А нет ли кого посередине?

Мы запатентовали технологию, позволяющую выявлять атаки типа Man-in-the-Middle (MitM), столь любимые авторами финансового вредоносного софта. Надеемся, что она позволит значительно уменьшить прибыли мошенников.

В нашем арсенале защитных технологий серьезное пополнение! Мы запатентовали технологию, позволяющую выявлять атаки типа Man-in-the-Middle (MitM), столь любимые авторами финансового вредоносного софта. Надеемся, что она позволит значительно уменьшить прибыли мошенников.

Разработка этой технологии началась несколько лет назад, после того как стала набирать обороты популярность мобильного банкинга. Люди начали все активнее использовать онлайновые платежные приложения, а киберпреступники — совершенствовать свои уловки для кражи финансов. Один из самых распространенных приемов, которые до сих пор постоянно используются в банковских вредоносах, — метод компрометации канала связи типа «человек посередине» (тот самый MitM).

Суть MitM-атаки заключается в том, что злоумышленник перехватывает канал обмена информацией между банком и клиентом и, по сути, подменяет данные, которые получает клиент. То есть мобильное приложение общается не с банком, как думает пользователь, а с посторонней системой, в то время как киберпреступники сами общаются с банком (с очевидным результатом). Конкретных сценариев атак такого рода может быть много, равно как и технологий, которые мошенники могут применить. Это и DNS-spoofing (заражение кэша DNS-сервера), и подмена сертификатов безопасности, и паразитирование на открытых сетях Wi-Fi, и перехват трафика на стороне устройства при помощи вредоносного программного обеспечения, получающего повышенные привилегии в системе, и многое другое.

Мы решили сделать технологию, которая позволила бы банкам выявить MitM-атаку вне зависимости от того, какие конкретно способы ее реализации используют злоумышленники. А следовательно, защитить своих клиентов от мошенничества. То есть нашей задачей было придумать метод, который позволил бы удостовериться, что на «той стороне» действительно информационная система банка. И мы такой метод разработали. Заключается он в применении экспертной системы, которая могла бы перепроверить данные, получаемые финансовым приложением предположительно от банка.

Давайте рассмотрим принцип ее работы на примере простейшей атаки через открытую Wi-Fi-сеть в кафе. На своем устройстве клиент открывает браузер и пытается установить HTTP-соединение с банковским сайтом в надежде получить доступ к своему счету. Но где-то на роутере в кафе его HTTP-запрос перехватывается и перенаправляется на сервер злоумышленников, где развернута фальшивая копия вызываемого сайта. Если пользователь попробует ввести на нем свои учетные данные, то они незамедлительно попадут в руки злоумышленника.

Однако, пытаясь имитировать поведение банка, сервер посылает ответ на запрос. И несмотря на то, что он пытается копировать легитимный отклик, абсолютно идентичным настоящему он быть не может. И вот тут в дело вступает наша технология, позволяющая отправить полученный ответ для сравнения с данными, которые должны были прийти этому пользователю от настоящего банка. В результате технология определяет, что посетитель кафе обращается к фальшивой странице. И, следовательно, позволяет предотвратить киберпреступление.

Потенциально эта технология не только выявляет сам факт MitM-атаки, но и позволяет определить точку, в которой злоумышленники вклиниваются в канал связи. Что в идеальном мире позволяет найти преступников, а в реальности — вовремя предупредить клиентов об опасности. А это на самом деле уже немало.

В данный момент эта технология уже применяется в продуктах «Лаборатории Касперского». В частности, в нашем решении Kaspersky Fraud Prevention, которое помимо всего прочего позволяет банкам защищать процесс мобильного банкинга через устройства под управлением Android и iOS.

Желающие ознакомиться с текстом патента могут найти его на сайте USPTO. Да, и пусть вас не смущает название System and Method for Detection of Targeted Attacks — понятно, что термином «Targeted Attacks» сейчас принято называть атаку, направленную на конкретную организацию, но поскольку MitM также «затачивают» под конкретную задачу, то формально ее также можно считать «целевой атакой».

Советы
Подпишитесь на нашу еженедельную рассылку
  • For all other countries