Υπερατλαντικά περιστατικά m-banking απάτης στέλνουν μήνυμα κινδύνου στις τράπεζες και ειδικοί κρούουν τον κώδωνα του κινδύνου προτείνοντας την αύξηση της ασφάλειας στα mobile apps αλλά και έμφαση στα risk analytics και τη διαδικασία αυθεντικοποίησης. Εστιάστε σε ασφάλεια app, risk analytics και διαδικασία αυθεντικοποίησης!

Εδώ και τουλάχιστον ένα εξάμηνο σε διεθνές επίπεδο παρατηρείται μια έντονη κινητικότητα σε ότι αφορά τις οικονομικές υπηρεσίες μέσω κινητών τηλεφώνων και φορητών συσκευών. Όχι, δεν αναφερόμαστε στο ζήτημα της ραγδαίας αύξησης των πάσης φύσεως συναλλαγών που λαμβάνουν χώρα μέσω των συγκεκριμένων «καναλιών», βοηθούσης -φυσικά- της νέας… κανονικότητας που επέφερε η έλευση της πανδημίας σε συνάρτηση με τα απανωτά lock-down, αλλά στα όσα είθισται να ακολουθούν μια τάση με περιεχόμενο και δη προσοδοφόρο. Ο λόγος, για τα φαινόμενα m-banking απάτης.

Μάλιστα, ήταν τέτοια η αύξηση των περιστατικών, που ακόμη και το αμερικανικό FBI έφτασε στο σημείο να εκδώσει δύο σχετικές προειδοποιήσεις, η μια εκ των οποίων στα μέσα Νοεμβρίου. Πριν αλέκτορα φωνήσαι τρις, τις τελευταίες ημέρες της περασμένης χρονιάς, ερευνητές της IBM Trusteer έφεραν στο φως της δημοσιότητας μια τεραστίων διαστάσεων λειτουργία fraud, η οποία και αξιοποιούσε ένα δίκτυο εξομοιωτών φορητών συσκευών προκειμένου να εξαπατήσουν τους κατόχους τραπεζικών λογαριασμών στις ΗΠΑ και την Ευρώπη και εν συνεχεία να υφαρπάξουν εκατομμύρια δολάρια και ευρώ από online τραπεζικούς λογαριασμούς σε χρονικό διάστημα ελάχιστων ημερών.

Το εύρος της επιχείρησης ήταν διαφορετικό από οτιδήποτε αντίστοιχο έχουν ανακαλύψει και αντιμετωπίσει οι ερευνητές κατά το παρελθόν. Αρκεί να αναφερθεί πως σε μια περίπτωση και μόνο, οι κυβερνοεγκληματίες χρησιμοποίησαν περίπου 20 εξομοιωτές ώστε να μιμούνται περισσότερα από 16.000 κινητά τηλέφωνα που ανήκουν σε πελάτες των οποίων οι m-banking λογαριασμοί είχαν παραβιαστεί. Σε μια άλλη περίπτωση, ένας μεμονωμένος εξομοιωτής κατάφερε να πλαστογραφήσει κάτι παραπάνω από 8.100 συσκευές!

Στη συνέχεια, οι κυβερνοεγκληματίες εισήγαγαν ονόματα χρήστη και κωδικούς πρόσβασης σε τραπεζικές εφαρμογές που εκτελούνταν στους εξομοιωτές και αυτομάτως ήταν σε θέση να πραγματοποιούν την αποστολή ψευδών, όσο και δόλιων εντολών μεταφοράς κεφαλαίων από τους λογαριασμούς που νωρίτερα είχαν ήδη παραβιάσει. Χρήσιμο θα ήταν να τονιστεί πως οι εξομοιωτές συνήθως χρησιμοποιούνται εντελώς νόμιμα από προγραμματιστές και ερευνητές προκειμένου με την σειρά τους να δοκιμάσουν τον τρόπο λειτουργίας των εφαρμογών σε μια ποικιλία από διαφορετικές φορητές συσκευές.

