Menu

Nové bezpečnostní mezery

PAYPAL, NFC & CO.:

Nové bezpečnostní mezery

S novými technologiemi by měli mít v budoucnu zákazníci možnost zakoupit vybrané zboží ještě rychleji a snadněji. Zároveň ale mohou nové platební systémy čelit zvýšenému nebezpečí útoků.
   PETR KRATOCHVÍL, MANUEL SCHREIBER  

Ať už je to u pokladny v supermarketu, na čerpací stanici nebo na internetu, bezhotovostní platby se již dávno staly součástí každodenního života. Přesto se však očekává, že nakupování bude v budoucnu ještě rychlejší a snadnější a platby budou prováděny (pravděpodobně bezdrátově) kartou nebo pomocí smartphonu.
Finanční instituce se zaměřují zejména na technologii NFC (Near Field Communication), ve které jsou všechny potřebné údaje uloženy na malém RFID čipu. Jak bezpečná je ale tato rádiová technologie? Prozradíme vám, jak snadno mohou útočníci přečíst data, a ukážeme vám způsob, jak může být jakýkoliv NFC čip cracknut.
Nebezpečí však nečíhá jen v oblasti nových technologií, ale i v podobě stále více sofistikovanějších triků hackerů, zmanipulování bankomatů, zranitelnosti terminálů v obchodech, malwaru skrytého v QR kódech a ukradených čísel kreditních karet. Poradíme vám, jak se můžete před odcizením dat chránit a jak reagovat v případě podvodu.

NFC: Peníze v otevřené dlani?

Již dlouhou dobu je známo, že data na kreditních kartách s NFC čipem nejsou šifrována. Již v lednu tohoto roku ukázala hackerka Kristin Pagetová na hackerské konferenci ShmooCon (Washington DC, USA), jak lze odhalit číslo kreditní karty a datum vypršení platnosti. V současné době existuje i specializovaná aplikace pro smartphone, která loví tyto údaje.
Abychom vyzkoušeli, jak snadno lze získat údaje o platební kartě, nainstalovali jsme aplikaci na zařízení s podporou NFC (Samsung Galaxy Nexus) a vyrazili jsme na lov kreditních karet v redakci. Ve finále se nám skutečně sběr některých údajů podařil (viz screenshot vpravo), ale pouze po přímém kontaktu mezi mobilním telefonem a kartou. Se silnější čtečkou dle normy ISO by však čtení bylo možné do vzdálenosti až 10 cm.
Pravda ale je, že na NFC čipu karty nejsou uloženy důležité informace – například zde chybí třímístný číselný kód CVV (Card Verification Value). Pokud chce tedy zloděj prostřednictvím ukradených dat nakupovat na internetu, je závislý na obchodech, které toto číslo nepožadují. Pro karty MasterCard a Visa je to ale přijatelné bezpečnostní riziko, stejně jako v případě konvenčních karet. Pokud dá zákazník svou kartu z ruky, například v restauraci, každý si může zkopírovat čísla, včetně CVV. V zahraničí ale platí, že banky jsou ochotny nést toto riziko na své náklady – jestliže si zákazník všimne zneužití do 30 dnů, dostane své peníze zpět.
Vzhledem k přístupu finančních institucí bude u nás rozšiřování NFC hodně pomalé. O tom, že se „zázraky“ nikdo nepočítá, svědčí například i skutečnost, že když na počátku září začala Telefónica nabízet SIM karty s podporou NFC, byly k dispozici jen v omezené míře.
K podobnému pokusu se na počátku roku odhodlala i jedna německá banka, která v okolí Hannoveru experimentovala s kartami girogo. Okamžitě se ale stala předmětem kritiky ochránců soukromí, protože se ukázalo, že na kartě jsou v nezašifrované podobě uložena data o posledních patnácti platbách spolu s identifikačními kódy prodejců (jediným světlým bodem je, že na kartě není uloženo ani jméno, ani adresa nakupujícího). Z hlediska korektnosti je nutné poznamenat, že tato data jsou „čitelná“ již řadu let, protože staré platební karty ukládají stejné informace – a také nezašifrované. Jediný, avšak významný rozdíl spočívá v tom, že nyní karta pracuje „bez kontaktu“.
Přesto nelze prohlásit, že technologie NFC představují zvýšené riziko. Pokud totiž máte strach o zneužití dat cizími lidmi, stačí použít jednoduchý trik: kovový ochranný kryt nebo jednoduchá hliníková fólie NFC kartu bezpečně ochrání.

