Częste luki w zabezpieczeniach sektora finansowyego są zaś skutkiem ubocznym krytycznych wymagań biznesowych branży i – niestety – nie da się im zapobiegać tradycyjnymi metodami. Szczególne zagrożenie stanowi wiązanie rachunków bankowych, kont zakupowych i usług telekomunikacyjnych z rozwiązaniami fintech: od programów lojalnościowych, przez agregatory finansowe czy funkcje płacenia rachunków – pisze Dan Woods, wiceprezes Shape Security Intelligence Center, F5.
Fintech i Credential Stuffing
Technikę Credential Stuffing wykorzystują cyberprzestępcy, którzy kupili lub ukradli ogromną liczbę danych: par login/hasło. Następnie – wykorzystując automatyzację – używają przejęte dane uwierzytelniające do logowania się w aplikacjach innych organizacji, niepowiązanych z tą, która była celem pierwotnego ataku.
W takich sytuacjach cyberprzestępcy przeprowadzają ataki np. za pośrednictwem rozwiązań typu fintech, takich jak program lojalnościowy, agregator finansowy czy funkcja płacenia rachunków. Aby skorzystać z tego rodzaju bezpłatnych usług, abonenci muszą najpierw „powiązać” swoje konta w banku, sklepie, hotelu, linii lotniczej, u dostawcy usług telekomunikacyjnych itp., podając dostawcy usługi fintech nazwę użytkownika i hasło do każdego z nich. Fintech następnie próbuje programowo zalogować się na każde konto. Jeśli abonent podaje poprawną nazwę użytkownika i hasło, zostaje utworzone powiązanie. Następnie fintech wykorzystuje automatyzację do wielokrotnego logowania się na konto i przechwytywania treści – czasami nawet tysiące razy dziennie.
Konta do testu kanarka (Canary Accounts)
W tej technice cyberprzestępcy testują pary login/hasło na podstawie skradzionych lub zakupionych danych uwierzytelniających o wskaźniku udanego logowania od 0,1 do 3,0%. Następnie używają tej samej infrastruktury do kilkukrotnego logowania się na jedno lub więcej kont, które wykazują 100% wskaźnik powodzenia logowania. Skutkuje to zwiększonym wskaźnikiem udanego logowania dla wszystkich transakcji z tej samej infrastruktury. Powoduje to, że systemy obserwujące ruch w organizacjach nie zauważają anomalii związanych z nieudanymi logowaniami, a w ślad za tym nie wykrywają wszystkich ataków.
Wyliczanie kont – sposób na weryfikację poprawności danych uwierzytelniających
Ta technika ataku na aplikację służy do potwierdzania, czy nazwa użytkownika odpowiada prawidłowemu kontu. Jeśli nie, cyberprzestępca zyskuje pewność, że użycie hasła spowoduje nieudane logowanie. Wśród aplikacji będących częstym celem tego rodzaju ataków są mechanizmy „przypomnij nazwę użytkownika, ID lub hasło” – jeśli przestępcy mogą zobaczyć komunikat dotyczący tego, że np. nazwa użytkownika/hasło nie są prawidłowe, stanowi to poważną lukę w zabezpieczeniach, ponieważ daje im wyraźną informację zwrotną co do prawidłowości danych.
Zautomatyzowane ataki na mechanizm „utwórz konto” – fikcyjna tożsamość
W Shape Security Intelligence Center często obserwujemy przypadki użycia automatyzacji do ataków na aplikację „utwórz konto”. Dotyczy to zwłaszcza tych organizacji świadczących usługi finansowe, które są wykorzystywane do prania pieniędzy. Mechanizm działa podobnie do wyliczania, choć celem jest tworzenie i utrzymywanie fałszywych tożsamości.
- Tradycyjne zapory Web Application Firewalls (WAF), śledzą warstwę aplikacji, która daje zbyt mało informacji potrzebnych do niezawodnego wykrywania zaawansowanej automatyzacji. Realna ochrona wymaga dziś zbierania dodatkowych sygnałów, wynikających m.in. z gromadzenia behawioralnych danych oraz badania środowiska przeglądarki/urządzenia.