Μάλιστα, προκειμένου να παρακάμψουν τα πολλαπλά όσο και σύνθετα επίπεδα και πλαίσια προστασίας που μετέρχονται τα χρηματοπιστωτικά ιδρύματα σε μια προσπάθεια να αποκλείσουν, και συνάμα προστατευτούν, από αντίστοιχες επιθέσεις, οι κυβερνοεγκληματίες χρησιμοποίησαν αναγνωριστικά συσκευών που αντιστοιχούν σε κάθε παραβιασμένο κάτοχο λογαριασμού, καθώς επίσης και πλαστογραφημένες θέσεις GPS από τις οποίες ήταν σύνηθες φαινόμενο οι εν λόγω συσκευές να έχουν βρεθεί ενόσω ο κάτοχός τους πραγματοποιεί μια σειρά από ενέργειες. Τα αναγνωριστικά συσκευών πιθανώς αποκτήθηκαν από τις παραβιασμένες συσκευές των κατόχων, αν και σε ορισμένες περιπτώσεις, οι κυβερνοεγκληματίες επιχείρησαν (και κατάφεραν) να παρουσιαστούν ως πελάτες που είχαν πρόσβαση στους λογαριασμούς τους από νέες τηλεφωνικές συσκευές. Οι επιτιθέμενοι μπόρεσαν, επίσης, να παρακάμψουν τον έλεγχο ταυτότητας πολλαπλών παραγόντων, αποκτώντας πρόσβαση σε SMS μηνύματα.

Συμπερασματικά, η συγκεκριμένη επιχείρηση απάτης μέσω κινητού τηλεφώνου και φορητών συσκευών εν γένει, κατάφερε να αυτοματοποιήσει τη διαδικασία πρόσβασης σε λογαριασμούς, να ξεκινήσει μια συναλλαγή, να λάβει και να υποκλέψει έναν δεύτερο παράγοντα (SMS εν προκειμένω) και σε πλείστες άλλες περιπτώσεις χρησιμοποιώντας αυτούς τους κωδικούς να ολοκληρώσει τις παράνομες συναλλαγές. Μάλιστα, το γεγονός ότι οι πηγές των δεδομένων, τα σενάρια και οι προσαρμοσμένες εφαρμογές που δημιούργησαν οι κυβερνοεγκληματίες διακρινόταν από εξαιρετική ροή σε μια αυτοματοποιημένη διαδικασία που εξελισσόταν με πρωτόγνωρη ταχύτητα, τους επέτρεψε να δράσουν δίχως να εντοπιστούν εγκαίρως και φυσικά με ξεχωριστή επιτυχία, που αποτιμάται σε εκατομμύρια δολάρια και ευρώ που κατάφεραν να κλέψουν σε ελάχιστα 24ωρα.

Κάθε φορά που οι κυβερνοεγκληματίες κατάφερναν να “αδειάζουν” με επιτυχία έναν τραπεζικό λογαριασμό, αυτομάτως απέσυραν την πλαστογραφημένη συσκευή δια μέσω της οποίας είχαν αποκτήσει πρόσβαση στον λογαριασμό, αντικαθιστώντας την με μια νέα. Επιπροσθέτως, σε περίπτωση που το anti fraud σύστημα μιας τράπεζας τους απέρριπτε κατέφευγαν σε μια ανακυκλούμενη λογική χρήσης συσκευών προκειμένου να το παρακάμψουν. Μάλιστα, οι κυβερνοεγκληματίες είχαν υιοθετήσει την στρατηγική επιθέσεων σε ξεχωριστά σκέλη, και μόλις τελείωναν, αυτομάτως διέκοπταν τη λειτουργία, έσβηναν τα ίχνη δεδομένων και ξεκινούσαν μια νέα.

Ερευνητές ασφαλείας που κλήθηκαν να εξετάσουν την υπόθεση, εκτιμούν πως οι τραπεζικοί λογαριασμοί παραβιάστηκαν δια μέσω της χρήσης κακόβουλων προγραμμάτων ή phishing επιθέσεων.

