Sicherheit im E-Banking
19.09.2007 | Security-zone 2007 | Session N2 | Sicherheit im E-Banking | SEITE 1
�Security-zone 2007 – Session N2
Thema Wie sicher ist E-Commerce wirklich? Referent Oliver Wyler, IT Risk Manager Fachstelle Prozess- und IT-Sicherheit / IKS Migros Bank, Postfach 2552, 8021 Zürich http://www.migrosbank.ch
19.09.2007 | Security-zone 2007 | Session N2 | Sicherheit im E-Banking | SEITE 2
�Agenda
Kriminalität Angriffe gegen das E-Banking Risiken aus Sicht der Banken Massnahmen aus Sicht E-Banking Fazit
19.09.2007 | Security-zone 2007 | Session N2 | Sicherheit im E-Banking | SEITE 3
�Wirtschaftskriminalität auf das E-Banking
Kriminalität wird ausgeführt von Einzelpersonen Kriminelle Vereinigungen Staats- bzw. Geheimdienste Terror-Organisationen Delikte Technische Angriffe Missbrauch der Infrastrukturen Denial of Service Attacken Missbrauch etablierter Prozesse keine Bagatell- oder Kavaliersdelikte
19.09.2007 | Security-zone 2007 | Session N2 | Sicherheit im E-Banking | SEITE 4
�Motivation der Kriminellen
Bereicherung Gute Glaube (Finanzagenten) Diebstahl (Geld) Erpressung (Geld, Informationen) Spionage (Informationen) Anreize Freude an der Kompetenzsteigerung Rebellische Illegalitätstendenz Aufregungssuche/Prestige Bewusst Systeme (zer)stören
19.09.2007 | Security-zone 2007 | Session N2 | Sicherheit im E-Banking | SEITE 5
�Phishing (password harvesting fishing1)
Ziele Identitätsdiebstahl bei Online-Banking, Kreditkarten, OnlineAuktionen, etc. letztendlich um Geld zu entwenden verschiedene Formen typisch mittels gefälschter e-Mails vermehrt durch trojanische Pferde (Malware) Charakteristik Kunde fällt auf eine „Geschichte“ rein Kunde ist möglichst ahnungslos Sicherheit M-BancNet technische Sicherheit hoch Kunden-PC und Kundenverhalten nicht im Einflussbereich der Bank kein Schaden entstanden durch den Angriff vor einem Jahr
19.09.2007 | Security-zone 2007 | Session N2 | Sicherheit im E-Banking | SEITE 6
1) Passwort ernten/fischen
�Ausprägungen des Phishing1
Level 0 Benutzer erhält vertraute E-Mail mit Formularfeldern zur Eingabe seiner persönlichen Daten Level 1 Benutzer erhält vertraute E-Mail, die zu einer gefälschten Seite führt, die nicht dem Original gleicht Level 2 Benutzer erhält vertraute E-Mail, die zu einer gefälschten Seite führt, die dem Original gleicht Level 3 Benutzer erhält vertraute E-Mail, die zu einer gefälschten Seite führt, die dem Original gleicht und die GUI nachbildet Level 4 Benutzer erhält vertraute E-Mail, die Malware (z.B. Trojaner, Würmer, Viren) enthält
19.09.2007 | Security-zone 2007 | Session N2 | Sicherheit im E-Banking | SEITE 7
1) Quelle: https://www.a-i3.org
�Malware gegen E-Banking 1/3
Pharming-Tojaner1 modifizieren die Netzwerkeinstellungen derartig, so dass der Domänname einer Bank neue einer PhishingSeite zu geordnet wird. Ruft der Internetnutzer die URL seiner Bank auf, wird stattdessen die PhishingSeite angefragt.
0
1
Angreifer
0 3
www.migrobank.ch
3
DNS Server (lokal oder ISP)
1 2
'hosts'Datei
www.migrosbank.ch
Private Breitband-Router und Wireless Accesspoints werden ebenfalls gerne manipuliert
4
Kunde
19.09.2007 | Security-zone 2007 | Session N2 | Sicherheit im E-Banking | SEITE 8
1) Quelle: https://www.a-i3.org
�Malware gegen E-Banking 2/3
Abbruch-Tojaner1 warten bis eine Überweisung online getätigt wird und protokollieren die Eingaben des Benutzers. Nachdem der Benutzer zum Abschluss der Transaktion eine TAN eingeben hat, werden die Daten an den Phisher geschickt; der Benutzer sieht einen Hinweis, dass ein Fehler bei der Überweisung entstand. Missbrauch von Passwort/ Zusatzcode in Echtzeit
1
Angreifer
3
0
1 2
www.migrosbank.ch
Kunde
19.09.2007 | Security-zone 2007 | Session N2 | Sicherheit im E-Banking | SEITE 9
1) Quelle: https://www.a-i3.org
�Malware gegen E-Banking 3/3
Manipulations-Trojaner1 überschreiben den Überweisungsträger mit den Kontodaten des Phishers, nachdem der Benutzer die Überweisung bestätigt hat, aber bevor sie an die Bank geschickt wurde. 'Man-in-the-middle Attacke': Die Malware kann Zahlungen fälschen, Benutzende merken davon nichts
1
Angreifer
0
3
3
1 2
www.migrosbank.ch
Kunde
19.09.2007 | Security-zone 2007 | Session N2 | Sicherheit im E-Banking | SEITE 10
1) Quelle: https://www.a-i3.org
�Grobfunktion von E-Banking-Malware1
