Organizacje świadczące usługi finansowe są najczęstszym celem hakerów – tych wysoce wyspecjalizowanych i dysponujących najbardziej zaawansowanymi narzędziami. Częste luki w zabezpieczeniach sektora finansowyego są zaś skutkiem ubocznym krytycznych wymagań biznesowych branży i – niestety – nie da się im zapobiegać tradycyjnymi metodami. Szczególne zagrożenie stanowi wiązanie rachunków bankowych, kont zakupowych i usług telekomunikacyjnych z rozwiązaniami fintech – od programów lojalnościowych, przez agregatory finansowe czy funkcje płacenia rachunków.
Na skróty:
Fintech i Credential Stuffing
Technikę Credential Stuffing wykorzystują cyberprzestępcy, którzy kupili lub ukradli ogromną liczbę danych: par login/hasło. Następnie – wykorzystując automatyzację – używają przejęte dane uwierzytelniające do logowania się w aplikacjach innych organizacji, niepowiązanych z tą, która była celem pierwotnego ataku.
W takich sytuacjach cyberprzestępcy przeprowadzają ataki np. za pośrednictwem rozwiązań typu fintech, takich jak program lojalnościowy, agregator finansowy czy funkcja płacenia rachunków. Aby skorzystać z tego rodzaju bezpłatnych usług, abonenci muszą najpierw „powiązać” swoje konta w banku, sklepie, hotelu, linii lotniczej, u dostawcy usług telekomunikacyjnych itp., podając dostawcy usługi fintech nazwę użytkownika i hasło do każdego z nich. Fintech następnie próbuje programowo zalogować się na każde konto. Jeśli abonent podaje poprawną nazwę użytkownika i hasło, zostaje utworzone powiązanie. Następnie fintech wykorzystuje automatyzację do wielokrotnego logowania się na konto i przechwytywania treści – czasami nawet tysiące razy dziennie.
Konta do testu kanarka (Canary Accounts)
W tej technice cyberprzestępcy testują pary login/hasło na podstawie skradzionych lub zakupionych danych uwierzytelniających o wskaźniku udanego logowania od 0,1 do 3,0%. Następnie używają tej samej infrastruktury do kilkukrotnego logowania się na jedno lub więcej kont, które wykazują 100% wskaźnik powodzenia logowania. Skutkuje to zwiększonym wskaźnikiem udanego logowania dla wszystkich transakcji z tej samej infrastruktury. Powoduje to, że systemy obserwujące ruch w organizacjach nie zauważają anomalii związanych z nieudanymi logowaniami, a w ślad za tym nie wykrywają wszystkich ataków.
Wyliczanie kont – sposób na weryfikację poprawności danych uwierzytelniających
Ta technika ataku na aplikację służy do potwierdzania, czy nazwa użytkownika odpowiada prawidłowemu kontu. Jeśli nie, cyberprzestępca zyskuje pewność, że użycie hasła spowoduje nieudane logowanie. Wśród aplikacji będących częstym celem tego rodzaju ataków są mechanizmy „przypomnij nazwę użytkownika, ID lub hasło” – jeśli przestępcy mogą zobaczyć komunikat dotyczący tego, że np. nazwa użytkownika/hasło nie są prawidłowe, stanowi to poważną lukę w zabezpieczeniach, ponieważ daje im wyraźną informację zwrotną co do prawidłowości danych.
Zautomatyzowane ataki na mechanizm „utwórz konto” – fikcyjna tożsamość
W Shape Security Intelligence Center często obserwujemy przypadki użycia automatyzacji do ataków na aplikację „utwórz konto”. Dotyczy to zwłaszcza tych organizacji świadczących usługi finansowe, które są wykorzystywane do prania pieniędzy. Mechanizm działa podobnie do wyliczania, choć celem jest tworzenie i utrzymywanie fałszywych tożsamości.
DLACZEGO TRADYCYJNE ZABEZPIECZENIA NIE DZIAŁAJĄ?
Tradycyjne zapory Web Application Firewalls (WAF), śledzą warstwę aplikacji, która daje zbyt mało informacji potrzebnych do niezawodnego wykrywania zaawansowanej automatyzacji. Realna ochrona wymaga dziś zbierania dodatkowych sygnałów, wynikających m.in. z gromadzenia behawioralnych danych oraz badania środowiska przeglądarki/urządzenia.
Większość wdrożeń uwierzytelniania dwuskładnikowego (2FA) polega na tym, że klient przesyła nazwę użytkownika i hasło, a jeśli są poprawne, to jest proszony o podanie drugiego składnika uwierzytelnienia. Gdy wprowadzone przez atakującego dane są nieprawidłowe, drugi składnik uwierzytelniania nie jest aktywowany, a wysyłany jest komunikat o błędzie. Jest to informacja dla atakującego, czy poświadczenia są poprawne. Konto nie zostaje przejęte, ale prawidłowość danych uwierzytelniających jest potwierdzona i mogą być sprzedane hakerom, którzy specjalizują się w pokonywaniu 2FA[1].
Ponadto, 2FA to ważne zabezpieczenie, ale stosowane na dużą skalę jest drogie i stwarza klientom problemy. I choć utrudnia przejęcie konta (ATO), to nie zawsze zapobiega atakom typu Credential Stuffing.
CAPTCHA. Na rynku funkcjonują dziesiątki firm oferujących za niewielką opłatą obejście tego zabezpieczania przy użyciu optycznego rozpoznawania znaków (OCR), uczenia maszynowego, a nawet farm kliknięć z ludźmi rozwiązującymi CAPTCHA. Ponadto, ten mechanizm wywołuje u klientów niechęć prowadzącą do porzucania sesji, co skutkuje utratą przychodów, a jeszcze CAPTCHA nie powstrzymuje botów.
Dan Woods, wiceprezes Shape Security Intelligence Center, F5
[1] np. poprzez SIM swapping, włamania do SS7, złośliwe oprogramowanie iOS/Android albo socjotechnikę
