…w świecie bez banków

Marcin Spychała, Web-Fraud Specialist

Problemy z uwierzytelnianiem

©2015 IBM Corporation2 May 3, 2023

Historia z morałem – świat bez banków O uwierzytelnianiu w teorii Na ile ufać ludziom Mały eksperyment MitM Założenia dla idealnego systemu antyfraudowego

Agenda

Historia z morałemŚwiat bez banków

©2015 IBM Corporation4 May 3, 2023

Historia z morałem..

©2015 IBM Corporation5 May 3, 2023

Zmiana której nie widać – back office

ProduktDostarczanie usługi Personalizacja usługi

Podstawa nowoczesnej usługi bankowej:Produkt jako komponent opartej na chmurze usługi wykorzystującej wiedzę analityczną

dostępną dzięki Big Data aby dostarczyć istotną dla klienta usługę.

©2015 IBM Corporation6 May 3, 2023

Zmiana, którą trochę widać - proces

wprowadzenie x.commerce APIwprowadzenie mobile API

Podstawa nowoczesnej usługi bankowej:Produkt jako komponent opartej na chmurze usługi wykorzystującej wiedzę analityczną

dostępną dzięki Big Data aby dostarczyć istotną dla klienta usługę we właściwym momencie (dzięki Real Time API).

©2015 IBM Corporation7 May 3, 2023

Zmiana, którą widać – mobilność i aplikacje

Czyj to klient?

Kto jest klientem?

©2015 IBM Corporation8 May 3, 2023

Czego nie robi Amazon?

Sprzedaje produkty?

Dostarcza produkty do klientów?

Wydaje książki?Produkuje towary?

Zarządza sklepami?

Co robi Amazon.com?Podstawową działalnością Amazon.com nie jest produkowanie towaru,

projektowanie procesów lub dostarczanie produktów,Amazon.com skupia się na zarządzaniu relacjami z klientem w sposób innowacyjny

(skupiając się na optymalizacji pozytywnych doznań klientów)

©2015 IBM Corporation9 May 3, 2023

Za co kochamy Starbucks?

Co zyskujemy?Kochamy ich bo nie zawracają nam głowy procesem (zakupu kawy).

Nasze Latte z dostawą do biurka.

©2015 IBM Corporation10 May 3, 2023

A za co Uber?

Co zyskujemy?Kochamy ich bo nie zawracają nam głowy procesem (transportu).

Dostajemy się z A do B bez procesu szukania taksówki i procesu dokonywania płatności

©2015 IBM Corporation11 May 3, 2023

Bank bez produktów?

©2015 IBM Corporation12 May 3, 2023

Bank bez produktów? cd.

©2015 IBM Corporation13 May 3, 2023

Historia banku uniwersalnego…

©2015 IBM Corporation14 May 3, 2023

…vs współczesność

Teorię mamy świetnąO uwierzytelnianiu w teorii

©2015 IBM Corporation16 May 3, 2023

Podstawowe równanie uwierzytelniania

P+K+BPossesionKnowledgeBiometric

©2015 IBM Corporation17 May 3, 2023

Sposoby uwierzytelniania

Proste uwierzytelnianieSilne uwierzytelnianieUwierzytelnianie dwuskładnikowe

©2015 IBM Corporation18 May 3, 2023

Typy uwierzytelniania

Uwierzytelnianie jednokierunkoweUwierzytelnianie dwukierunkowe (jednoetapowe i dwuetapowe)

Uwierzytelnienieklienta

Uwierzytelnienieserwera

Dane uwierzytelniające

Poświadczenie

Poświadczenie

©2015 IBM Corporation19 May 3, 2023

Sposoby obejścia – proste uwierzytelnianie

1. Infekcja złośliwym oprogramowaniem2. Telefon z helpdesku („proszę się zalogowac do konta”)3. Keylogger4. Nagrywanie ekranu5. Pharming (podstawiona strona)6. MitM (aka – fałszywy punkt dostępowy)7. …

©2015 IBM Corporation20 May 3, 2023

W teorii „sile” uwierzytelnienie W praktyce – problemy z poprawną implementacją:

- Czytniki kart często wpięte do komputerów na stałe (również klucze USB)- Hasło z karty jednorazowej lub kod z tokena można wyłudzić metodami

socjotechnicznymi

Sposoby obejścia – silne uwierzytelnianie

©2015 IBM Corporation21 May 3, 2023

Uwierzytelniania dwuskładnikowe

P+K; P+B W teorii „silne” uwierzytelnienie Praktyczny problem z „P”