- Większość wdrożeń uwierzytelniania dwuskładnikowego (2FA) polega na tym, że klient przesyła nazwę użytkownika i hasło, a jeśli są poprawne, to jest proszony o podanie drugiego składnika uwierzytelnienia. Gdy wprowadzone przez atakującego dane są nieprawidłowe, drugi składnik uwierzytelniania nie jest aktywowany, a wysyłany jest komunikat o błędzie. Jest to informacja dla atakującego, czy poświadczenia są poprawne. Konto nie zostaje przejęte, ale prawidłowość danych uwierzytelniających jest potwierdzona i mogą być sprzedane hakerom, którzy specjalizują się w pokonywaniu 2FA[1].
- Ponadto, 2FA to ważne zabezpieczenie, ale stosowane na dużą skalę jest drogie i stwarza klientom problemy. I choć utrudnia przejęcie konta (ATO), to nie zawsze zapobiega atakom typu Credential Stuffing.
- CAPTCHA. Na rynku funkcjonują dziesiątki firm oferujących za niewielką opłatą obejście tego zabezpieczania przy użyciu optycznego rozpoznawania znaków (OCR), uczenia maszynowego, a nawet farm kliknięć z ludźmi rozwiązującymi CAPTCHA. Ponadto, ten mechanizm wywołuje u klientów niechęć prowadzącą do porzucania sesji, co skutkuje utratą przychodów, a jeszcze CAPTCHA nie powstrzymuje botów.
Skuteczna ochrona organizacji przed atakami wykorzystującymi charakterystyczne dla branży usług finansowych luki w zabezpieczeniach wymaga stworzenia i konsekwentnej realizacji procesu składającego się z trzech etapów:
Etap 1: Wgląd w podatności aplikacji mogących być celem zautomatyzowanych ataków
Zidentyfikowanie aplikacji, które mogą być celem ataków wykorzystujących automatyzację jest kluczowe dla organizacji. Wymaga kompetencji z obszaru aplikacji i przepływu pracy oraz wszechstronnej wiedzy o automatyzacji stosowanej w atakach przeciwko sektorowi finansowemu. Pytania, które należy postawić w organizacji brzmią: Jakie korzyści może odnieść atakujący ze zbierania informacji finansowych lub wywiadowczych, uruchamiając automatyczne narzędzia skierowane przeciw aplikacjom? Czy mogą istnieć korzyści z takich działań dla atakujących w dłuższej, bardziej strategicznej perspektywie?
Etap 2: Porządkowanie automatyzacji
Wskazane jest stworzenie listy dozwolonych automatyzacji oraz przeciwdziałanie tym złośliwym. Na tym etapie kluczowe kwestie to:
- Unikanie na liście dozwolonych transakcji tych, które używają atrybutu łatwego do sfałszowania, takiego jak ciąg agenta użytkownika. W idealnym przypadku dozwolone transakcje używają wspólnego tajnego klucza gdzieś w nagłówku HTTP.
- Nie należy przeciwdziałać złośliwej automatyzacji poprzez zrywanie sesji, co da cyberprzestępcy informację zwrotną, że jego atak został wykryty i tym samym skłoni do zmiany narzędzi. Trzeba dążyć do tego, by atakujący uświadomił to sobie jak najpóźniej. W Shape Security Intelligence Center osiągamy to, oferując dodatkowe opcje mitygacji, takie jak: przekierowanie lub przekazanie transakcji, wstrzyknięcie lub zmianę czegoś w transakcji oraz przekazanie tego do źródła, a także odpowiadanie za pomocą w pełni sformatowanej strony HTML.
Etap 3: Bieżąca analiza retrospektywna
Ciągła analiza retrospektywną transakcji trafiających do docelowej aplikacji jest niezbędna, aby szybko identyfikować zmiany narzędzi lub inną złośliwą automatyzację. Osiąga się to za pomocą wspieranych przez człowieka systemów sztucznej inteligencji i uczenia maszynowego, działających na zagregowanych transakcjach. Należy także zadbać o zasoby do szybkiego aktualizowania działającej w czasie rzeczywistym ochrony, tak aby nie miało to wpływu na obsługę klientów.
Co dalej?
W Shape Security Intelligence Center odkryliśmy, że ani pomyślna mitygacja złośliwych ataków automatycznych na aplikacje internetowe i mobilne, ani walka z cyberprzestępcami, którzy przez tygodnie, a nawet miesiące zmieniali narzędzia, nie zamykała tematu ataków. Przestępcy kontynuowali swoją wrogą działalność, przechodząc na tryb manualny, w którym korzystali z farm kliknięć. Dlatego oferujemy rozmaite i stale rozwijane produkty, aby chronić naszych klientów przed zagrożeniami.
Dan Woods, wiceprezes Shape Security Intelligence Center, F5