Pirater des comptes bancaires
- Thread starter lolo2733
- Start date
Teacher
Professional
- Messages
- 2,670
- Reaction score
- 815
- Points
- 113
Pirater une banque en ligne
Piratage d'une banque en ligne - accès aux comptes en argent des citoyens à l'aide de logiciels malveillants ou d'activités frauduleuses via un accès non autorisé au système bancaire à distance (RBS).
Les banques essaient d'offrir à leurs clients des mécanismes efficaces de gestion des comptes et des comptes personnels, il est pratique d'organiser les interactions financières entre les clients et leurs contreparties. Pour cela, des applications web spéciales sont en cours de développement, qui permettent de manipuler les actifs stockés dans la banque. Un ensemble de services Web qui permettent non seulement de recevoir des informations de référence sur les comptes, mais également de donner des instructions à la banque sur les flux de trésorerie est appelé banque en ligne.
Cependant, la vitesse à laquelle les nouveaux produits sont lancés peut jouer un rôle négatif. Si lors du développement d'une application web une attention suffisante n'a pas été accordée à la sécurité, alors des attaquants extérieurs pourraient bien interférer avec le travail de la banque en ligne et voler ses clients. Ainsi, le piratage de la banque en ligne est l'exécution de transactions non autorisées par des cybercriminels pour le compte du client.
Dans le même temps, la banque a une influence limitée sur le client en termes de garantie de sécurité. Par exemple, il ne peut pas enseigner aux gens comment stocker correctement les mots de passe des systèmes bancaires en ligne ou des certificats électroniques, rechercher des logiciels malveillants sur leurs ordinateurs et détecter d'autres activités indésirables. Par conséquent, les accords avec la banque indiquent généralement que le client est responsable du non-respect des exigences de sécurité, ce qui, à son tour, ne permet pas à ce dernier de recevoir une compensation pour les pertes suite à des incidents de sécurité de l'information. Par conséquent, les entreprises et les particuliers, lorsqu'ils choisissent une banque avec possibilité de service à distance, doivent vérifier quels outils de protection ils peuvent leur fournir.
Classification et méthodes de piratage d'une banque en ligne
Les méthodes de piratage des services bancaires en ligne sont similaires aux options de piratage de toute application Web:
1. Hameçonnage. Les attaquants envoient du spam ou publient des liens vers des ressources sur les réseaux sociaux qui imitent l'interface de paiement de la banque. Si la victime suit un tel lien, le mot de passe et les autres informations d'identification nécessaires pour effectuer la transaction depuis son compte sont trompés. Pour bloquer cette attaque, il est recommandé de ne pas cliquer sur les adresses Web envoyées ou publiées sur des sites Web tiers - uniquement la saisie directe d'URL ou à partir de signets vérifiant une connexion sécurisée (en utilisant le protocole HTTPS avec l'orthographe correcte du nom de la banque dans le certificat).
2. Vol d'identifiants personnels (identité). Dans les systèmes bancaires en ligne, l'authentification par mot de passe est généralement effectuée, dont l'interception vous permet d'initier certaines actions. En outre, dans les applications Web, il existe la possibilité de voler des cookies (identifiants de session), ce qui crée une opportunité potentielle d'interférer avec la session d'un utilisateur légitime qui était connecté au système plus tôt. Bien sûr, les banques utilisent désormais des systèmes d'authentification complexes avec des mots de passe à usage unique, mais dans certaines circonstances, de tels codes peuvent être interceptés. En règle générale, cela se fait à l'aide de logiciels malveillants qui s'exécutent sur l'appareil de l'utilisateur. Pour se protéger contre ce type d'attaque, il est recommandé d'installer des programmes antivirus et d'utiliser des certificats qualifiés avec la génération d'une signature sur un périphérique externe.
3. Piratage du site Web de la banque. Étant donné que la banque en ligne est une application Web, elle peut contenir des erreurs qui permettent de manipuler l'interface de l'application à l'aide de liens spécialement préparés ou de scripts JavaScript intégrés. Le but d'une telle manipulation est de rediriger de l'argent vers un autre compte, d'imposer une sorte de transactions superflues ou même de bloquer l'interface et d'exiger une rançon afin de reprendre le contrôle de celle-ci. Si vous ne suivez pas les liens provenant de sources non vérifiées et n'ouvrez pas une banque en ligne après des sites tiers, vous pouvez éviter une telle attaque. Il est recommandé à la banque de vérifier le code de l'application Web pour les erreurs.
