Терминальные бреши: взлом сетей платежных терминалов – «Хакер»

Как все начиналось

Содержание:

Первое что пришло в голову — нагуглить как можно больше контор, которые занимаются написанием софта для платежных терминалов и посмотреть наличие программ, описаний протоколов и исходников на их сайтах. Предупреждаю заранее — по понятным соображениям некоторые детали взломов в статье опущены, названия платежных систем могут совпадать с существующими, за что заранее дико извиняюсь.

Признаюсь честно, для досконального изучения платежных систем и их протоколов оплаты мне потребовалось немало времени. Покопавшись в результатах поиска гугла, я получил увесистый список web-адресов. После подробного изучения их содержимого, передо мной вырисовывалась довольно четкая картина, точнее схема, по которой проходит платеж от клиента до оператора сотовой связи или поставщика коммунальных услуг (далее всех буду называть просто “Поставщик услуг”).

 

Общий расклад.

Все платежи делятся на онлайн и оффлайн. Онлайн — это платеж, который поступает до поставщика услуг незамедлительно, через Интернет. Оффлайн — это платежи, которые накапливаются в базе данных платежной системы, и, в определенные промежутки времени отправляются на сервер поставщика услуг. Кроме того, некоторые поставщики принимают только бумажные реестры. То есть обмен происходит непосредственно при участии человека и поставщика услуг. Онлайн-платежами, как правило, оперируют операторы сотовой связи, в то время как коммунальщики предпочитают получать платежи «оптом» один раз в сутки-двое. Сама по себе концепция онлайн-платежа уже небезопасна, потому как, проводя такие платежи в
большом количестве, работникам платежных систем меньше всего их получается разгребать. Зато в случае коммунальных платежей, перед отправкой их гораздо проще проверить на существование соответствующего запроса на терминале.

Искать баги в ресурсах поставщиков было бы бессмысленно. Времени уходит уйма, а результат можно получить более простым способом. Доверяя проведение платежей на плечи платежных систем, поставщик не рискует абсолютно ничем. Живые деньги поступят ему в любом случае, а ошибки и возможность взлома – это уже проблемы посредников. Таким образом, для того, чтобы, например, пополнить баланс на сотовом телефоне, совсем не обязательно иметь доступ к оператору связи. Достаточно получить доступ к одной из платежных систем, которые позволяют совершить платеж в пользу этого оператора.

Как правило, начинающие платежные системы подходят к вопросу безопасности в последнюю очередь, делая акцент на скорости и удобстве сервиса. Поэтому, при выборе жертвы, стоит в первую очередь обратить внимание на молодые компании. Хотя никто не говорил, что Гиганты платежной индустрии не содержат ошибок в системах безопасности. Очень часто происходит как раз наоборот… Возьмем, к примеру, недавний случай с небезызвестной конторой «ОСМП» (Объединенная Система Моментальных Платежей). Центральный сервер, к которому обращаются тысячи терминалов России, Казахстана, и, возможно, других стран был
DOS/DDOS-атакой
обезоружен на несколько суток банальной. Я, правда, не в курсе, воспользовался ли кто-нибудь ситуацией в своих корыстных целях или просто похулиганили, но атака была и это остается фактом.

Связь терминала с сервером происходит по GPRS/GSM-каналу и, как правило, посредством технологии XML-RPC. Некоторые даже додумываются навешивать SSL-защиту, но чтобы она действительно оправдывала себя, протокол, во-первых, должен быть закрытым, во-вторых – передаваемый пакет должен шифроваться также средствами программы, а в-третьих, сервер должен не только предоставлять свой корневой сертификат, но также требовать клиентский. Не буду голословным и приведу примеры.

У того же ОСМП протокол передачи открыт, то есть, шифровать пакет на выходе из программы уже не имеет смысла. Получать его реверс-инженерингом будет только извращенец. Но их сервер не требует клиентского сертификата, то есть отправить запрос может любой желающий, правильным образом сформировавший пакет. Да, твой канал при передаче будет защищен, но кого это интересует, если для взлома нужны только идентификационные данные. Ведь получить их при большом желании не составит труда. Здесь и Социальная Инженерия и НЛП и банально Хакинг тебе в помощь.

