Najpopularniejsze błędy i metody ataków na aplikacje bankowe. Rafał Gołębiowski Senior Security Officer, Bank BGŻ BNP Paribas S.A.

Podobne dokumenty
Jak postępować w przypadku fałszywych wiadomości ?

Bezpieczne logowanie to nie wszystko. Jak nie wpaść w pułapkę cyberprzestępców

Aplikacja Getin Mobile

Instrukcja pierwszego logowania do Mobilnego Banku. Strona 1

Bezpieczna bankowość efirma24

Instrukcja użytkownika. Aplikacja mysafety Mobile i mysafety e-sticker_wersja WSTĘP... 2

Bezpieczna bankowość ekonto24

Phishing kradzież informacji

Bezpieczeństwo systemu ebanknet w Banku Spółdzielczym w Brańsku

Usługa skanowania podatności infrastruktury IT Banków oraz aplikacji internetowych

INSTRUKCJA OTWARCIA RACHUNKU ALIOR TRADER PRZEZ INTERNET

Aplikacja mobilna Nasz Bank

Bank Spółdzielczy w Suszu Spółdzielcza Grupa Bankowa. Aplikacja mobilna. Nasz Bank. Przewodnik Użytkownika. system operacyjny Android

KEVIN SAM W BANKU SGB ZAGROŻENIA ZWIĄZANE Z BANKOWOŚCIĄ INTERNETOWĄ

Panel Administracyjny Spis treści:

Cyberbezpieczeństwo w świecie płatności natychmiastowych i e-walletów. Michał Olczak Obserwatorium.biz Warszawa,

Obowiązuje od r.

Aplikacja Getin Mobile

Instrukcja aktywacji aplikacji Mobile Biznes

Poniżej przykładowa treść. W Państwa przypadku wskazany będzie inny link aktywacyjny oraz numer ID użytkownika.

Instrukcja Użytkownika

Wniosek w trybie PL. W pierwszym oknie można przeczytać, jak wygląda proces oraz wybrać sposób zawarcia umowy.

1/12. Podręcznik użytkownika bankowości korporacyjnej

TELEFONEM DZIĘKI IKO MOBILNE

Instrukcja użytkownika tokena mobilnego (mtokena) systemu KBI

PROCEDURY LINK4. INSTRUKCJA PŁATNOŚCI KARTĄ, BLIK i TubaPay

WSTĘP. Szanowni Państwo, Witamy bardzo serdecznie w gronie internautów, użytkowników systemów informatycznych przez Internet.

Agenda. Rys historyczny Mobilne systemy operacyjne

Adobe Connect Instalacja Adobe Flash Player

Instrukcja wiązania bankowości internetowej z aplikacją mobilną mtoken Asseco MAA (w przypadku autoryzacji za pomocą tokena lub sms-a)

Warszawa, 22 marca Wstęp

INSTRUKCJA OTWARCIA RACHUNKU ALIOR TRADER DLA KLIENTÓW ALIOR BANKU

Instrukcja składania wniosku on-line na PIU (na przykładzie wniosku o ustalenie prawa do świadczenia wychowawczego 500+)

INSTRUKCJA UŻYTKOWNIKA usługi ebanknet oraz Bankowości Mobilnej PBS Bank

Instrukcja użytkownika tokena mobilnego (mtokena)

Moduł do płatności mobilnych najprostszy sposób zatwierdzenia płatności w komórce

Bezpieczna bankowość elektroniczna

PODSUMOWANIE ATAKÓW PHISHING SZYBKIE PŁATNOŚCI

NIEAUTORYZOWANE TRANSAKCJE ZASADY I GŁÓWNE PROBLEMY ANALIZA RZECZNIKA FINANSOWEGO

Uzyskanie zaświadczenia o niekaralności przez internet

Instrukcja logowania i realizacji podstawowych transakcji w systemie bankowości internetowej dla klientów biznesowych BusinessPro.