4. Ingénierie sociale. Les attaquants peuvent inciter la victime à commettre une transaction inutile. Par exemple, il y a eu des cas où des cybercriminels se sont présentés comme des employés du service informatique d'une banque et ont demandé de générer des transactions de «test», apparemment pour déboguer l'application. Dans le même temps, il n'est même pas nécessaire de perturber le fonctionnement du programme bancaire: un employé qui n'est pas prêt pour une telle attaque peut tout faire tout seul. Pour se protéger contre de telles attaques, il est préférable de ne pas faire confiance à une seule personne pour contrôler le compte de l'entreprise: déléguez le pouvoir de préparer les transactions, de vérifier leur exactitude et de les exécuter à différents employés, dont au moins un doit être bien familiarisé avec la sécurité de l'information.
5. Attaque DDoS. Les attaquants peuvent désactiver la banque en ligne, notamment pour masquer une autre attaque afin que le client ne puisse pas remarquer le vol d'argent et n'essaye pas de bloquer une transaction non autorisée. Par conséquent, si l'interface Web n'est pas disponible, vous devriez essayer de vérifier l'état de votre compte d'une autre manière - peut-être que votre application cliente a été bloquée par un agent malveillant spécial.
Victimes de piratage des services bancaires en ligne
Le principal objet d'influence dans ce cas est l'application Web de la banque. Cependant, les organismes de crédit et leurs employés sont déjà hautement qualifiés (à la fois en technologie de l'information et en sécurité de l'information), de sorte que les pirates attaquent généralement le maillon faible - les clients ou leurs ordinateurs. Dans la plupart des cas, ces opérations sont plus efficaces que l'impact sur le système d'information de la banque. Cependant, une attaque contre une banque via un client est tout à fait possible - par exemple, en insérant un code malveillant dans une correspondance totalement légale et prévisible avec elle.
Il est important que l'utilisateur du programme client de banque en ligne comprenne ce qu'il advient de l'application lors d'une transaction: toute action suspecte doit être considérée comme une tentative de fraude. Il est recommandé de ne pas saisir d'informations d'identification sous des formes suspectes, de vérifier la fiabilité de la connexion HTTPS et de surveiller l'activité d'autres applications. Il vaut également la peine d'avoir un deuxième facteur d'authentification indépendant de l'application Web - par exemple, recevoir des mots de passe à usage unique par SMS. De plus, il vaut la peine d'ouvrir l'application à partir de signets et de ne pas suivre les liens des messages envoyés.
Sources d'attaques contre les banques en ligne
Les attaquants recherchent les informations d'identification des applications bancaires en ligne afin d'essayer d'accéder à l'argent des clients. Le problème est aggravé par le fait qu'au départ, le protocole HTTP n'était pas conçu pour créer des applications sécurisées - il était principalement utilisé pour afficher des pages individuelles. Les mécanismes garantissant l'intégrité des transactions et des sessions sont des extensions nouvelles et facultatives. Il s'agit notamment de cookies, spécialement conçus pour stocker des informations sur les sessions de communication. Dans le même temps, voler ces identifiants permet aux attaquants d'interférer avec l'application et d'effectuer des actions non autorisées. Les développeurs de services bancaires en ligne doivent garder cela à l'esprit.
Dans ce cas, les moyens de protection du côté de la berge peuvent nécessiter des ressources très importantes. Même une simple transition d'un site entier vers une version sécurisée du protocole HTTPS est une tâche difficile, sans parler de la charge que crée le cryptage lorsqu'il est utilisé à grande échelle. Traditionnellement, la protection n'est étendue qu'aux endroits les plus importants des applications Web, et le reste (parfois la plupart) reste non protégé. Les navigateurs modernes disposent d'indices visuels pour évaluer la sécurité d'une connexion et les utilisateurs doivent les surveiller.