Προκειμένου να παρακολουθούν την πρόοδο των… εργασιών σε πραγματικό χρόνο, οι κυβερνοεγκληματίες παρεμπόδισαν τις επικοινωνίες μεταξύ των πλαστών συσκευών και των application servers των τραπεζικών ιδρυμάτων.  Οι ίδιοι χρησιμοποίησαν, επίσης, αρχεία καταγραφής και screenshots έτσι ώστε να είναι σε θέση να παρακολουθούν την λειτουργία με την πάροδο του χρόνου. Καθώς η επιχείρηση εξελισσόταν, οι ερευνητές διαπίστωσαν πως υπήρξε ένα σαφές upgrade στις κινήσεις των κυβερνοεγκληματιών καθώς αυτοί φαίνεται πως έπαθαν μεν, έμαθαν δε οι από λάθη στα οποία είχαν προβεί σε προηγούμενο χρόνο.

Το όλο φαινόμενο «χτυπά» καμπανάκια στο ζήτημα της χρήσης ισχυρών όσο και μη συνηθισμένων κωδικών πρόσβασης, στην εκμάθηση του εντοπισμού απάτης μέσω phishing, καθώς επίσης και τη διατήρηση συσκευών απαλλαγμένων από εγκατεστημένο κακόβουλο λογισμικό. Την ίδια στιγμή, παράγοντες της διεθνούς αγοράς ασφαλείας τονίζουν πως θα ήταν εξαιρετικά χρήσιμο στην περίπτωση κατά την οποία τα χρηματοπιστωτικά ιδρύματα παρείχαν έλεγχο ταυτότητας πολλαπλών παραγόντων μέσω ενός διαφορετικού «καναλιού» από τα SMS.

Τα ανωτέρω θα πρέπει να ανησυχήσουν έντονα τα στελέχη των χρηματοπιστωτικών ιδρυμάτων, καθώς καταδεικνύουν ένα modus operandi το οποίο μέχρι πρότινος ήταν άγνωστο.

Το ζήτημα που γεννάται έχει να κάνει με την ξεκάθαρη αντίληψη της ευφυϊας, της έκτασης, της ταχύτητας, της αποτελεσματικότητας, μα και του βαθμού επικινδυνότητας αντίστοιχων πρακτικών. Όσο πιο αναλυτικά το καταλάβουν, τόσο πιο άμεση θα είναι και η αντίδρασή τους. Αρχής γενομένης από την προσθήκη του σε πιθανά case scenarios και κατ’ επέκταση της ανάπτυξης ενός συνολικότερου πλαισίου αντίδρασης.

Ζήτημα ταχύτητας και καινοτομίας

Ερευνητές από τις ΗΠΑ, την Αγγλία και τη Γερμανία που εξέτασαν τη νέα απειλή για τον τραπεζικό κλάδο ισχυρίζονται πως η κλίμακα και η ταχύτητα αυτού του σχήματος το κάνει να ξεχωρίζει από τα προηγούμενα περιστατικά m-fraud. Κι αυτό, καθώς οι επιτιθέμενοι δημιούργησαν ένα δίκτυο που απαρτιζόταν από περίπου 20 εξομοιωτές που με την σειρά τους «μιμούνταν» 16.000 φορητές συσκευές. Ο m-εξομοιωτής αποτελεί ουσιαστικά μια εικονική φορητή συσκευή που «μιμείται» τη λειτουργικότητα των mobile συσκευών και πλαστοπροσωπεί την αλληλεπίδραση ενός χρήστη με αυτήν! Τέτοιου τύπου ; εξομοιωτές αναπτύχθηκαν αρχικά προκειμένου να επιτρέψουν την αυτόματη δοκιμή λογισμικού σε ένα εύρος συσκευών.

Όσο για τις ενέργειες στις οποίες κατέφυγαν οι κυβερνοεγκληματίες, ακολουθούσαν μια αυτοματοποιημένη λογική και περιελάμβαναν -μεταξύ άλλων- κινήσεις, όπως την καταγραφή των χαρακτηριστικών της φορητής συσκευής, την εισαγωγή ονομάτων χρήστη και κωδικών πρόσβασης, την έναρξη της πραγματοποίησης συναλλαγών, τη λήψη και κλοπή εφάπαξ κωδικών εξουσιοδότησης που αποστέλλονται μέσω SMS, καθώς επίσης και την εισαγωγή τους προκειμένου να ολοκληρωθούν οι συναλλαγές.