Instrukcja instalacji aplikacji TNS mobistat. Smartfon Android. Help Desk

Bezpieczeństwo serwisu Oney24.pl

Przewodnik dla Użytkownika

Namierz Dziecko. Instrukcja do Strony. Wersja 1.6. Cyliński Piotr

Złośliwe oprogramowanie Sandrorat (podszywające się pod oprogramowanie Kaspersky) na platformę Android WYNIKI ANALIZY

PHISHING CZYLI JAK SIĘ ŁOWI HASŁA W INTERNECIE

PROCEDURY LINK4 INSTRUKCJA PŁATNOŚCI KARTĄ oraz BLIK za polisy komunikacyjne

INSTRUKCJA KORZYSTANIA Z APLIKACJI GOPAY NA URZĄDZENIA MOBILNE

Instrukcja użytkownika

KLIENCI WYKORZYSTUJĄCY PO RAZ PIERWSZY APLIKACJĘ MOBILNĄ MTOKEN

Przewodnik dla użytkownika. Instrukcja korzystania z aplikacji mobilnej mtoken Asseco MAA

ibosstoken Proces obsługi (wydawania, personalizacji i korzystania) Tokena mobilnego do systemu BOŚBank24 iboss

S P I S T R E Ś C I. Instrukcja obsługi

ATAKI NA SYSTEMY KOMPUTEROWE POZNAJ SWOJEGO WROGA. opracował: Krzysztof Dzierbicki

VENUS-BEAUTY.pl. Instrukcja obsługi procesu zamówienia

gat=u4cqsatwc2tanmqf&highlo=tlxocyd9yote3exqclr1phbfsoi

Przewodnik dla Użytkownika

PekaoBIZNES 24 Instrukcja obsługi dla Klienta Instalacja komponentu podpisu elektronicznego

PRZEWODNIK UŻYTKOWNIKA WYCIĄGI ELEKTRONICZNE

UWAGA : hasło jest jednorazowe i ważne tylko 1 godzinę i tylko w tej sesji. Po zalogowaniu wyświetli się okno z listą Twoich wniosków:

W ZMIENIAJĄCYM SIĘ ŚWIECIE

Instrukcja instalowania aplikacji TNS mobistat. Smartfon Android. Help Desk

Szczegółowy wykaz zmian w dokumentach

Instrukcja instalacji nos niko w USB w bankowos ci Alior Banku

Wersja dokumentu: Data: 28 kwietnia 2015r.

System Bankowości Internetowej ABS 24 - AUTORYZACJA za pośrednictwem kodów SMS -

Podręcznik Google. Cloud Print. Informacje o usłudze Google Cloud Print. Drukowanie przy użyciu usługi Google. Cloud Print.

do podstawowych zasad bezpieczeństwa:

Instrukcja wejścia na lekcje on-line

Instrukcja korzystania z aplikacji mobilnej mtoken Asseco MAA

Millenet to takie proste! 3. 5 kroków do systemu Millenet 4. Definiowanie telefonu dla H@sełSMS i aktywny dostęp do usługi 5

Agenda. Urządzenia mobilne w transakcjach elektronicznych. - szanse i zagrożenia. Artur Maj, Prevenity. Przegląd rynku urządzeń mobilnych

FAQ. Dotyczące nowej bankowości mobilnej.

Aplikacja kliencka na Tablety z systemem Android. Instrukcja instalacji

Wniosek Dobry Start pytania i odpowiedzi

Instrukcja instalowania aplikacji TNS mobistat. Tablet. Help Desk

Miesięczne bilety komunikacji miejskiej

Nasze cyfrowe bezpieczeństwo K O N R A D P O S T A W A

Instrukcja instalowania aplikacji TNS mobistat. Tablet. Help Desk

BANK ZACHODNI WBK S.A. SPÓŁKA AKCYJNA CZŁONEK ZARZĄDU BANKU

Bezpieczeństwo serwisu Oney24.pl

Zadbaj o swoje bezpieczeństwo w internecie

SQL z perspektywy hakera - czy Twoje dane są bezpieczne? Krzysztof Bińkowski MCT,CEI,CEH,ECSA,ECIH,CLFE,MCSA,MCSE..

Niektóre typowe cechy wiadomości typu phishing to:

PRZEWODNIK PO SERWISIE BRe BROKERS Rozdział 8

Silne uwierzytelnianie dla klienta indywidualnego

Client-side Hacking - wprowadzenie w tematykę ataków na klienta. Radosław Wal radoslaw.wal@clico.pl

GSMONLINE.PL. Darmowe Orange WiFi Darmowe Orange WiFi. Jeśli lubisz nasze newsy to polub także nasz profil na Facebooku - KLIKNIJ TUTAJ

Pierwsze kroki w systemie

Z usługi można korzystać jednocześnie na kilku urządzeniach. Jakość sygnału dostosowuje się do prędkości łącza.