De plus, les fenêtres contextuelles et d'autres éléments de l'interface Web n'ont pas toujours les attributs visuels du site lui-même - l'utilisateur ne peut pas déterminer de manière fiable à quel site appartient la fenêtre, ce qui permet aux attaquants d'ouvrir leurs propres demandes d'informations d'identification sur les pages des banques, qui sont difficiles à distinguer visuellement des pages légitimes. Tromper l'utilisateur en manipulant l'interface Web constitue une menace pour les applications Web qui nécessitent une protection contre la fuite d'informations importantes. C'est dans ce plan qu'il y a une concurrence entre les développeurs d'applications qui tentent d'offrir aux utilisateurs de nouveaux outils de protection, et les hackers qui proposent de nouvelles méthodes pour contourner ces outils. La méthode la plus efficace est maintenant d'aller au-delà de l'interface Web en utilisant des notifications SMS et des appels de test, mais les pirates commencent déjà à adapter ces mécanismes à leurs propres fins.
Analyse de risque
Vous devez protéger une banque en ligne de deux côtés: la banque elle-même et le client. L'objectif principal de la protection de la banque est d'identifier et de bloquer les tentatives de manipulation de l'application Web et du trafic transmis. Il est préférable d'utiliser le protocole HTTPS sécurisé pour cela, pour lequel il vaut la peine d'installer un serveur proxy inverse qui décryptera le trafic utilisateur. Parfois, ces serveurs proxy remplissent également les fonctions d'authentification utilisateur et d'identification des périphériques fiables, et exécutent les fonctions de pare-feu d'application Web (WAF). Ils peuvent également résoudre des problèmes d'équilibrage de charge, d'optimisation du chargement des applications et d'autres qui ne sont pas directement liés à la sécurité, mais sont utiles pour optimiser les applications Web. Il est recommandé d'offrir aux clients une technologie d'authentification à deux facteurs utilisant des jetons matériels spéciaux, une reconnaissance faciale et vocale, des mots de passe à usage unique envoyés par SMS et d'autres méthodes. Il est bon que le client puisse choisir indépendamment la méthode d'authentification supplémentaire la plus pratique et la plus rentable.
Par ailleurs, il convient de mentionner les mécanismes de vérification de la manipulation du moteur d'exécution du navigateur. Pour ce faire, vous pouvez utiliser, par exemple, la technologie de l'antivirus SSL - un script spécial qui analyse l'environnement de l'utilisateur pour détecter une activité malveillante. De plus, il est possible de capturer l'empreinte de l'équipement à partir duquel l'utilisateur télécharge l'application Web. S'il se connecte à partir d'un appareil qu'il n'a jamais utilisé auparavant, vous devez lui demander de passer une vérification supplémentaire et d'indiquer cet appareil comme étant le sien. Plusieurs fournisseurs de sécurité proposent des outils similaires pour contrôler l'exécution utilisateur d'une application Web.
Il est important pour les clients de se protéger contre les activités malveillantes: pour scanner leur appareil avec un antivirus, pour travailler avec le site Web de la banque en mode protégé, de préférence à partir d'un navigateur avec un minimum de modules complémentaires. Il est également utile d'utiliser l'authentification à deux facteurs, dans laquelle un attaquant ne pourra pas entrer dans la banque en ligne même si le mot de passe est volé. Il est utile de ne pas être paresseux à chaque fois et de vérifier l'orthographe correcte du nom de la banque dans le certificat HTTPS, ainsi que la construction de l'URL, afin qu'elle ne soit pas trop compliquée et chargée de paramètres supplémentaires; n'importe quel navigateur peut le faire. Certains antivirus peuvent faire ce travail pour le client et proposer de se connecter aux sites des banques avec leur authentification. Par exemple, Kaspersky Lab appelle ce mode "Safe Money". Il convient de noter que le client est lui-même responsable de son argent, il vaut donc la peine de choisir des banques soucieuses de la sécurité de leurs applications Web: elles ont des fonctions supplémentaires pour une authentification forte à deux facteurs, offrent des mécanismes pour contrôler l'environnement d'exécution, fonctionnent complètement en mode sécurisé, c'est-à-dire à utiliser dans leur travail avec les outils décrits plus haut dans cette section.