Tα αναπάντητα ερωτήματα

Σε ορισμένες περιπτώσεις, οι κυβερνοεγκληματίες κλωνοποιούσαν τις υφιστάμενες συσκευές του θύματος, ενώ σε κάποιες άλλες προσομοίωσαν το θύμα χρησιμοποιώντας μια νέα συσκευή ώστε να αποκτήσουν πρόσβαση στον τραπεζικό λογαριασμό τους. Σε αυτό το σημείο, χρήσιμο θα ήταν να τονιστεί πως οι ερευνητές δεν είναι σίγουροι ακόμη σχετικά με το πώς τα τραπεζικά credentials παραβιάστηκαν, παρότι υπάρχουν ενδείξεις πως κάποια υπεκλάπησαν από κακόβουλο λογισμικό, ορισμένα συλλέχθηκαν μέσω επιθέσεων phishing, ενώ δεν αποκλείεται και το dark web να βοήθησε έως ενός σημείου στην όλη προσπάθεια. Ο ακριβής τρόπος συλλογής των αναγνωριστικών συσκευών παραμένει ασαφής, ωστόσο φαντάζει ως λογικό ότι αυτά τα δεδομένα συλλέχθηκαν από κακόβουλο λογισμικό για που υπήρχε ήδη εγκατεστημένο στις συσκευές των θυμάτων.

Υπάρχει τρόπος αποφυγής αντίστοιχων m-απειλών;

Αποτελεί κοινό κτήμα πως δεν υφίσταται στην αγορά, σήμερα, μια λύση που θα επιλύσει το ζήτημα, εξαλείφοντας την m-απειλή. Υπό αυτό το πρίσμα, ο καλύτερος τρόπος προστασίας, δεν είναι άλλος από την εφαρμογή μιας πολυεπίπεδης, όσο και σε βάθος άμυνα που απαρτίζεται (αλλά δεν περιορίζεται) στα ακόλουθα:

  • Ισχυρός έλεγχος ταυτότητας πελατών
  • Ανάλυση κινδύνου πελάτη και server για την πρόληψη
  • της απάτης
  • Ενδυνάμωση και προστασία εφαρμογών για κινητά
  • με την προστασία χρόνου εκτέλεσης

Απαιτείται εκσυγχρονισμός του ελέγχου ταυτότητας

Σήμερα, περισσότερο παρά ποτέ, κρίνεται αναγκαίο για τα χρηματοπιστωτικά ιδρύματα, αλλά και τις fintech εταιρείες να κάνουν ένα βήμα πίσω, επανεξετάζοντας συνολικά το πλαίσιο ελέγχου ταυτότητας.

Η κλοπή username και password που χρησιμοποιούνται για την διαδικασία αυθεντικοποίησης των χρηστών και πληρωμών, θέτει τα θεμέλια για την υλοποίηση mobile fraud. Αυτά τα στατικά, “single-factor” credentials θεωρούνται ως εξαιρετικά ευάλωτα στο phishing, εάν δεν έχουν ήδη παραβιαστεί ως μέρος άλλων επιθέσεων στην ασφάλεια των δεδομένων. Η εφαρμογή ελέγχου ταυτότητας πολλαπλών παραγόντων (Multi Factor Authentication – MFA) που χρησιμοποιεί δυναμικούς, μιας χρήσης κωδικούς ελέγχου ταυτότητας μειώνει σημαντικά τον κίνδυνο υφαρπαγής κεφαλαίων από έναν online τραπεζικό λογαριασμό. Μαζί με την πλαστοπροσωπία των υφιστάμενων συσκευών των χρηστών, σε ορισμένες περιπτώσεις οι εισβολείς μπόρεσαν να ενεργοποιήσουν νέες συσκευές με λογαριασμούς θυμάτων.

Επιπροσθέτως, μια τράπεζα δεν πρέπει να αποφασίσει ποια κανάλια θα χρησιμοποιήσει για να μεταδώσει τους δυναμικούς κωδικούς ελέγχου ταυτότητας και εξουσιοδότησης, ελαφρά τη καρδία! Πόσο, μάλλον, από τη στιγμή κατά την οποία οι κωδικοί SMS είναι ιδιαίτερα ευάλωτοι τόσο σε phishing, όσο και σε διαδικασία υποκλοπής τους. Σε αυτήν την περίπτωση, οι κυβερνοεγκληματίες ήταν σε θέση να λάβουν κωδικούς SMS με τις πλαστοπροσωποποιημένες συσκευές, καθιστώντας τους κωδικούς άχρηστους όσον αφορά την προστασία των τραπεζικών λογαριασμών.