Еще одну интересную брешь я нашел сразу в двух молодых конторах. В ответ на мой POST-запрос, сервер послал меня в сторону HTTPS явным проявлением в содержимом ошибки IIS-ного акцента. Как известно, по умолчанию IIS-сервер устанавливает центр выдачи сертификатов в каталог /CertSrv/Default.asp, последовав в который, я, в три клика, получил свой собственный клиентский сертификат. Кстати, после этого мне удалось получить доступ даже к ASPX-страница для проведения платежей и их просмотра, правда на одном из ресурсов страница была защищена паролем, получить который мне так и не посчастливилось.

Большинство платежных систем ставят на свои серверы Windows 2000/2003 Server, чем уже совершают большую ошибку. Но те, кто принимает платежи в MySQL-базу на Linux-сервере, при этом, держа на борту Apache+PHP, совершают еще большую ошибку. Не мне тебя учить, как пользоваться SQL-Injection, а ведь это очень простой и верный способ получить огромное количество необходимых данных для проведения платежей, имитируя платежный терминал.

 

Ищем дыры

При поиске дыр в защите платежной системы- жертвы первое, что стоит сделать – это сканирование портов и web-контента. На открытых портах зачастую можно найти интересные самописные сервисы для проведения платежей, администрирования терминалов. Ведь ни один работник не будет работать круглосуточно вместе с платежными терминалами. Программеры и сисадмины придумывают различные примочки удаленного управления для собственного удобства. Зачастую они даже не задумываются о защите, надеясь, что никто не подумает их ломать.

К некоторым портам можно попробовать ломануться по telnet, но как показывает практика, в основном такие сервисы работают по технологии XML-RPC, а это означает, что порт может только принимать и отправлять POST-запросы. Как узнать структуру запроса и его содержимое? Можно попробовать просканить веб-содержимое на чтение. Многие пишут свои сервисы с использованием asp-страниц, которые требуют своих исходников в тех же каталогах. Если администратор в последнюю очередь думает о правах доступа, есть большая вероятность прочитать исходники asp-сценариев, что при грамотном использовании может помочь составить XML-запрос. Кстати, подобные дыры были зафиксированы даже у достаточно крупных платежных
систем!

Web-контент лучше исследовать вручную + сканером. В качестве сканера лично мне больше всего нравится XSpider. Открою секрет, совсем недавно мне по спутниковой рыбалке прилетела бесплатная версия 7.5 от Zeromag Lab, так что ищите да обрящите :).

 

Три реальных взлома

 

Взлом CyberPlat

Как показало исследование, платежная система CyberPlat принимает платежи во многих странах, и, их сайты хостятся на одном сервере. Проверить это достаточно просто. Достаточно ввести доменное имя или IP-адрес в поисковый запрос на www.domainsdb.net.

Интересная картина получается:

1. cybercheck.ru [whois] IP: 0.0.0.0 dns: ns.cyberplat.ru | proxy.cyberplat.com
2. cyberplat.ru [whois] IP: 213.33.161.9 dns: ns.demos.su | ns.cyberplat.ru
3. cyberpos.ru [whois] IP: 0.0.0.0 dns: ns.cyberplat.ru | proxy.cyberplat.com
4. cybercard.ru [whois] IP: 0.0.0.0 dns: ns.cyberplat.com | ns.cyberplat.ru
5. gribov.ru [whois] IP: 0.0.0.0 dns: ns.cyberplat.com | ns.cyberplat.ru
6. pinsale.ru [whois] IP: 0.0.0.0 dns: ns.cyberplat.com | ns.cyberplat.ru
7. platina.ru [whois] IP: 0.0.0.0 dns: ns.cyberplat.ru | ns.platina.ru
8. rodnoe-pole.ru [whois] IP: 0.0.0.0 dns: ns.demos.su | ns.cyberplat.ru
9. rodnoepole.ru [whois] IP: 0.0.0.0 dns: ns.demos.su | ns.cyberplat.ru

Читайте также:  Как пополнить счет PayPal через телефон: пошаговая инструкция

Домены зарегистрированы, но недоступны. Скорее всего, их оставили для личного пользования. Но это не так важно. Остальные сайты в других странах показали в роли первичного DNS – cyberplat.com, а вторичным стоял cyberplat.ru. Это могло означать только то, что центральный сервер один, но на нем хостится несколько CyberPlat-сайтов для разных стран. Пинговались они, кстати, тоже по одному айпишнику.

Сканирование и ручное исследование показало, что лучше оставить эту идею и покопаться в другом месте. Тогда был по-быстрому сгенерирован другой способ.

Нагуглив в кармане немного денежных средств, я дошел до ближайшего CyberPlat-овского терминала, закинул на мобильник чисто символическую сумму и получил квитанцию. Оказалось, что владельцем терминала был далеко не CyberPlat, а совсем левая контора, которая выступала просто-напросто дилером. Дилерские программы – это основа распространения платежных терминалов. Контора покупает автомат, ставит на своей территории и, с проведенных платежей, получает свой процент.

Недолго думая, я позвонил по контактному телефону, указанному на квитанции и попросил их дать свой e-mail, якобы для отправки мифического коммерческого предложения.

Через несколько минут письмо от администрации сервиса CyberPlat полетело жертве на ящик (не для кого ведь не секрет, как подделывается адресат). В письме не было ничего особенного. Стандартная история о смене оборудования на сервере и т.п., в связи с чем, просим выслать ваши регистрационные данные, которые нам просто жизненно необходимы, чтобы ваш терминал не заткнулся :).

Послушные овцы прислали мне все свои регистрационные данные через пару часов. После этого был сгенерирован XML-файл, который полетел POST-запросом на сервер платежной системы.

Кстати, на их сайте лежит не только все описание протокола, но и исходники программы устанавливаемой на стороне терминала, а также ее скомпилированная версия.

 

Взлом QuickPay

Программистам этой конторы я вообще поражаюсь. Сделали красивый дизайн на флеше, а об отладке своей проги по-моему вообще не думают. Открою тебе небольшой секрет – при определенных комбинациях действий на сенсорном экране терминала, программа вылетает, даже не выдав ошибку. Причем здесь интересен еще один момент. Все сенсорные мониторы на сегодняшний день поддерживают несколько режимов:

  1. Click on touch
  2. Click on release
  3. Drag and click
  4. Drag and double click

Это как минимум… То есть, сам понимаешь, что можно отключить все возможности кроме простого нажатия по нарисованным кнопкам. Но ведь нет же! Квалифицированные мастера сервисного обслуживания и не подумали ничего отключать. Наверное, посчитали, что тогда им будет неудобно обслуживать терминалы!

Таким образом, мне удалось на разных терминалах этой конторы получить доступ к рабочему столу (да, не удивляйся, там стоит обычная винда, вопреки тому, что на сайте написано Linux), Моему Компьютеру и, каталогу с программой со всеми вытекающими последствиями.

 

Взлом ОСМП

С этой конторой пришлось немного попотеть. Просканировав порты, nmap нащупал открытый и нефильтруемый pptpd-демон на стандартном 1723 порту. Так как для подбора пароля у нас существует “THC Hydra”, дело оставалось за именами пользователей. База данных пользователей PPTP очень часто не имеет ничего общего с базой данных пользователей сервера, но далеко не всегда. Зачастую Василий Пупкин создает одного и того же пользователя vasya везде, где только возможно. Поэтому, получив версию Apache-демона, я вспомнил про старую уязвимость с определением имен пользователей через web-доступ. Через несколько минут эксплойт был готов к работе.

Эксплойт отработал удачно и нашел двух пользователей – root и alex. Дальше за дело принялась Hydra. Я зарядил несколько увесистых словарей и подготовил скрипт для генерирования словарей имитирующих посимвольный перебор, но до них дело так и не дошло. Все вышло как нельзя проще. Пароль для alex-а был очень простой и даже находился где-то в начале словаря.

Что было дальше, думаю, не стоит рассказывать. Еще немного поработав, я получил доступ к базе терминалов и успешно слил несколько аккаунтов. Пароли, конечно, были хешированы, но их расшифровывать я не стал.

Естественно, я даже и не рассчитывал остаться незамеченным, но пока страждущие админы несколько дней закрывали дыру, мне удалось провести добрую порцию платежей.