Mobilní krádeže: NFC útoky zítřka

Dva výzkumníci z University Tel Aviv v Izraeli ukázali, jak nebezpečný může být bezdrátový „platební provoz“. Pomocí jejich metody by mělo být možné zaznamenat celý datový provoz, i když karta a čtečka používají silnou autentifikaci a šifrovací algoritmy.
Speciální „relay“ útok se skládá z vlastnoručně vyrobené čtečky (Leech) a falešné karty (Ghost).
Pomocí těchto zařízení je možné se připojit prostřednictvím speciálního „routeru“ mezi kartu zákazníka a čtečku prodejce (viz schéma na › str. 30). Útok pak může mít následující podobu: Zloděj se přiblíží k vybrané osobě, aktivuje čtečku a předá data do vzdálené karty druhého útočníka, který tak může nakupovat na úkor oběti.
Podle vědců je ale v tomto typu útoku jedním z největších problémů vzdálenost mezi zákaznickou kartou a čtečkou, která by (v souladu s normou ISO) měla být jen několik centimetrů. Vědci už ale dokázali tuto překážku překonat zvýšením síly signálu, čímž dosáhli vzdálenosti až 50 cm, tedy pětinásobku „běžného maxima“ v podobě 10 cm. Specializovaný software navíc filtruje šum na pozadí (SNR), takže data jsou přenášena téměř dokonale. Dalším omezením může být vzdálenost mezi čtečkou a falešnou kartou, která zatím může činit maximálně 50 metrů.
Tento trik nám sice v současnosti nehrozí, protože vyžaduje podstatně větší rozšíření NFC karet, nicméně naznačuje, jaké nebezpečí můžete očekávat v budoucnu.

On-line služby: Krádeže dat se stávají snadnějšími

Oblíbeným cílem útočníků jsou on-line služby, protože zde hackeři mohou často snadno sehnat tisíce jmen a hesel, e-mailové adresy, údaje o účtech a čísla kreditních karet. Na první pohled může být odcizení přihlašovacích údajů k „obyčejným“ službám zbytečností, ale vzhledem k tomu, že mnoho uživatelů používá stejné přihlašovací údaje pro celou řadu webů, mohou být tyto údaje cestou k přístupu k oblíbeným platebním službám, jako je například PayPal nebo Amazon Checkout.
Častokrát ale hackeři udeří i na „bohatší cíle“. V rámci dosud největšího datového skandálu v historii internetu získali v loňském roce hackeři při útoku na Sony data přibližně 100 milionů uživatelů. Odcizena nebyla pouze jména, adresy a hesla, ale také čísla jejich kreditních karet. Za mimořádně trapnou lze však označit skutečnost, že společnost Sony ukládala na firemních serverech data v nešifrované podobě – chráněn byl pouze třímístný CVV údaj. Neustálým terčem hackerů jsou také další služby, jako je Xbox Live nebo iTunes.
Problém: Zákazníci obvykle netuší, jak firmy chrání jejich údaje o kreditní kartě, a tak se mohou jen velmi obtížně bránit. V rámečku vpravo si však můžete přečíst, jak toto riziko alespoň omezit.
Nebezpečí ale nehrozí jen ze strany poskytovatelů, zloději také stále spoléhají na staré známé triky v podobě phishingových e-mailů. V tomto případě lze použít jednoduchý trik, pomocí kterého můžete zjistit skutečného odesílatele. Například v aplikaci Outlook stačí pohnout myší přes políčko s URL, a můžete vidět skutečnou adresu.

QR kódy: Tištěný malware

U nové metody nakupování se už ale falšování nerozpozná tak snadno. Prodejci stále častěji nabízí zákazníkům zboží pomocí QR kódů, které mohou obsahovat jak informace pro nakupujícího, tak i odkaz na samotné produkty. Nepříjemné je především to, že nikdo si na první pohled nemůže být jistý, co se za QR kódem skrývá – kromě informací o nákupu to totiž také může být odkaz, který vás přesměruje na phishingový web.
Na konci loňského roku objevila firma Kaspersky Labs celou řadu škodlivých QR kódů na různých webových stránkách a diskusních fórech. Přesto PayPal předpokládá, že v budoucnu budou uživatelé nakupovat především pomocí QR kódů.
IT společnost Itellium už nyní vyvíjí požadovanou infrastrukturu pro „QRshoppingové“ služby a její vývojáři jsou si vědomi nebezpečí těchto kódů. Chcete-li zabránit zneužití, používejte PayPal kódy pouze s oficiálními aplikacemi pro iOS a Android. V rámci nich jsou totiž při nákupu data odeslána na server pro ověření „pravosti“. Stejně jako u všech on-line platebních systémů však i zde existují i další slabá místa: malware pro smartphony už totiž dávno není výjimkou.
Nedávno například bezpečnostní experti odhalili trojského koně, který dokáže manipulovat s mobilními zařízeními a převést peníze na jiný účet PayPal. Podvodníkům budou také nahrávat nezkušení zákazníci, kteří budou pro čtení QR kódů používat různé neoficiální aplikace, jež je mohou dovést na falešné webové stránky.