– Przykładowo „kod jednorazowy po przeczytaniu zmienia stan z P na K” a wtedy można wyłudzić metodami socjotechnicznymi

Ataki na komponent B:

©2015 IBM Corporation22 May 3, 2023

Model kontrasygnaty analogowej (teoria vs praktyka)– Teoria: transakcje musi zatwierdzać druga osoba– Praktyka:

Zatwierdzam wszystkie troje transakcje żeby zaoszczędzić czas Nie zatwierdzam żadnej twoje transakcji dla swojego bezpieczeństwa Model mieszany: zatwierdzam – ale trwa to bardzo długo

– Model kontrasygnaty cyfrowej Obejście metodą „on the fly server side inject”

Obejście uwierzytelniania dwuetapowego

Że będą się stosować do zasad bezpieczeństwa…

….i czy w ogóle je znają?

Na ile ufać ludziom…

©2015 IBM Corporation24 May 3, 2023

Historia jednego wycieku…

©2015 IBM Corporation25 May 3, 2023

Strach dobrym motywatorem?

Total password entries = 11,716,208Total unique password entries = 4,867,246

©2015 IBM Corporation26 May 3, 2023

Psychologia haseł AM„Those that think adding a few more words to the word password makes it harder to crack:”mypasswordispasswordsuperhardpasswordthebestpasswordeverthisisagoodpassword

„Those that are having doubts about using the site:”ishouldnotbedoingthisithinkilovemywifethisiswrongwhatthehellamidoing

„Those that are in denial:”likeimreallygoingtocheatjustcheckingitoutjusttryingthisout

„Those who trusted AM:”youwillneverfindoutyouwillnevergetthissecretissafewithme

„Those who think this is a dating site:”lookingfornewlifefriendswithbenefits

17-18.10.2015Mały eksperyment MitM

©2015 IBM Corporation28 May 3, 2023

Miejsca i czas

Około 1 godzina działania fałszywego punktu dostępowego

©2015 IBM Corporation29 May 3, 2023

Konfiguracja

sslstrip &ettercap

Ofiara

fałszywy punkt dostępowy

Atakujący

router

https://www.youtube.com/watch?v=HePt2J4uSno

©2015 IBM Corporation30 May 3, 2023

Zalogowanych użytkowników– Costa Coffie: 42– Lotnisko Chopina: 113– Złote Tarasy: 61

Testowane podatności:– Windows:

CVE-2015-0081 (trzecia próba) CVE-2015-0096 (pierwsza próba)

– Android CVE-2015-1538 (pierwsza próba)

Rezultaty (po godzinie)

W teorii nie ma problemów z implementacją…Założenia idealnego systemu

©2015 IBM Corporation32 May 3, 2023

Założenia

Minimalizacja zaangażowania klienta Minimalny wpływ na doznania klienta Detekcja + eliminacja zagrożeń Maksymalizacja skuteczności przeciw zagrożeniom typu 0-day Mały wpływ na posiadaną infrastrukturę banku Minimalizacja fałszywych alarmów

©2015 IBM Corporation33 May 3, 2023

Komponenty systemu

Zaawansowana ochrona

antyfraudowa

Ochrona przez źródłem problemu

• Usuwanie infekcji i blokada przed eksfiltracją

• Detekcja aktywnych zagrożeń na stacjach końcowych w czasie rzeczywistym

• Identyfikacja przejęcia tożsamości i nieuprawnionego dostępu

Poprawa doznań klientów

• Redukcja niepotrzebnych uwierzytelnień, weryfikacji transakcji i innych interakcji

• Lepsze zabezpieczenie transakcji i proaktywna remediacja dla klientów zhakowanych

Minimalizacja wpływu na infrastrukturę i procesy

• Minimalizacja alarmów false-positives

• Integracja danych detekcyjnych z istniejącymi systemami i procesami w czasie rzeczywistym

• SaaS ułatwia implementacje i niweluje stopień skomplikowania infrastruktury

Wykorzystanie światowej sieci detekcji malware

• Dane wywiadowcze z ponad 500M+ próbników w sieci

• Dostosowanie zabezpieczeń bez potrzeby interakcji z klientem

• Dostęp do badań nad zagrożeniami w celu poprawienia własnej wiedzy

©2015 IBM Corporation34 May 3, 2023

Dlaczego IBM?

©2015 IBM Corporation

Marcin SpychałaWeb-Fraud Specialist IBM Securitymarcin.spychala@pl.ibm.com+48 519 116 160Linkedin: pl.linkedin.com/in/marcin.spychala