Piratage d'une banque en ligne - accès aux comptes en argent des citoyens à l'aide de logiciels malveillants ou d'activités frauduleuses via un accès non autorisé au système bancaire à distance (RBS).
Les banques essaient d'offrir à leurs clients des mécanismes efficaces de gestion des comptes et des comptes personnels, il est pratique d'organiser les interactions financières entre les clients et leurs contreparties. Pour cela, des applications web spéciales sont en cours de développement, qui permettent de manipuler les actifs stockés dans la banque. Un ensemble de services Web qui permettent non seulement de recevoir des informations de référence sur les comptes, mais également de donner des instructions à la banque sur les flux de trésorerie est appelé banque en ligne.
Cependant, la vitesse à laquelle les nouveaux produits sont lancés peut jouer un rôle négatif. Si lors du développement d'une application web une attention suffisante n'a pas été accordée à la sécurité, alors des attaquants extérieurs pourraient bien interférer avec le travail de la banque en ligne et voler ses clients. Ainsi, le piratage de la banque en ligne est l'exécution de transactions non autorisées par des cybercriminels pour le compte du client.
Dans le même temps, la banque a une influence limitée sur le client en termes de garantie de sécurité. Par exemple, il ne peut pas enseigner aux gens comment stocker correctement les mots de passe des systèmes bancaires en ligne ou des certificats électroniques, rechercher des logiciels malveillants sur leurs ordinateurs et détecter d'autres activités indésirables. Par conséquent, les accords avec la banque indiquent généralement que le client est responsable du non-respect des exigences de sécurité, ce qui, à son tour, ne permet pas à ce dernier de recevoir une compensation pour les pertes suite à des incidents de sécurité de l'information. Par conséquent, les entreprises et les particuliers, lorsqu'ils choisissent une banque avec possibilité de service à distance, doivent vérifier quels outils de protection ils peuvent leur fournir.
Classification et méthodes de piratage d'une banque en ligne
Les méthodes de piratage des services bancaires en ligne sont similaires aux options de piratage de toute application Web:
1. Hameçonnage. Les attaquants envoient du spam ou publient des liens vers des ressources sur les réseaux sociaux qui imitent l'interface de paiement de la banque. Si la victime suit un tel lien, le mot de passe et les autres informations d'identification nécessaires pour effectuer la transaction depuis son compte sont trompés. Pour bloquer cette attaque, il est recommandé de ne pas cliquer sur les adresses Web envoyées ou publiées sur des sites Web tiers - uniquement la saisie directe d'URL ou à partir de signets vérifiant une connexion sécurisée (en utilisant le protocole HTTPS avec l'orthographe correcte du nom de la banque dans le certificat).
2. Vol d'identifiants personnels (identité). Dans les systèmes bancaires en ligne, l'authentification par mot de passe est généralement effectuée, dont l'interception vous permet d'initier certaines actions. En outre, dans les applications Web, il existe la possibilité de voler des cookies (identifiants de session), ce qui crée une opportunité potentielle d'interférer avec la session d'un utilisateur légitime qui était connecté au système plus tôt. Bien sûr, les banques utilisent désormais des systèmes d'authentification complexes avec des mots de passe à usage unique, mais dans certaines circonstances, de tels codes peuvent être interceptés. En règle générale, cela se fait à l'aide de logiciels malveillants qui s'exécutent sur l'appareil de l'utilisateur. Pour se protéger contre ce type d'attaque, il est recommandé d'installer des programmes antivirus et d'utiliser des certificats qualifiés avec la génération d'une signature sur un périphérique externe.
3. Piratage du site Web de la banque. Étant donné que la banque en ligne est une application Web, elle peut contenir des erreurs qui permettent de manipuler l'interface de l'application à l'aide de liens spécialement préparés ou de scripts JavaScript intégrés. Le but d'une telle manipulation est de rediriger de l'argent vers un autre compte, d'imposer une sorte de transactions superflues ou même de bloquer l'interface et d'exiger une rançon afin de reprendre le contrôle de celle-ci. Si vous ne suivez pas les liens provenant de sources non vérifiées et n'ouvrez pas une banque en ligne après des sites tiers, vous pouvez éviter une telle attaque. Il est recommandé à la banque de vérifier le code de l'application Web pour les erreurs.
4. Ingénierie sociale. Les attaquants peuvent inciter la victime à commettre une transaction inutile. Par exemple, il y a eu des cas où des cybercriminels se sont présentés comme des employés du service informatique d'une banque et ont demandé de générer des transactions de «test», apparemment pour déboguer l'application. Dans le même temps, il n'est même pas nécessaire de perturber le fonctionnement du programme bancaire: un employé qui n'est pas prêt pour une telle attaque peut tout faire tout seul. Pour se protéger contre de telles attaques, il est préférable de ne pas faire confiance à une seule personne pour contrôler le compte de l'entreprise: déléguez le pouvoir de préparer les transactions, de vérifier leur exactitude et de les exécuter à différents employés, dont au moins un doit être bien familiarisé avec la sécurité de l'information.
5. Attaque DDoS. Les attaquants peuvent désactiver la banque en ligne, notamment pour masquer une autre attaque afin que le client ne puisse pas remarquer le vol d'argent et n'essaye pas de bloquer une transaction non autorisée. Par conséquent, si l'interface Web n'est pas disponible, vous devriez essayer de vérifier l'état de votre compte d'une autre manière - peut-être que votre application cliente a été bloquée par un agent malveillant spécial.
Victimes de piratage des services bancaires en ligne
Le principal objet d'influence dans ce cas est l'application Web de la banque. Cependant, les organismes de crédit et leurs employés sont déjà hautement qualifiés (à la fois en technologie de l'information et en sécurité de l'information), de sorte que les pirates attaquent généralement le maillon faible - les clients ou leurs ordinateurs. Dans la plupart des cas, ces opérations sont plus efficaces que l'impact sur le système d'information de la banque. Cependant, une attaque contre une banque via un client est tout à fait possible - par exemple, en insérant un code malveillant dans une correspondance totalement légale et prévisible avec elle.
Il est important que l'utilisateur du programme client de banque en ligne comprenne ce qu'il advient de l'application lors d'une transaction: toute action suspecte doit être considérée comme une tentative de fraude. Il est recommandé de ne pas saisir d'informations d'identification sous des formes suspectes, de vérifier la fiabilité de la connexion HTTPS et de surveiller l'activité d'autres applications. Il vaut également la peine d'avoir un deuxième facteur d'authentification indépendant de l'application Web - par exemple, recevoir des mots de passe à usage unique par SMS. De plus, il vaut la peine d'ouvrir l'application à partir de signets et de ne pas suivre les liens des messages envoyés.
Sources d'attaques contre les banques en ligne
Les attaquants recherchent les informations d'identification des applications bancaires en ligne afin d'essayer d'accéder à l'argent des clients. Le problème est aggravé par le fait qu'au départ, le protocole HTTP n'était pas conçu pour créer des applications sécurisées - il était principalement utilisé pour afficher des pages individuelles. Les mécanismes garantissant l'intégrité des transactions et des sessions sont des extensions nouvelles et facultatives. Il s'agit notamment de cookies, spécialement conçus pour stocker des informations sur les sessions de communication. Dans le même temps, voler ces identifiants permet aux attaquants d'interférer avec l'application et d'effectuer des actions non autorisées. Les développeurs de services bancaires en ligne doivent garder cela à l'esprit.
Dans ce cas, les moyens de protection du côté de la berge peuvent nécessiter des ressources très importantes. Même une simple transition d'un site entier vers une version sécurisée du protocole HTTPS est une tâche difficile, sans parler de la charge que crée le cryptage lorsqu'il est utilisé à grande échelle. Traditionnellement, la protection n'est étendue qu'aux endroits les plus importants des applications Web, et le reste (parfois la plupart) reste non protégé. Les navigateurs modernes disposent d'indices visuels pour évaluer la sécurité d'une connexion et les utilisateurs doivent les surveiller.
De plus, les fenêtres contextuelles et d'autres éléments de l'interface Web n'ont pas toujours les attributs visuels du site lui-même - l'utilisateur ne peut pas déterminer de manière fiable à quel site appartient la fenêtre, ce qui permet aux attaquants d'ouvrir leurs propres demandes d'informations d'identification sur les pages des banques, qui sont difficiles à distinguer visuellement des pages légitimes. Tromper l'utilisateur en manipulant l'interface Web constitue une menace pour les applications Web qui nécessitent une protection contre la fuite d'informations importantes. C'est dans ce plan qu'il y a une concurrence entre les développeurs d'applications qui tentent d'offrir aux utilisateurs de nouveaux outils de protection, et les hackers qui proposent de nouvelles méthodes pour contourner ces outils. La méthode la plus efficace est maintenant d'aller au-delà de l'interface Web en utilisant des notifications SMS et des appels de test, mais les pirates commencent déjà à adapter ces mécanismes à leurs propres fins.
Analyse de risque
Vous devez protéger une banque en ligne de deux côtés: la banque elle-même et le client. L'objectif principal de la protection de la banque est d'identifier et de bloquer les tentatives de manipulation de l'application Web et du trafic transmis. Il est préférable d'utiliser le protocole HTTPS sécurisé pour cela, pour lequel il vaut la peine d'installer un serveur proxy inverse qui décryptera le trafic utilisateur. Parfois, ces serveurs proxy remplissent également les fonctions d'authentification utilisateur et d'identification des périphériques fiables, et exécutent les fonctions de pare-feu d'application Web (WAF). Ils peuvent également résoudre des problèmes d'équilibrage de charge, d'optimisation du chargement des applications et d'autres qui ne sont pas directement liés à la sécurité, mais sont utiles pour optimiser les applications Web. Il est recommandé d'offrir aux clients une technologie d'authentification à deux facteurs utilisant des jetons matériels spéciaux, une reconnaissance faciale et vocale, des mots de passe à usage unique envoyés par SMS et d'autres méthodes. Il est bon que le client puisse choisir indépendamment la méthode d'authentification supplémentaire la plus pratique et la plus rentable.
Par ailleurs, il convient de mentionner les mécanismes de vérification de la manipulation du moteur d'exécution du navigateur. Pour ce faire, vous pouvez utiliser, par exemple, la technologie de l'antivirus SSL - un script spécial qui analyse l'environnement de l'utilisateur pour détecter une activité malveillante. De plus, il est possible de capturer l'empreinte de l'équipement à partir duquel l'utilisateur télécharge l'application Web. S'il se connecte à partir d'un appareil qu'il n'a jamais utilisé auparavant, vous devez lui demander de passer une vérification supplémentaire et d'indiquer cet appareil comme étant le sien. Plusieurs fournisseurs de sécurité proposent des outils similaires pour contrôler l'exécution utilisateur d'une application Web.
Il est important pour les clients de se protéger contre les activités malveillantes: pour scanner leur appareil avec un antivirus, pour travailler avec le site Web de la banque en mode protégé, de préférence à partir d'un navigateur avec un minimum de modules complémentaires. Il est également utile d'utiliser l'authentification à deux facteurs, dans laquelle un attaquant ne pourra pas entrer dans la banque en ligne même si le mot de passe est volé. Il est utile de ne pas être paresseux à chaque fois et de vérifier l'orthographe correcte du nom de la banque dans le certificat HTTPS, ainsi que la construction de l'URL, afin qu'elle ne soit pas trop compliquée et chargée de paramètres supplémentaires; n'importe quel navigateur peut le faire. Certains antivirus peuvent faire ce travail pour le client et proposer de se connecter aux sites des banques avec leur authentification. Par exemple, Kaspersky Lab appelle ce mode "Safe Money". Il convient de noter que le client est lui-même responsable de son argent, il vaut donc la peine de choisir des banques soucieuses de la sécurité de leurs applications Web: elles ont des fonctions supplémentaires pour une authentification forte à deux facteurs, offrent des mécanismes pour contrôler l'environnement d'exécution, fonctionnent complètement en mode sécurisé, c'est-à-dire à utiliser dans leur travail avec les outils décrits plus haut dans cette section.