Smartphone: Rizikové zařízení

Zatímco riziko u QR kódu je s obtížemi zvládnutelné, další vývoj v oblasti mobilních plateb může být mnohem nebezpečnější. PayPal testuje platební systém (označovaný jako PayPal Here), který umožní platbu u každého smartphonu. Hlavní myšlenkou je to, aby v budoucnu mohla každá osoba přijímat platby kreditní kartou. V rámci tohoto systému by prodávající připojil do mobilního telefonu přes mikrofonní vstup čtečku a nainstaloval si příslušnou aplikaci.
Tato myšlenka ale není úplně nová – zakladatel Twitteru Jack Dorsey nabízí podobný systém už téměř dva roky. V rámci jeho projektu „Square“ je již v provozu 500 tisíc čteček. Jeho výhodou jsou jednodušší platby a především větší bezpečnost. Smartphony lze přece jen snadněji zmanipulovat: stačí, aby se na zařízení spustil na pozadí škodlivý kód nebo někdo vytvořil prodej v kopii PayPal designu…
Tato zařízení tedy sice nabídnou zajímavé možnosti a usnadní prodej či nákup zboží, zároveň ale trpí dětskými nemocemi a i riziko s nimi související je prozatím příliš vysoké.

Skimmer: Kopie vaší karty

Přestože lze magnetické pásky považovat za příliš nebezpečné a zastaralé, jsou všechny kreditní a debetní karty tiše dodávány i s těmito „pruhy“. Této mezery využívají skimmery (čtečky), které zloději instalují do upravených bankomatů. Aby banky zabránily útokům tohoto typu, musí provést modernizaci svých bankomatů.
Například u celé řady bankomatů domácích bank už najdete plastovou ochranu, která ztěžuje instalaci čtecího zařízení. I přesto dochází s železnou pravidelností k instalaci nových a nových skimmerů a přibývá podvedených zákazníků. Nedávno byl odhalen případ, kdy zloději měli tu drzost nainstalovat čtecí zařízení přímo do bankomatu v pobočce banky. Vydělávali statisíce, protože většina lidí si při zadávání PIN kódu „nedává pozor“. Základní ochranou proti zneužití karty „skimmery“ je skrytí zadávání PIN kódu. Zloději tak sice mohou mít kopii vaší karty, ta jim ale není bez příslušného kódu nic platná.
U evropských bankovních karet se začíná objevovat dodatečná ochrana v podobě integrovaného čipu EMC (Europay International, MasterCard a Visa). I toto zabezpečení má však svá omezení. Výzkumníci z Cambridge University v roce 2010 ukázali, že ochrana EMC karet může být prolomena, takto upravené odcizené karty akceptují jakýkoliv PIN.
Na bezpečnostní konferenci CanSecWest 2011 ve Vancouveru v Kanadě vědci předvedli, jak může být PIN vysledován pomocí velmi tenkého skimmeru EMC, který útočníci umístí ve slotu bankomatu (viz fotografie na › str. 30).

Vzdálený přístup: Hacknuté karetní terminály

Manipulace s bankomaty a terminály obvykle vyžadují hardware, který útočník připojí k zařízení. Bezpečnostní expert Thomas Roth z berlínské firmy Security Research Labs (SRLabs) nyní vymyslel nový způsob útoku, který pracuje bez hardwarové manipulace. Díky tomu si ho nemá šanci všimnout ani zákazník, ani prodejce: dokáže pomocí kódu cracknout zařízení a provést v něm téměř libovolné změny. Škodlivý kód může být do zařízení infiltrován přetečením vyrovnávací paměti prostřednictvím sítě, pokud útočník zná IP adresu přístroje. I když je možné zabezpečit zranitelnost přístroje pomocí aktualizace, lokální útok dokáže překonat i tuto „obranu“. Pokud například hacker přistupuje přímo k aplikaci přes ladicí rozhraní v terminálu (JTAG rozhraní), může například aktivovat přesměrování transakcí, změnit množství peněz nebo špehovat PIN kódy.

Jak banky odhalují podvody

Banky obvykle neprozrazují, jak se chrání před útoky a jak odhalují datové zloděje, protože nikdo nechce podvodníkům „napovídat“. Nám se však podařilo alespoň zčásti vyzpovídat jednoho z bankovních specialistů.
Je samozřejmé, že každá banka má své bezpečnostní IT odborníky, kteří aktivně spolupracují s policií. Kontaktování policie bývá ale vždy až tím posledním krokem – v ideálním případě by měla být banka schopna zlodějům krádež překazit. A právě k tomuto účelu se používají vlastními silami vyvinuté monitorovací systémy, které umožňují shromažďovat a kontrolovat transakce v reálném čase. Tento software například prověřuje počet transakcí nebo maximální vybírané částky. Vše je navíc prověřováno, když transakce neodpovídají profilu zákazníka: například když zákazník poprvé vyčerpá své konto až do dna nebo když jsou v poznámce pro příjemce nečitelné znaky. Každá „nepravidelnost“ zvyšuje pravděpodobnost podvodu, a pokud „součet“ přesáhne určitou hranici, je nutné okamžitě kontaktovat zákazníka. Pokud se objeví několik podvodů současně, vyšetřovatelé obvykle používají tzv. POC analýzu (Point of Compromise), v rámci které se kontrolují výpisy z účtu postižených osob s cílem najít společné prvky. Díky tomu lze například odhalit zmanipulovaný terminál, najít zákazníky, kteří ho použili, a varovat ty, jejichž karty ještě nebyly zneužity. Podle odhadu expertů ale přibližně 75 procent případů pochází z internetu, kde i ti nejlepší bankovní experti chytají viníky jen velmi obtížně.
       petr.kratochvil@chip.cz

JAK ČEŠI PLATÍ NA INTERNETU
Domácí nakupující stále preferují především dobírku, i když její podíl rok od roku klesá. Modernější způsoby plateb sráží na kolena nedůvěra zákazníků.
DOBÍRKA     40%
BANKOVNÍ PŘEVOD     30%
KARTA     17%
V POBOČCE E-SHOPU     10%
ON-LINE PENĚŽENKY     3%



ČTENÍ INFORMACÍ Z KARET POMOCÍ TELEFONU
Pomocí smartphonu s podporou NFC mohou být zjištěna i čísla kreditních karet. Na konci června se dokonce na krátkou dobu v Play Store (aplikace pro Android) objevila příslušná aplikace. Ačkoliv již byla smazána, lze tento „zajímavý nástroj“ bez problému získat na internetu. Zdrojový kód lze například najít na serveru GitHub.


GIROGO UKLÁDÁ INFORMACE
NFC karty banky odhalují posledních patnáct platebních transakcí a poslední tři nabíjecí procesy. Finanční instituce vnímá tyto informace jako servis pro zákazníky a nabízí i aplikaci pro čtení těchto informací. Ochránci soukromí se však obávají o sledování zákazníků.


CHRAŇTE SE PŘED ÚTOKY

Použití předplacené karty

Pokud nutně potřebujete platit v zahraničí v rizikových oblastech nebo za „rizikové služby“, lze doporučit využití tzv. předplacených karet (např. „Prepaid Visa“, „Mastercard Prepaid“). V případě podvodu přijdete jen o předplacený kredit. V domácích končinách je častým řešením založit si účet u Mbank, za mírný poplatek si nechat vydat kartu ke spořicímu účtu a na ten přesouvat peníze až těsně před „internetovou transakcí“. Podobný trik lze provést u více domácích bank, doporučujeme ale podrobně prostudovat jejich podmínky a ceníky.
Ochrana: bankomaty, on-line služby

Kontrola odkazů a QR kódů

Skryté odkazy v e-mailech jednoduše zkontrolujete tak, že přes ně „přejedete“ myší. Profesionálnější je využití nástrojů na kontrolu odkazů, které vás automaticky upozorní na problematický odkaz. Mezi nejoblíbenější patří například nástroj od AVG Linkscanner.
V případě QR kódů doporučujeme využít aplikace, které zobrazují odkaz před jeho otevřením: například „Barcode Scanner“. Nejnáročnější uživatelé si mohou na svůj přístroj nainstalovat kvalitní antivir, který dokáže ochránit i před podvodnými QR kódy.
Ochrana: on-line služby, on-line bankovnictví, běžné surfování

Aktivujte si potvrzení přes SMS

Ačkoliv už hackeři pracují na vývoji virů, které by byly schopné paralelně napadat stolní počítač a smartphone, poskytují mobilní telefony stále ještě solidní bezpečí. Je tedy víc než doporučeníhodné aktivovat si pro schválení transakcí autorizaci pomocí SMS. Díky tomu také budete automaticky informováni při každém pohybu na účtu, díky čemuž můžete rychle a snadno zabránit jeho zneužití.
Ochrana: on-line služby, on-line bankovnictví