ZAŁĄCZNIK 2. Specyfikacja Techniczna Oprogramowania Billon

Kupuj i płać bezpiecznie w Internecie

Ale po co mi pieniądze?


Mazowiecki Elektroniczny Wniosek Aplikacyjny

INSTRUKCJA OBSŁUGI. Pakietu Bezpieczeństwa UPC (ios) Radość z. każdej chwili

Jak...zarejestrować się w serwisie OB10

Instrukcja aktywacji tokena w usłudze BPTP

Karta Warszawiaka. Przewodnik po aplikacji mobilnej. KartaWawa

Transkrypt:

Najpopularniejsze błędy i metody ataków na aplikacje bankowe Rafał Gołębiowski Senior Security Officer, Bank BGŻ BNP Paribas S.A. 1

Agenda 1. #whoami 2. Najpopularniejsze wektory ataków na bankowość 3. Zagrożenia - Aplikacje Webowe 4. Zagrożenia - Aplikacje Mobilne 5. Przykładowe Ataki na Aplikacje Mobilne 6. Przykładowe Ataki typu Phishing 7. Przykładowe Ataki na Aplikacje WWW 8. Rekomendacje 9. Podsumowanie 10. Pytania? 11. Kontakt 2

# whoami 3

# whoami Doświadczenie Firma wytwarzająca AV na urządzenia mobilne, firma wytwarzająca oprogramowanie, firma konsultingowa, bank Konferencje w ktorych bralem udzial: SecureTech Congress GigaCon Network Security Congress GigaCon Internet Banking Security IT Security Trends GigaCon Systems Security & Reliableness inne 4

Najpopularniejsze wektory ataków na bankowość 5

Najpopularniejsze wektory ataków na bankowość 6

Zagrożenia - Aplikacje Webowe 7

Aplikacje webowe 8

Zagrożenia - Aplikacje Mobilne 9

Aplikacje mobilne 10

Przykładowe Ataki na Aplikacje Mobilne 11

Aplikacje mobilne Wyłudzanie poświadczeń poprzez specjalnie dedykowaną aplikację 12

Aplikacje mobilne Kompromitacja bankowości mobilnej poprzez aktualizację systemu operacyjnego Program przeszukuje telefon i sprawdza, czy użytkownik korzysta z bankowości mobilnej. W bazie szkodnika zapisanych jest 68 banków, pod które może się podszyć. W momencie, gdy użytkownik uruchamia aplikację banku, wirus wyświetla okno z prośbą o podanie loginu i hasła. Okno to wyświetla się nad uruchomioną aplikacją banku, powodując jej przysłonięcie. W efekcie wygląda to tak, jakby aplikacja bankowa żądała informacji. Wirus jest w stanie przechwytywać komunikaty SMS z kodami autoryzacyjnymi. Program wyłudza również numery kart płatniczych poprzez generowanie specjalnych komunikatów proszących o podanie wrażliwych informacji. ZBP zwraca uwagę na jeszcze jedną nietypową funkcję wirusa: program potrafi poprosić użytkownika, by zrobił sobie zdjęcie twarzy wraz z widocznym dokumentem tożsamości. Prawdopodobnie dane te zostaną później wykorzystane do otwierania kont w różnych serwisach. 13

Aplikacje mobilne Malware GMBot GMBot rozprowadzany jest głównie poprzez fałszywe strony służące do oglądania filmików. Najczęściej podszywa się pod aktualizację programu Adobe Flash Player lub aplikację PornTube. Podczas instalacji prosi o nadanie praw administratora, aby móc monitorować otwierane aplikacje oraz łączyć się z siecią WiFi. Po wgraniu jej na telefon aplikacja zaczyna monitorować aktywne procesy. GMBot potrafi: Przekierowywać połączenie i SMS-y przychodzące na inny numer Wykradać dane karty kredytowej z Google Play Wysyłać pełną historię przeglądarki na serwer zarządzający Przesyłać listę wszystkich aplikacji zainstalowanych na telefonie Przesyłać wszystkie SMS-y na serwer zarządzający Wysyłać SMS-y do ofiary, aby zachęcić do zalogowania się na konto bankowe 14

