר שהרוב המכריע של ההתקפות הנפוצות אינן מכילות המצאות חדשות, אלא בעיקר מהוות רעיונות ישנים שהבשילו לכדי טכנולוגיה מגובשת. כה מגובשת, עד כדי שהפשע המאורגן בכמה מקומות בעולם הפך אותן לתעשיה מאורגנת המייצרת תזרים מזומנים עקבי ויציב (למשל מקרה Russian Business Network). מנגד, מתקצבת תעשיה זו את ה”מחקר” וכתי הפורצים משתכללים כל העת, עד שכל חור אבטחה שמתגלה במערכות נפוצות, הופך מהר ליכולת התפשטות נוספת בידי הגנבים.

     

    פישינג (Phishing)

     

    על פי ויקיפדיה: “פישינג הוא ניסיון לגניבת מידע רגיש על ידי התחזות ברשת האינטרנט. המידע עשוי להיות, ביו היתר, שמות משתמש וסיסמאות או פרטים פיננסיים. פישינג מתבצע באמצעות התחזות לגורם לגיטימי המעוניין לקבל את המידע. לרוב שולח הגורם המתחזה הודעת מסרים מידיים או דואר אלקטרוני בשם אתר אינטרנט מוכר בה מתבקש המשתמש ללחוץ על קישור. לאחר לחיצה על הקישור מגיע המשתמש לאתר מזויף בו הוא מתבקש להכניס את הפרטים אותם מבקש המתחזה לגנוב. “


    הסיפור המעניין בפישינג הוא שהוא הפעם הראשונה המשמעותית שבה הבנקים הבינו שלא יוכלול לפתור את כל הבעיות באמצעות המערכות שלהם עצמם. אם בעבר הרחוק החשש העיקרי היה מפריצה למערכות הבנק עצמו, הרי שמרבית ההתקפות הקיימות נגד לקוחות בנקים מנצלות את חולשת הלקוח ולא את חולשת הבנק.
    לכאורה, האתגר של תקיפת לקוחות הבנק נשמע קשה במיוחד - האם אפשר לתקוף בכלל לקוחות של בנק מסוים? אם ההתקפה מבוססת על הפניית הלקוח לאתר מזויף, איך אפשר להגיע ללקוחות של בנק מסוים כדי להפנות את הלקוחות לאתר מזויף הדומה לזה של הבנק?
    התשובה העיקרית לכך מוכרת לכולנו ומציפה את תיבות הדואר שלנו - דואר זבל.


    כאשר שולחים דואר זבל, הרוב המכריע של הדואר נזרק לפח, אינו רלוונטי ואינו מעניין אף אחד (חוץ מלזהם את תיבות הדואר). אולם מספיק ששבריר אחוז ממליוני ההודעות שנשלחו יגרום לביצוע מכירה כדי לעשות את הפצת ההודעה לכדאית. בשיטה דומה (וגם בשיטות אחרות) פועלת הפצת כתובת אתר שקרי של בנק. התוקף שולח מיליוני הודעות מזויפות שמקורן הוא לכאורה הבנק, ומפתה את לקוחות הבנק להיכנס לאתר המזויף ולהשאיר שם את פרטיהם הסודיים.

     

    מכיוון שהתקפת פישינג משמשת לגניבת מידע, ומנצלת את זה שהלקוח מוטעה לחשוב שהוא מגיע לאתר של הבנק בעוד הוא מחובר לאתר אחר, מזויף, הוצעו כמה פתרונות להתקפות אלו:

    1. חינוך לקוחות הבנק - אם הלקוחות יבדקו את מקוריות האתר, באמצעות בדיקת התעודה הדיגיטלית שלו, הרי שיוכלו לדעת מתי הם מחוברים לאתר מזויף
    2. הוספת מנגנון בדיקה בדפדפן שיוכל לזהות שמדובר באתר מזויף ולהתריע בפני המשתמש.
    3. שימוש בסיסמאות מתחלפות לחיבור לאתר הבנק, כך שגם אם תיגנב הסיסמה של הלקוח, הרי שהסיסמה שנגנבה לא תוכל לשמש את הגנב להתחברות לאתר הבנק. סיסמאות מתחלפות מיוצרות באמצעות התקן חומרה אלקטרוני (Token) שמציג סיסמאות המתחלפות כל דקה או בכל לחיצה על כפתור, באמצעות רשימות של סיסמאות המודפסות על נייר או באמצעים אחרים דומים.

    אולם, מסתבר שטכנולוגיות הגנבים טובות יותר, והשיטות שהוצגו כבר אינן יעילות מספיק, ועל כך בהמשך…

     

    ההמשך מופיע בבלוג החדש (והפתוח שלי), כאן:

     

    שוטרים וגנבים - מישהו מתחבא במחשב שלי - חלק ב’

     

    דרג את התוכן:

      תגובות (0)

      נא להתחבר כדי להגיב

      התחברות או הרשמה   

      סדר התגובות :
      ארעה שגיאה בזמן פרסום תגובתך. אנא בדקו את חיבור האינטרנט, או נסו לפרסם את התגובה בזמן מאוחר יותר. אם הבעיה נמשכת, נא צרו קשר עם מנהל באתר.
      /null/cdate#

      /null/text_64k_1#

      אין רשומות לתצוגה

      פרופיל

      י ש י
      1. שלח הודעה
      2. אוף ליין
      3. אוף ליין

      תגיות

      Unprofessional

      My Google Reader Shared

      Securityfocus News