Používejte různá hesla a e-mailové adresy

Nikdy nepoužívejte stejné heslo pro všechny vaše on-line služby. Pokud vám už paměť tolik neslouží, použijte odlišná hesla alespoň u finančních webů. Nedoporučujeme také používat pro komunikaci s všemi službami jeden e-mailový účet. Například pro registraci na různých službách je vhodné využít jednorázové či časově omezené účty (například 10minutemail.com).
Ochrana: on-line služby

Nejlepší prostředky pro ochranu

Při výběru automobilu kontrolujete, kolik hvězdiček obdržel v nárazových testech, při výběru výrobku hledíte i na jeho záruční dobu. Stejné záruky a bezpečí byste měli dopřát i svým financím! Náklady na pořízení kvalitního antivirového softwaru jsou ve srovnání s potenciálními škodami zanedbatelné. I bezplatný bezpečnostní nástroj je lepší než ponechání počítače bez ochrany…
Ochrana: on-line služby, on-line bankovnictví, běžné surfování


ŘEŠENÍ PROBLÉMŮ
Klíčovým parametrem při řešení problémů se zneužitím platebních karet je rychlost. Čím dříve nahlásíte krádež finančních prostředků, tím větší je pravděpodobnost, že se vám podaří ztrátu minimalizovat, nebo dokonce získat všechny peníze zpět. Ve vašem mobilním telefonu by také nemělo chybět telefonní číslo na helplinku vaší banky, v ideálním případě pak přímo na zákaznický servis umožňující zablokování karty. Je ale poněkud paradoxní, že některé zahraniční „internetové platební služby“ nabízejí lepší ochranu vašich financí než domácí banky, u kterých máte běžný účet…
Nahlášení cracknutého PayPal účtu
Pokud byl váš účet cracknut, musíte nejprve na webu PayPal změnit své heslo. Poté postupujte stejně jako v rámci „ochrany nakupujícího“ (viz výše). Nemůžete-li se ke svému účtu ani přihlásit, kontaktujte PayPal telefonicky.
Blokování jiných on-line služeb
V případě hacknutí běžných účtů obvykle stačí pouze změnit heslo. Doporučujeme také informovat majitele nebo provozovatele služby, abyste byli chráněni v případě, že útočník způsobil nějaké další škody jiným uživatelům.


JAK ZLODĚJI MOHOU ZNEUŽÍT NOVÉ KARTY

Pomocí „realy“ útoku, mohou útočníci pro nákupy použít libovolnou NFC kartu. To jim umožní speciální aktivní čtečka, 1 která z karty oběti načte potřebná data a předá 2 je do „Ghost“karty. S touto falešnou kartou poté podvodníci mohou zaplatit za zboží u pokladny 3 . Útok probíhá v reálném čase.

NEVIDITELNÝ SKIMMER KARET GIRO
1 Zadní strana EMV skimmeru s datovým úložištěm. 2 Přední strana skimmeru s kontaktem pro EMV čip. Skimmer je tak tenký, že se bez problémů vejde do slotu na karty 3 a může tak nenápadně číst 4 čísla PIN karet.

JAK SE BANKY BRÁNÍ ZNEUŽITÍ KARET
Banky se snaží chránit bankomaty před podvodníky pomocí speciálních nástavců. Ty dokáží zabránit použití běžných skimingových technik.

HACKNUTÉ TERMINÁLY

Bezpečnostní experti v sousedním Německu objevili chybu v terminálech, díky které je možné do nich propašovat malware – přes internet. V současnosti probíhají intenzivní testy i u dalších zařízení tohoto typu.

ZLODĚJI POD KONTROLOU

Každá banka má svou specializovanou centrálu, kde se nachází monitorovací systém pro všechny prováděné transakce.

JAK FUNGUJE NAKUPOVÁNÍ V ZAHRANIČÍ
1 Pokud zaplatíte kreditní kartou, musí být u pokladny 2 nejprve transakce autorizována bankou. Za tímto účelem odesílá požadovaná data přes provozovatele sítě 3 nejprve do lokální banky, 4 která je předá úvěrové instituci. 5 Ta odešle požadavek na domácí pobočku banky 6 a přes ni posléze i na centrálu finanční instituce. 7 Středisko pro zpracování dat přijme rozhodnutí z banky a povoluje platbu kreditní kartou. Zákazník 8 poté může odebrat zboží a ukončit nákup.