 

Стоит ли овчинка выделки?

Сам факт получения чего-то нахаляву уже заставляет человека совершать какие-то телодвижения. Главное в этом деле не жадничать и помнить про Уголовный Кодекс. Но зато какой результат… Я думаю, оно стоит того. Подумать только — ты можешь проводить практически любые платежи абсолютно бесплатно нажатием нескольких кнопок в твоей самописной программе.

Хочу сразу предупредить — все вышеописанное в статье было заранее сообщено администраторам платежных систем, которые в свою очередь поспешили прикрыть дыры.

И еще — за все проведенные тобой платежи ты будешь отвечать по полной программе сам и только сам. Автор и администрация журнала к твоим деяниям не имеют никакого отношения.

Полную версию статьи
читай в февральском номере Хакера!

 

Покажи эту статью друзьям:

Журнал «Хакер»

Теги: Взлом Статьи Межсайтовый скриптинг в ManageEngine Applications Manager← Ранее В интернете уже 163 миллиона сайтовДалее →

Microsoft начал продажу ключей активации для Microsoft Office 2007 через платежные терминалы

Корпорация Microsoft начала продажу ключей активации для Microsoft Office 2007 через плат…12.11.2008 36 сек на чтение

  • Подозрительные микротранзакции могут свидетельствовать о брешах в безопасности

    Волна несанкционированных микротранзакций захлестнула в последнее время владельцев кредит…03.12.2008 12 сек на чтение

  • Analyzer-а обвиняют в воровстве еще десяти миллионов долларов

    Уровень претензий правосудия к скандально известному по взлому компьютеров Пентагона хаке…26.03.2009 9 сек на чтение

  • Вирусный маркетинг стал вирусным буквально

    Два дня назад на сайте alfastrah.ru появилось так называемое «пасхальное яйцо» — если кли…27.11.2008 2 мин на чтение

  • Заключенный взломал компьютерную сеть тюрьмы

    Френсис Яноско, 42-летний американец, обвиняется во взломе компьютерной сети окружного ис…10.11.2008 6 сек на чтение

  • Взлом метро: копирование и подделка билетов метрополитена

    Знакомо ли тебе желание разгадать все загадки да вскрыть все защиты Московского Метрополи…06.02.2009 2 мин на чтение

    Мультикассовый взлом: изучаем платежные терминалы

    Сегодняшним нашим пациентом стал один из платежных терминалов, которых, как ты, наверное, …25.05.2007 2 мин на чтение

  • В Питере судят расхитителя платежей

    Главным следственным управлением при ГУВД по Петербургу и Ленобласти окончено расследовани…15.05.2007 6 сек на чтение

  • Модная девелоперская контора

    Взломы «бывают разные – черные, белые, красные», ради денег, престижа, интереса, от скуки …27.08.2007 4 мин на чтение

  • Атака на букмекеров

    Если ты читаешь эту статью, то наверняка словосочетание «компьютерный взлом» не является д…05.09.2007 3 мин на чтение

  • ICQMoney: IM кошелек

    Каждый из нас общается в Интернете, мы не представляем свою жизнь без ежедневного, хоть са…19.11.2007 1 мин на чтение

  • Взлом транспорта: Орех 4.0 в российских условиях

    Сравнительно недавно на экраны кинотеатров вышел фильм «Крепкий орешек 4.0». Одним из наиб…26.09.2007 1 мин на чтение Открыть комментарии

    Способ 1 – Обман покупателей

    Главная причина, почему доверяют платежной системе PayPal – наличие программы защиты покупателей, которая обеспечивает им безопасность при покупке товаров. В случае обмана со стороны продавца, например, если заказ не дошел, пришел с браком или не соответствовал описанию на сайте интернет-магазина или торговой площадки, пэйпал вернет средства обратно на счет покупателя.

    Читайте также:  Предоставляем PayPal паспортные данные - это безопасно

    Все это выглядит весьма заманчиво, не правда ли? Можно смело делать покупки и не волноваться об обмане, так как в случае чего деньги вы не потеряете. Логически это так. Однако и на PayPal появились мошенники, которые нашли способ обойти эту систему защиты и удачно обманывают людей.

    Наиболее популярным методом обмана является обход спора на таких площадках как Алиэкспресс или Ebay. Если у покупателя возникли какие-то претензии по поводу того, что товар пришел некачественный либо и вовсе не дошел, то он открывает спор, чтобы вернуть свои деньги. Аферисты предлагают все завершить полюбовно и перечисляют деньги не через систему торговой площадки, а напрямую через PayPal.

    Вроде бы, кажется, ситуация закончилась благополучно. Проблема разрешилась, вы получили свои деньги обратно, спор закрыт. А знаете в чем загвоздка? В том, что деньги шли напрямую через платежную систему, минуя торговую площадку, а потому нет никаких упоминаний, что это возврат за некачественный товар. И продавцу ничто не мешает через некоторое время затребовать перечисленную сумму обратно, объясняя это тем, что он якобы перевел ее за какой-то товар, который вы ему не прислали. И некоторые нечистые на руку торговцы этим пользуются. И вы ничего не сможете с этим сделать. Платежка не примет ваши объяснения по поводу возврата денег за недоставленный заказ, ну а, например, тот же Алиэкспресс позволяет спор открыть только один раз. И раз вы его уже закрыли, то считается, что проблема решена окончательно. Потребовать заново свои деньги вы не сможете.

    Способ 2 – Обман продавцов

    Если вы выступаете не в роли покупателя, а как продавец, то вам тем более следует быть осторожными. Мошенники нашли лазейку в правилах PayPal и научились использовать программу защиты покупателей в своих интересах. Обычно используются следующие схемы:

    1. Запрос на возврат денег.

      После получения товара покупатель отправляет запрос по поводу того, что он ничего не получил и требует деньги вернуть обратно. Обычно таким образом действуют, приобретая нечто «эфемерное», доставку чего продавцу будет сложно доказать. Например, при покупке игрового аккаунта или криптовалюты.

      Через некоторое время после совершения сделки продавец получает уведомление от платежной системы о том, что деньги с его счета списаны и возвращены покупателю. Если вы оказались в такой вот ситуации, то доказать, что вас развели, будет сложно и вряд ли удастся.

      Иногда точно такая же схема применяется по отношению к вполне осязаемым товарам, которые можно получить по почте. Покупатель точно также подает на возврат средств. И самое удивительное, что пэйпал безоговорочно переводит ему эти деньги. Приходится потратить время и нервы, чтобы доказать, что заказ был получен, а потому вы имеете полное право на эти деньги. Мошенники делают расчет на то, что не каждому захочется трепать себе нервы, особенно, если вещь стоит копейки. Кроме того, если товар дешевый, то некоторые продавцы отправляют без трек-номера, а значит, и доказать ничего не смогут.

    2. Покупка товара при личной встрече с оплатой через PayPal.

      Будьте осторожны, если у вас хотят купить при личной встрече либо говорят «мой друг подъедет, заберет» и при этом готовы оплатить через пэйпал. Если вы согласитесь на такое предложение, ничего не мешает мошеннику затем потребовать возврат уплаченных средств якобы потому, что продавец не выполнил свои обязательства.

      Если вы пересылали товар почтой, то у вас, по крайней мере, есть документы, которые вы можете переслать техподдержке платежной системы и доказать, что деньги списывать с вашего счета они не имеют права, а потому вам все вернут. Если же вы передадите заказ лично, то никаких доказательств того, что покупатель получил его, у вас нет. Ну а на слово вам не поверят.

    Покупая либо продавая что-либо с оплатой через пэйпал, будьте осторожны! Да, платежная система обеспечивают защиту покупателям и продавцам, однако она не так надежна, как хотелось бы. Мошенники нашли у нее уязвимые места и лазейки для своих афер. Как бы ни хотелось признавать, но обман на PayPal случается довольно часто. Слова о безопасности и надежности этой платежки – миф. Поэтому будьте бдительны, совершая денежные переводы через нее!

    Предыдущая
    статья
    Следующая
    статья

    Классификация и способы

    Методы взлома онлайн-банкинга, аналогичны методам взлома любого веб-приложения:

    • Фишинг. Рассылка спама или публикация на форумах ссылок на ресурсы, имитирующие платёжный интерфейс банка. Если жертва переходит по такой ссылке, у нее выманивается пароль и другая идентификационная информация, необходимая для совершения транзакции с ее счета. Для блокирования этой атаки не рекомендуется переходить по прислаемым или опубликованным на посторонних сайтах ссылкам – только прямой набор адреса или переход из закладок с проверкой наличия защищенного режима браузера (использование протокола HTTPS с правильным написанием имени банка в сертификате).
    • Кража личных индентификаторов (личности). В системах веб-банкинга обычно выполняется аутентификация по паролю, перехват которого позволяет инициировать некоторые действия. Кроме того, в веб-приложениях есть возможность воровства куки (идентификатора сессии), что при определенных обстоятельствах позволяет злоумышленнику вмешаться в сессию легитимного ранее авторизованного пользователя. Правда, банки сейчас используют достаточно сложные системы аутентификации, использующие различные коды подтверждения. Однако при определенных обстоятельствах они могут быть перехвачены, что позволяет злоумышленникам при определенных обстоятельствах инициировать несанкционированные транзакции. Обычно для этого используются вредоносные программы, которые работают на устройстве пользователя и вмешиваются в работу программы-клиента. Для защиты от такого способа нападения рекомендуется устанавливать антивирусные программы и использовать квалифицированные сертификаты с генерацией подписи на внешнем устройстве.
    • Взлом веб-сайта банка. Поскольку онлайн-банк – это веб-приложение, то в нем могут быть ошибки, которые позволяют с помощью специально подготовленных ссылок или внедренных JavaScript манипулировать с интерфейсом приложения. Цель такого манипулирования в том, чтобы либо перенаправить деньги на другой счет, либо навязать какие-нибудь посторонние транзакции, либо даже блокировать интерфейс и требовать выкуп за возврат контроля над ним. Если не переходить по ссылкам из непроверенных источников и не открывать онлайн-банка после посторонних сайтов, то можно избежать подобной атаки. Со стороны банка рекомендуется провести аудит кода веб-приложений на предмет классических ошибок веб-приложений.
    • Социальная инженерия. Собственно, злоумышленники могут использовать в том числе и обман, чтобы заставить вас совершить ненужную вам транзакцию. Например, зафиксированы случаи, когда злоумышленники, представившись сотрудниками ИТ-департамента банка, просили сгенерировать “тестовые” транзакции якобы для отладки приложения. При этом даже не обязательно нарушать работу банковского приложения – неподготовленный к такой атаке сотрудник может сделать все самостоятельно без необходимости взлома приложения или перехвата контроля над приложением. Для защиты от подобных атак лучше всего не доверять контроль над корпоративным счётом одному человеку, но разделять полномочия по подготовке транзакций, проверке их корректности и исполнению различным сотрудникам, хотя бы один из которых должен иметь квалификацию в информационной безопасности.
    •  DDoS-атака. Злоумышленники могут вывести из строя онлайн-банк. Например, если удалить секретный ключ сертификата, то клиент не сможет подключиться к банку. Вывод из строя веб-сайта обычно используется для скрытия другой атаки, чтобы атакованый клиент не мог заметить воровства денег и не попытался заблокировать несанкционированную транзакцию. Поэтому если веб-интерфейс оказался недоступен, то это повод попытаться проверить состояние своего счета другим способом – возможно ваш клиент заблокирован специальным вредоносом.

    Жертвы взлома онлайн-банка

    Основным объектом воздействия в данном случае является веб-приложение банка – именно его атакуют злоумышленники, пытаясь подделаться под легитимную транзакцию. Однако банки и их сотрудники уже достаточно квалифицированы как в информационных технологиях, так и в ИБ. Поэтому хакеры обычно атакуют слабое звено – клиентов или их компьютеры. В большинстве случаев, это оказывается более эффективно, чем атаковать информационную систему банков. Впрочем, вполне возможна атака на банк через клиента – с помощью вставки вредоносного кода во вполне легальную и предсказуемую переписку банка с клиентом.

    Читайте также:  How to Buy Bitcoin with Paypal

    Пользователю клиента онлайн-банка важно понимать что происходит с приложением, когда совершается транзакция – любые подозрительные действия приложения стоит расценивать как попытку мошенничества. Рекомендуется не вводить идентификационной информации в подозрительные формы, проверять надежность HTTPS-соединения и контролировать вредоносную активность других приложений. Также стоит иметь второй фактор идентификации, не зависимый от веб-приложения, например, получение одноразовых паролей по SMS. Кроме того, стоит открывать приложение из закладок, а не по ссылкам из присылаемых сообщений.

    Источники атак на онлайн-банки

    Злоумышленники охотятся за идентификационными данными банковских веб-приложений, чтобы попытаться получить доступ к деньгам клиентов, которые таким приложением пользуются. Проблема усугубляется тем, что изначально протокол HTTP не был рассчитан на создание защищённых приложений – в основном для показа отдельных страниц. Механизмы, обеспечивающие целостность транзакций и сессий, появились в нем недавно и являются не обязательными расширениями. В частности, куки, которые как раз и предназначены для сохранения информации о сессиях, являются не обязательными для браузеров. В то же время воровство этого идентификатора позволяет злоумышленникам вмешаться в работу приложения и совершать несанкционированные действия – разработчикам сайтов необходимо иметь это в виду при разработке приложений.

    При этом средства защиты на стороне банка могут потребовать достаточно больших ресурсов. Даже простой переход всего сайта банка на защищённый вариант протокола HTTPS является сложной задачей, требующей преобразования сайта, не говоря уж о нагрузке, которую создаёт шифрование при его массовом использовании. Традиционно, защищают только наиболее критичные места веб-приложений, а большая часть сайтов банков остаётся незащищённой. Современные браузеры имеют визуальные метки для оценки защищённости соединения, и пользователи должны бы за ними следить.

    В то же время всплывающие окна и другие элементы веб-интерфейса не всегда имеют визуальную атрибутику самого сайта – пользователь не может гарантировано определить к какому сайту какое окно относится, что позволяет злоумышленникам открыть поверх сайтов банков собственные запросы идентификационной информации, которые визуально сложно отличить от легитимных. Обман пользователя с помощью манипуляций с веб-интерфейсом и создаёт угрозу для веб-приложений, требующих защиты от утечки важной информации. Именно в этой плоскости идёт соревнование между разработчиками приложений, которые пытаются предложить пользователям новые инструменты защиты от манипуляций веб-интерфейсом, и хакерами, придумающими новые методы обхода этих инструментов. Наиболее эффективным инструментом сейчас является выход за пределы веб-интерфейса с помощью SMS-уведомлений и контрольных звонков, но хакеры уже начинают адаптировать и эти механизмы для своих целей.

    Анализ риска

    Собственно, защита онлайн-банка нужна с двух сторон – от самого банка и от клиента. Основная цель защиты со стороны банка – выявить и блокировать манипулирование со своим веб-приложением и передаваемым трафиком. Лучше всего для этого использовать защищённый протокол HTTPS, для чего стоит установить обратный прокси, который будет заниматься расшифровкой трафика пользователей. Иногда такие прокси также выполняют функции надёжной аутентификации пользователей, идентификации устройств и выполняют функции Web Application Firewall (WAF). Они же могут выполнять задачи балансировки нагрузки, оптимизации загрузки приложения и другие, не связанные прямо с безопасностью, но полезными для оптимизации веб-приложений. Хорошей практикой является предложение клиентам технологии двухфакторной аутентификации с помощью специальных аппаратных токенов, распознавания лиц и голоса, одноразовых паролей, присылаемых по SMS, и других методов. Лучше если клиент может самостоятельно выбрать для себя наиболее удобный и приемлемый по стоимости метод дополнительной аутентификации.

    Отдельно стоит упомянуть о механизмах проверки на манипулирование средой исполнения браузера. Для этого можно использовать, например, технологию SSL-антивируса – специального скрипта, сканирующего окружение пользователя на предмет обнаружения вредоносной активности. Кроме того, можно фиксировать отпечаток оборудования, с которого пользователь загружает веб-приложение. Если он заходит с устройства, которое раньше не использовал, то стоит попросить его пройти дополнительную проверку и указать это устройство как собственное. Некоторые производители средств защиты предлагают подобные инструменты контроля пользовательской среды исполнения веб-приложения.