Aplikacje mobilne Nakładka na aplikacje mobilną Wirus atakuje smartfony z systemem operacyjnym Android. Można paść jej ofiarą nawet po zainstalowaniu aplikacji z oficjalnego sklepu Google. Obecnie wirus podszywa się na przykład pod jedną z aplikacji do sprawdzania kursu kryptowalut. Po jej pobraniu na zainfekowanym telefonie i włączeniu aplikacji mobilnych kilku polskich banków, można zobaczyć nakładkę, podszywająca się pod właściwą aplikację bankową. Możliwości wirusa Przejęcie kontroli nad urządzeniem Wykonywanie i podsłuchiwanie połączeń telefonicznych Wysyłanie i odbieranie SMSów 15

Przykładowe Ataki typu Phishing 16

Phishing Dostałeś takiego SMS-a? Chcą Cię okraść! W ten sposób oszuści poganiają klienta, by szybko zalogował się na stronie i uregulował zaległość. Żądają drobnej kwoty, by uśpić czujność ofiary, bowiem większe stawki wzbudziłyby podejrzenia. Po kliknięciu w link użytkownik trafia na stronę internetową wyglądającą tak, jak klasyczna bramka płatnicza. Oczywiście nie zgadza się adres, ale nie każdy zwróci na to uwagę. Po wybraniu swojego banku ofiara zostanie przekierowana do kolejnej fałszywej strony tym razem wyglądającej jak strona banku. Zostanie tam poproszony o wpisanie loginu i hasła. 17

Phishing Fałszywe wiadomości o zablokowanym koncie W mailu pojawia się link, który kieruje na stronę, imitującą stronę banku. Na pozór link wygląda identycznie, jak ten prawdziwy. Jednak po jego kliknięciu, nie zgadza się adres strony internetowej. Podejrzenia powinna zbudzić tez domena, z której wysyłana jest fałszywa wiadomość Celem jest wyłudzenie danych 18

Phishing Pilne zalogowanie do systemu transakcyjnego W informacji podany jest link, który kieruje na fałszywą stronę banku. Jest ona niemal identyczna jak oryginał, ale różni się ważnym szczegółem: nie zgadza się adres strony internetowej. Nie zgadza się także domena z której wysłano fałszywą wiadomość. Po wejściu na stronę klient proszony jest o wpisanie loginu i hasła do bankowości internetowej. Jeśli je poda, dane te trafią w ręce złodziei, którzy będą mogli wejść na konto i przygotować przelew zewnętrzny. 19

Przykładowe Ataki na Aplikacje WWW 20

Ataki na aplikacje WWW Zablokowano stronę internetową Banku Rosji 21

Ataki na aplikacje WWW Kto odpowiada za włamanie na konto? Bank przegrywa w sądzie Pieniądze przechowywane na rachunku bankowym przechodzą na własność banku, a wyłudzenie tych środków nie powinno oznaczać, że szkodę poniesie posiadacz konta 22

Rekomendacje 23

Rekomendacje Zgodność z OWASP Top10 (OWASP ASVS) dla aplikacji WWW Zgodność z OWASP Mobile Periodyczne testy penetracyjne Prowadzenie kampanii uświadamiającej użytkowników Monitorowanie tzw Threat Landscape Inne 24

Podsumowanie 25

Podsumowanie Lwia część udanych ataków na pieniądze klientów banków pocchodzi bezpośrednio lub pośrednio przez phishing Bezpieczeństwo środków bankowych to odpowiedzialność zarówno banku jak i właścicieli środków Bank był, jest i będzie zawsze atrakcyjnym celem dla hakerów Bank wdrażając systemy bezpieczeństwa, które ograniczają wygodę użytkowników robią to dla ich dobra (np. Wymuszanie zmiany hasła) Każdy upubliczniony udany atak na bankowość to cios w reputację banku, bez względu na to czy wina leżała po stronie klienta czy banku 26

Pytania? 27

Pytania? 28

Kontakt 29

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres