Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.

Osobní bezpečnost na internetu

183 Aufrufe

Veröffentlicht am

Aktivita TUESDAY Business Network.

Veröffentlicht in: Internet
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Osobní bezpečnost na internetu

  1. 1. Peníze! COMMUNICATION WEDNESDAY – 4. listopadu 2015 Osobní bezpečnost na internetu Karel Miko, DCIT, a.s. miko@dcit.cz
  2. 2. O čem bude příspěvek? • o penězích • o penězích v online světě • o krádežích peněz • o krádežích peněz v online světě • o krádežích a „praní“ peněz v online světě 2
  3. 3. On-line banking fraudy / 1 Pravděpodobně první co nás napadne, kde bychom mohli přijít o peníze • Internet banking, mobile banking, tele-banking • Útoky nejčastěji směřují na klienty • Škála útoků poměrně široká • Phishing (sociální inženýrství) • Credential stealing • Man-in-the-browser & co. (MITB, MITM, MITMo, BITB) • Cross-channel útoky • Útoky na mobilní platformy (viz předchozí prezentace) • Různé autentizační metody činí útoky různě náročné • Jméno heslo • SMS OTP, SW OTP, SW PKI (či jiná kryptografie) • HW: OTP, čipová karta (dříve SIM toolkit, „kalkulátory“) 3
  4. 4. On-line banking fraudy / 2 Bankovní malware • ZeuS – „legenda“ • Následovníci: SpyEye Citadel Dridex Hesperbot aj. • Velmi sofistikovaný, často velmi obtížně odhalitelný, z technického hlediska „mistrovský kousek“, spojený s organizovaným zločinem, lze „koupit“ jako SaaS • S odhalením nové mutace dobrého bankovního malware má problém i odborník, laik – bez šance • Dovede pokořit i velmi sofistikované autentizační a autorizační metody (jako např. čipová karta) • Obvykle to začíná jedním špatným klikem • Malware není k útoku nezbytně nutný (phishing, MITM) 4
  5. 5. On-line banking fraudy / 3 Zranitelnost autentizačních metod: • SMS OTP – phishing, mobile malware • HW OTP – phishing, MITB / MITM • SW „cokoli“ – MITB / malware (v počitači či mobilu) • Čipová karta – MITB, speciální trojan/malware Oběti • Běžný uživatel (často náhodná oběť) • VIP uživatel (spear phishing + navazující kroky) • Firmy (externí útočník + malware) • Firmy (insider – spíše ve velkých firmách) 5
  6. 6. Fraudy s platebními kartami / 1 Šance, že přijdete o peníze zneužitím platební karty je o řád vyšší než útokem přes internetové bankovnictví • Počet fraudů 1 : 20 (IB : Karta) • Objem fraudu 1 : 15 (IB : Karta) • Data z UK-2014, v ČR? Karetní fraudy celosvětově: • 2014: 16 mld.$, 2010: 7 mld.$, 2005: 4 mld.$ • Zdroj: nilsonreport.com • Procento z objemu transakcí je dlouhodobě < 0.1% • Organizovaný zločin, je skutečně organizovaný 6
  7. 7. Fraudy s platebními kartami / 2 Typové rozložení (ECB-2014) • 66% CNP (card not present) • 20% POS (terminál u obchodníka) • 14% ATM (bankomat) Fraudy CNP • Spadají sem veškeré on-line platby • Rostou a porostou Fraudy ATM / POS • Nástup čipových karet (EMV) výrazně snížil objem fraudů tohoto typu (v Evropě) 7
  8. 8. Fraudy s platebními kartami / 3 Útoky • Stolen cards (virtuálně: BIN + CVV) – phishing, telefon, e-mail, obecně internet, hotely, restaurace .. • Skimming / klonování (ATM, hotely, restaurace) • Stolen cards (fyzicky ukradené karty) • Úniky informací o kartách od zpracovatelů či poskytovatelů služeb • Krádež identity + zneužití "uložené" platební karty • Sofistikované útoky (zneužití EMV karty bez znalosti PINu, „cinknuté“ POS terminály) 8
  9. 9. Ostatní on-line fraudy / 1 Nemusí jít přímo o peníze (ale nepřímo) • např. obchodování s akciemi / komodity / deriváty • Pump & dump + variace Nemusí jít o peníze nýbrž o „krypto peníze“ • např. Bitcoin (anonymní – „svým způsobem“) • Umět zaplatit Bitcoinem se občas hodí i běžnému uživateli (ransomware) • Žádný charge-back, krádež/ztráta je nevratná 9
  10. 10. Ostatní on-line fraudy / 2 Oběť často sama pošle peníze na účet útočníka • Obvykle v návaznosti na sociální inženýrství • Podvody: „nigerijské“ dopisy, fiktivní výhry Obětí fraudu se můžete stát i případě, že přijímáte bezhotovostní platbu • Chtěl odesílatel poslat peníze skutečně Vám? 10
  11. 11. Praní peněz Také se může do fraudu zapojit jako „bílý kůň“ • Podivné inzeráty na snadný přivýdělek • Přeposílání peněz (money mule) – součást internet banking fraudů • Přeposílání zásilek (parcel mule) – součást karetních fraudů (adresa v ČR sice není úplné „terno“, ale patří spíše mezi ty lepší destinace) 11
  12. 12. Budoucnost? • Objem on-line plateb/transakcí poroste • Potenciální „kořist“ bude čím dál větší • Budeme uklidňováni, že fraudů je pouze <0.1% • Přijdou inovované metody fraudů • Nezastaví se to 12
  13. 13. 13 Diskuze Otázky?

×