Ein Teil der aktuell aktiven Malware wird als Browser Extension oder als DLL-Injektion in den Speicherbereich des Browsers geladen Angreifer/Malware hat so Kontrolle über alles, was der Benutzer sieht oder eintippt (https bietet hier keinen Schutz) Beim Eintippen der Banken-URL wird ein Malware-Teil aktiv und lädt die spezifischen Komponenten für die angefragte Webseite von einem anderen Server nach Sicherheitssoftware wird deaktiviert oder umgangen (Beispiel: WindowsFirewall bei der letzten ricardo.ch Welle) Proxy-Funktion vorhanden, damit Angreifer über Rechner in der Schweiz den Datenfluss leiten können erschweren von Blockierungsversuchen bei den Banken Je nach Internet-Banking Lösung laufen die Angriffe dann unterschiedlich ab
19.09.2007 | Security-zone 2007 | Session N2 | Sicherheit im E-Banking | SEITE 11
1) Quelle: MELANI
�Der Kunden-PC wird grundsätzlich als unsicher bewertet
Die bis anhin bewährten Verhaltensregeln reichen aus Sicherheits1 überlegungen nicht mehr aus : Einspielen der aktuellen Patches Angreifende nutzen unbekannte Schwachstellen in den Applikationen Antiviren-SW: Erkennungsraten teilweise erschreckend schlecht, Tendenz weiter abnehmend! Personal-Firewall: Wird deaktiviert oder wenn der Browser infiziert wird bietet eine Personal Firewall keinerlei Schutz Eintippen der URL von Hand: Malware kontrolliert den Browser
19.09.2007 | Security-zone 2007 | Session N2 | Sicherheit im E-Banking | SEITE 12
1) Quelle: MELANI
�Minimale Erkennungsrate der Trojaner1
19.09.2007 | Security-zone 2007 | Session N2 | Sicherheit im E-Banking | SEITE 13
1) Quelle: http://www.virustotal.com
�Vorbereitungen Betrüger
Hacken von Server für die gefälschten Webseiten Einrichten der gefälschten Webseiten Akquisition der Finanzagenten „Kaufen“ der eMail-Adressen Erstellung Phishing-Mail auf deutsch „Kaufen“ von Bot-Netzen Taktiken gegen Spamfilter, Virenschutz, Phishing-Schutz „Online-Sein“ des Betrügers Kenntnisse über das E-Banking (Demozugang) Zeitnahe Instruktion an die Finanzagenten Fazit: organisierte Kriminalität Fazit: organisierte Kriminalität
19.09.2007 | Security-zone 2007 | Session N2 | Sicherheit im E-Banking | SEITE 14
�Finanzkuriere (Money Mules)
Finanzagenten
Geld von Phishern wird in Bar abgehoben und, meist per Western-Union-Überweisung, ins Ausland zu transferiert Dadurch verliert sich die Spur des Geldes. Der Phisher gelangt so völlig anonym an „sein“ Geld Finanzkuriere erhalten ca. 10% als Provision Strafrechtlich ist das Verhalten des Finanzkuriers (Vorsatz unterstellt) als Geldwäsche zu werten Zivilrechtlich bleibt der Geldkurier auf dem Schaden sitzen. Die überweisende Bank versucht das Geld zurückzubuchen, nachdem der Vorfall aufgeflogen ist
Neue Maschen
Stelleninserat F.A.Z. vom 14.10.2006
Dienstleistungen werden bestellt, Waren gekauft, Ferienwohnungen angemietet oder ein Lotteriegewinn ausgezahlt anschliessend wird der „irrtümlich“ überwiesene Betrag per Western-Union-Überweisung wieder zurückgefordert.
19.09.2007 | Security-zone 2007 | Session N2 | Sicherheit im E-Banking | SEITE 15
�Risiken aus Sicht der Banken
Reputationsschäden Durch Datenoffenlegung Durch Attacken (auch Falschmeldungen) Finanzielle Schäden E-Banking wird nicht mehr genutzt erhöhte operationelle Aufwände Direkte finanzielle Verluste auf den Konten Indirekte Aufwände für interne Abklärung und Konzeptarbeiten Schäden an der Gesamtwirtschaft z.B. Börsenmanipulationen (zurzeit nicht abschätzbar)
19.09.2007 | Security-zone 2007 | Session N2 | Sicherheit im E-Banking | SEITE 16
�Massnahmen aus Sicht E-Banking
Starke gegenseitige Authentisierung zur zweifelsfreien Feststellung der Identitäten der beteiligten Partner Fraud Detection wird eingesetzt, um Abnormitäten im Benutzerverhalten zu erkennen und durch weitere Massnahmen Folgeschäden zu minimieren. Selbsteinschränkung durch Kunde (Fraud Prevention) Mittels Transaktionssignierung bzw. Übermittlungsverifikation kann die Manipulation einzelner oder mehrere Transaktionen durch Malware oder „man in the middle“-Attacken erkannt oder allenfalls verhindert werden. Kapselung des E-Bankings über sichere Kanäle (z.B. entkoppelte Verifikationsgeräte) Pseudonymisierung der Kundendaten vor dessen Übertragung DOS Attacken bleiben jedoch nach wie vor ein Problem
19.09.2007 | Security-zone 2007 | Session N2 | Sicherheit im E-Banking | SEITE 17
�Fazit E-Banking Sicherheit
Alle Banken haben ein grosses Interesse, dass das Vertrauen der Bevölkerung in das E-Banking erhalten bleibt
Wir bauen das sichere Auto, fahren müssen die Kunden selbst
19.09.2007 | Security-zone 2007 | Session N2 | Sicherheit im E-Banking | SEITE 18
�Fragen
19.09.2007 | Security-zone 2007 | Session N2 | Sicherheit im E-Banking | SEITE 19
�Dankeschön
19.09.2007 | Security-zone 2007 | Session N2 | Sicherheit im E-Banking | SEITE 20