Μια τυπική επίθεση στους κωδικούς πρόσβασης μιας χρήσης / passcodes (OTP) μέσω SMS θα ξεκινήσει κατευθύνοντας το θύμα σε μια phishing ιστοσελίδα που προσομοιάζει με την αντίστοιχη της τράπεζας. Εκεί, ο χρήστης θα εισαγάγει τα στοιχεία του που αυτομάτως ενεργοποιούν τη μετάδοση ενός OTP μέσω SMS. Το κακόβουλο λογισμικό που υπάρχει ήδη στη συσκευή του θύματος στη συνέχεια θα λάβει κωδικούς SMS και θα τους προωθήσει στον κυβερνοεγκληματία. Αποτέλεσμα; Το θύμα ουδέποτε συνδέεται με την τράπεζα, καθώς αλληλεπιδρά με μια phishing σελίδα!

Τα push notifications που αποστέλλονται μέσω ενός κρυπτογραφημένου καναλιού σε μια εφαρμογή για κινητά που συνδέεται άμεσα με τη συσκευή του χρήστη κατά τη διάρκεια της ενεργοποίησης, πιθανότατα θα εμπόδιζαν τους κυβερνοεγκληματίες να συλλέγουν και να χρησιμοποιούν εφάπαξ κωδικούς πρόσβασης SMS για πρόσβαση σε λογαριασμούς ή εξουσιοδότηση πληρωμών. Την ίδια στιγμή, η αξιοποίηση των hardware χαρακτηριστικών και στοιχείων των ίδιων των φορητών συσκευών (λ.χ. Secure Enclave σε iOS συσκευές ή Trusted Execution Environment / Secure Element σε Android συσκευές) καθιστά πολύ πιο δύσκολη διαδικασία την υποκλοπή των αναγνωριστικών των ίδιων των συσκευών.

Μάλιστα, στην περίπτωση κατά την οποία απαιτούνταν βιομετρικός έλεγχος ταυτότητας σε συνδυασμό με την επιβεβαίωση ενός push notification, θα παρείχε ένα πρόσθετο επίπεδο άμυνας που θα μπορούσε να εμποδίσει κάθε κακόβουλα σκεπτόμενο εγκληματία. Ως σημαντικό κρίνεται, επίσης, το γεγονός ότι τα χρηματοπιστωτικά ιδρύματα θα πρέπει να εφαρμόζουν προηγμένη τεχνολογία κατά της παραβίασης σε οποιαδήποτε εφαρμογή mobile banking «τρέχουν» και παρέχουν.

Κίνηση, η οποία αυτομάτως μειώνει τον κίνδυνο ότι οι κάθε λογής κυβερνοεγκληματίες και εν γένει κακόβουλοι χρήστες θα μπορούσαν να παραβιάσουν ή να εφαρμόσουν διαδικασία reverse-engineer σχετικά με τη διαδικασία δέσμευσης της συσκευής, προκειμένου να αναπαράγουν μια νόμιμη επανάληψη του χρήστη για μια εφαρμογή mobile banking σε μια προσομοιωμένη συσκευή.

4+1 βήματα πρόληψης και αποτροπής m-απάτης

Προ ημερών, αναλυτές κυβερνοασφάλειας με ειδίκευση στον χρηματοπιστωτικό τομέα επεξεργάστηκαν και ανέπτυξαν ένα πλαίσιο εντοπισμού διαδικτυακής απάτης που αποτελείται από πέντε επίπεδα πρόληψης. Επειδή οι απατεώνες χρησιμοποίησαν έναν εξομοιωτή, κατάφεραν να ξεπεράσουν ορισμένες πτυχές του πρώτου πλαισίου πρόληψης. Σήμερα, πλέον, ολοένα και περισσότερα παραδείγματα εξελιγμένων κυβερνοαπατεώνων είναι σε θέση να προσομοιώνουν δεδομένα από την πλευρά του πελάτη, όπως λ.χ. συσκευή, τοποθεσία και ώρα της ημέρας.

Αυτό το περιστατικό mobile fraud και η αυξανόμενη ωριμότητα των online δακτυλίων απάτης εν τη ευρεία έννοια, κάνουν λόγο για την ανάγκη μιας πιο ολοκληρωμένης λύσης πρόληψης της απάτης με κατάλληλα διαμορφωμένα επίπεδα. Προς το παρόν, θεωρείται ως πολύ πιο δύσκολο για τους επιτιθέμενους να υπερκεράσουν τα επόμενα επίπεδα πρόληψης:

1ο επίπεδο: Endpoint-centric – Ανάλυση endpoint συμπεριφοράς και συσχετισμού θέσης. Το εν λόγω επίπεδο περιλαμβάνει επίσης εντοπισμό κακόβουλου λογισμικού και δακτυλικό αποτύπωμα συσκευής

2ο επίπεδο: Επικέντρωση στην πλοήγηση και το δίκτυο – Ανάλυση της συνεδρίας, του δικτύου, και της εν γένει συμπεριφοράς πλοήγησης, αλλά και της αναγνώρισης ύποπτων μοτίβων

3ο επίπεδο: User- και Entity-centric (μονό κανάλι) – Ανάλυση της συμπεριφοράς χρήστη / οντότητας ανά κανάλι ξεχωριστά (π.χ. online banking, mobile banking κ.ο.κ.).

4ο επίπεδο: User- και Entity-Centric κατά μήκος καναλιών και προϊόντων – Ανάλυση περίεργων ή μη-συνήθων συμπεριφορών που παρατηρείται κατά μήκος διαφορετικών καναλιών.

5ο επίπεδο: Big Data User και σύνδεση Entity – Ανάλυση σχέσεων για την ανίχνευση οργανωμένου εγκλήματος και εν μέρει κακουργηματικών ενεργειών.

Γίνεται αντιληπτό πως oποιοδήποτε σύστημα ανίχνευσης απάτης οφείλει να αξιοποιήσει την αυτόματη διαδικασία εκμάθησης του server και τους αυτοματοποιημένους κανόνες.

ΔΝΤ: Ενίσχυση της κυβερνοασφάλειας
Σε πρόσφατο ενημερωτικό σημείωμα του Διεθνούς Νομισματικού Ταμείου (ΔΝΤ) η κυβερνοασφάλεια αναδεικνύεται ξεκάθαρα ως η πλέον σαφής απειλή για τη χρηματοοικονομική σταθερότητα παγκοσμίως.

Όπως υπογραμμίζεται, καθώς διεθνώς εξαρτόμαστε ολοένα και περισσότερο από την ψηφιακή τραπεζική και τις πληρωμές, το πλήθος των κυβερνοεπιθέσεων έχει τριπλασιαστεί κατά την διάρκεια της τελευταίας δεκαετίας, με τις χρηματοοικονομικές υπηρεσίες να αποτελούν την πλέον στοχευμένη βιομηχανία.

Δεδομένων των ισχυρών οικονομικών και τεχνολογικών διασυνδέσεων, μια επιτυχημένη κυβερνοεπίθεση σε ένα κεντρικό χρηματοοικονομικό ίδρυμα ή σε ένα βασικό σύστημα ή υπηρεσία που χρησιμοποιείται από πολλούς, θα μπορούσε γρήγορα να εξαπλωθεί σε ολόκληρο το χρηματοπιστωτικό σύστημα προκαλώντας εκτεταμένη αναστάτωση και απώλεια εμπιστοσύνης.

Το ΔΝΤ επισημαίνει πως πληθώρα από εθνικά χρηματοπιστωτικά συστήματα δεν είναι ακόμη έτοιμα να διαχειριστούν τυχόν κυβερνοεπιθέσεις, ενώ και το πλαίσιο του διεθνούς συντονισμού εξακολουθεί να χαρακτηρίζεται ως “αδύναμο”.

Σημειώνεται πως το Διεθνές Νομισματικό Ταμείο βρίσκεται στο τελικό στάδιο επεξεργασίας ενός πλαισίου στρατηγικών κινήσεων δια μέσω των οποίων φιλοδοξεί πως θα ενισχυθεί δραστικά το επίπεδο της ασφάλειας των χρηματοπιστωτικών ιδρυμάτων στον κυβερνοχώρο.