Peníze! COMMUNICATION WEDNESDAY 4. listopadu 2015 Osobní bezpečnost na internetu Karel Miko, DCIT, a.s. miko@dcit.cz
O čem bude příspěvek? o penězích o penězích v online světě o krádežích peněz o krádežích peněz v online světě o krádežích a praní peněz v online světě 2
On-line banking fraudy / 1 Pravděpodobně první co nás napadne, kde bychom mohli přijít o peníze Internet banking, mobile banking, tele-banking Útoky nejčastěji směřují na klienty Škála útoků poměrně široká Phishing (sociální inženýrství) Credential stealing Man-in-the-browser & co. (MITB, MITM, MITMo, BITB) Cross-channel útoky Útoky na mobilní platformy (viz předchozí prezentace) Různé autentizační metody činí útoky různě náročné Jméno heslo SMS OTP, SW OTP, SW PKI (či jiná kryptografie) HW: OTP, čipová karta (dříve SIM toolkit, kalkulátory ) 3
On-line banking fraudy / 2 Bankovní malware ZeuS legenda Následovníci: SpyEye Citadel Dridex Hesperbot aj. Velmi sofistikovaný, často velmi obtížně odhalitelný, z technického hlediska mistrovský kousek, spojený s organizovaným zločinem, lze koupit jako SaaS S odhalením nové mutace dobrého bankovního malware má problém i odborník, laik bez šance Dovede pokořit i velmi sofistikované autentizační a autorizační metody (jako např. čipová karta) Obvykle to začíná jedním špatným klikem Malware není k útoku nezbytně nutný (phishing, MITM) 4
On-line banking fraudy / 3 Zranitelnost autentizačních metod: SMS OTP phishing, mobile malware HW OTP phishing, MITB / MITM SW cokoli MITB / malware (v počitači či mobilu) Čipová karta MITB, speciální trojan/malware Oběti Běžný uživatel (často náhodná oběť) VIP uživatel (spear phishing + navazující kroky) Firmy (externí útočník + malware) Firmy (insider spíše ve velkých firmách) 5
Fraudy s platebními kartami / 1 Šance, že přijdete o peníze zneužitím platební karty je o řád vyšší než útokem přes internetové bankovnictví Počet fraudů 1 : 20 (IB : Karta) Objem fraudu 1 : 15 (IB : Karta) Data z UK-2014, v ČR? Karetní fraudy celosvětově: 2014: 16 mld.$, 2010: 7 mld.$, 2005: 4 mld.$ Zdroj: nilsonreport.com Procento z objemu transakcí je dlouhodobě < 0.1% Organizovaný zločin, je skutečně organizovaný 6
Fraudy s platebními kartami / 2 Typové rozložení (ECB-2014) 66% CNP (card not present) 20% POS (terminál u obchodníka) 14% ATM (bankomat) Fraudy CNP Spadají sem veškeré on-line platby Rostou a porostou Fraudy ATM / POS Nástup čipových karet (EMV) výrazně snížil objem fraudů tohoto typu (v Evropě) 7
Fraudy s platebními kartami / 3 Útoky Stolen cards (virtuálně: BIN + CVV) phishing, telefon, e-mail, obecně internet, hotely, restaurace.. Skimming / klonování (ATM, hotely, restaurace) Stolen cards (fyzicky ukradené karty) Úniky informací o kartách od zpracovatelů či poskytovatelů služeb Krádež identity + zneužití "uložené" platební karty Sofistikované útoky (zneužití EMV karty bez znalosti PINu, cinknuté POS terminály) 8
Ostatní on-line fraudy / 1 Nemusí jít přímo o peníze (ale nepřímo) např. obchodování s akciemi / komodity / deriváty Pump & dump + variace Nemusí jít o peníze nýbrž o krypto peníze např. Bitcoin (anonymní svým způsobem ) Umět zaplatit Bitcoinem se občas hodí i běžnému uživateli (ransomware) Žádný charge-back, krádež/ztráta je nevratná 9
Ostatní on-line fraudy / 2 Oběť často sama pošle peníze na účet útočníka Obvykle v návaznosti na sociální inženýrství Podvody: nigerijské dopisy, fiktivní výhry Obětí fraudu se můžete stát i případě, že přijímáte bezhotovostní platbu Chtěl odesílatel poslat peníze skutečně Vám? 10
Praní peněz Také se může do fraudu zapojit jako bílý kůň Podivné inzeráty na snadný přivýdělek Přeposílání peněz (money mule) součást internet banking fraudů Přeposílání zásilek (parcel mule) součást karetních fraudů (adresa v ČR sice není úplné terno, ale patří spíše mezi ty lepší destinace) 11
Budoucnost? Objem on-line plateb/transakcí poroste Potenciální kořist bude čím dál větší Budeme uklidňováni, že fraudů je pouze <0.1% Přijdou inovované metody fraudů Nezastaví se to 12
Diskuze Otázky? 13