    Для клиентов важно обеспечить защиту от вредоносной активности – проверять своё устройство антивирусом, работать с сайтом банка в защищённом режиме, а лучше вообще из браузера с минимальным набором дополнений, также не лишним будет использование двухфакторно аутентификации, при которой злоумышленник не сможет войти в онлайн-банк даже при краже пароля. Она может быть постороена на разных технологиях – токены, биометрия, смс-коды, OTP.  Стоит также каждый раз не лениться и проверять правильность написания имени банка в сертификате HTTPS, а также конструкцию URL, чтобы она не была слишком сложной и обременённый дополнительными параметрами – это позволяет сделать любой браузер. А некоторые антивирусы могут выполнять эту работу за клиента и предлагают подключаться к сайтам банков с проверкой их подлинности. Например, такой режим у “Лаборатории Касперского” называется “Безопасные платежи”. Следует отметить, что клиент отвечает за свои деньги, поэтому стоит выбирать банки, которые заботятся о безопасности своих веб-приложений: имеют дополнительные функции по строгой двухфакторнуой аутентификации, предлагают механизмы контроля среды исполнения, работают полностью в защищённом режиме, то есть используют в своей работе инструменты, которые описаны выше в этом разделе.

    Банковский троян Ramnit удвоил свою активность за несколько месяцев
    Инциденты Банковский троян Ramnit удвоил свою активность за несколько месяцев Мобильный банковский троян Asacub начал масштабные атаки
    Инциденты Мобильный банковский троян Asacub начал масштабные атаки Secure Bank Mobile SDK защитит мобильные банковские приложения
    Инциденты Secure Bank Mobile SDK защитит мобильные банковские приложения Фрод победить нельзя, нужно научиться с ним жить
    Аналитика Фрод победить нельзя, нужно научиться с ним жить Безопасность онлайн-платежей. Так ли они опасны?
    Аналитика Безопасность онлайн-платежей. Так ли они опасны?

    Подборка всех материалов об этой угрозе »

    Средства защиты

    Антиспам Антифишинг

    Самые распространенные приемы обмана кошелька Qiwi

    Можно выделить несколько наиболее популярных способов того, как обхитрить платежную систему. Сразу следует уточнить, что все они связаны с рядом серьезных рисков:

    1. Любая попытка обмана кошелька, даже неудавшаяся, влечет за собой уголовную ответственность и тюремный срок.
    2. Неэффективность технологий, описываемых в интернете. Изначально они направлены на то, чтобы вытянуть деньги из доверчивых пользователей. Но в итоге обманутым оказывается не платежный сервис, а клюнувшие на крючок мошенников люди.
    3. Даже если вам реально удастся провернуть аферу, этот способ «заработка» не продлится долго. Всего лишь до того времени, пока правоохранительные органы не начнут вас искать. А найдут вас быстро, и дальше – см. пункт № 1.

    Теперь рассмотрим приемы обмана Киви кошелька более подробно.

    Фиктивный сбой в программном обеспечении Qiwi: удвоение суммы

    Самый привлекательный для доверчивых пользователей системы способ обойти ее защиту, на самом деле является обычной мошеннической схемой. Преступники предлагают отправить на определенный кошелек деньги, которые спустя время должны удвоиться. При этом они настоятельно рекомендуют не посылать большие суммы, пытаясь завоевать доверие.

    Мошенник

    После того как человек делает перевод, в большинстве случаев, на этом взаимодействие мошенников и их жертвы прекращается. За редким исключением, первый платеж может действительно удвоиться и к вам на счет, но если вы поддадитесь на провокацию и отправите еще денег, то можете с ними попрощаться. Здесь вы ознакомитесь более детально из способом получения “халявных денег”.

    Источники

    • https://xakep.ru/2008/03/28/43001/
    • https://loxotrona.net/ostorozhno-paypal-moshenniki/
    • https://www.anti-malware.ru/threats/online-bank-hacking
    • https://earn24.ru/kak-obmanut-kivi-koshelek-ili-terminal/

    [свернуть]
    Помогла статья? Оцените её
    1 Звезда2 Звезды3 Звезды4 Звезды5 Звезд
    Загрузка...