kaspersky fraud prevention for endpoints

KASPERSKY
FRAUD
PREVENTION
FOR ENDPOINTS
www.kaspersky.pl
2
Kaspersky Fraud Prevention for Endpoints
KASPERSKY FRAUD
PREVENTION
1. Sposoby atakowania bankowości online
Głównym motywem cyberprzestępczości jest zarabianie pieniędzy,
a współczesne wyrafinowane gangi przestępcze dysponują całą gamą
technik umożliwiających kradzież pieniędzy z banków internetowych
oraz serwisów finansowych. Niezależnie od tego, czy wykorzystują
szkodliwe oprogramowanie do manipulowania legalnymi
transakcjami oraz przekierowywania gotówki na własne konta, czy
łączą socjotechnikę oraz phishing w celu uzyskania dostępu do kont,
cyberprzestępcy posiadają kilka sposobów na obrabowanie
użytkowników serwisów bankowości online.
Istnieją dwa główne zagrożenia:
• Przejęcie konta – kradzież danych uwierzytelniających użytkownika
i wykorzystanie ich do pobrania pieniędzy z konta.
• Manipulowanie transakcją – zmiana szczegółów dotyczących
transakcji lub utworzenie nowej transakcji w imieniu klienta.
Te cele cyberprzestępcze osiąga się zazwyczaj poprzez łączenie
różnych technik, takich jak:
• kradzież danych uwierzytelniających,
• phishing,
• modyfikacja strony WWW (wstrzyknięcie kodu),
• przechwytywanie formularzy,
• przechwytywanie znaków wprowadzanych z klawiatury,
• wykonywanie zrzutów ekranu,
• ataki z użyciem sfałszowanych zasobów,
• manipulowanie transakcją,
• ataki Man-in-the-Middle (MITM),
• zdalny dostęp,
• ataki Man-in-the-Browser (MITB).
3
Kaspersky Fraud Prevention for Endpoints
2. Ochrona przed oszustwami w akcji
2
3
Man-inSzkodliwe
the-Middle
1 oprogramowanie
Man-inthe-Browser
System
bankowości
online
4
Ochrona przed
phishingiem
w przeglądarce
Fałszywy
system
bankowości
online
2.1 Skanowanie i usuwanie szkodliwego oprogramowania
Kaspersky
Security Network,
adres URL strony,
heurystyka
E-mail, portale
społecznościowe
System
bankowości
online
Strona
phishingowa
Nawet jeśli szkodliwe oprogramowanie znajduje się już na komputerze
użytkownika, Kaspersky Fraud Prevention nadal może chronić operacje
bankowości online. Po zainstalowaniu Kaspersky Fraud Prevention od
razu przeprowadza skanowanie systemu w celu zidentyfikowania
szkodliwego oprogramowania bankowego. Użytkownicy zostają
powiadomieni o wszelkich problemach i zachęcani do usunięcia
szkodliwego pliku (plików) oraz wyleczenia maszyny. Rozwiązanie
przeprowadza dodatkowe skanowanie za każdym razem, gdy zostaje
uruchomiona bezpieczna przeglądarka dla operacji finansowych.
4
Kaspersky Fraud Prevention for Endpoints
STUDIUM PRZYPADKU
Duży rosyjski bank stał się celem szkodliwego oprogramowania,
które automatycznie przekierowywało swoich klientów na stronę
phishingową. To powodowało, że użytkownicy nie tylko
przekazywali cyberprzestępcom swoje dane uwierzytelniające do
systemów bankowości, ale również nie mogli uzyskać dostępu do
rzeczywistej strony internetowej banku. Kaspersky Fraud Prevention
skutecznie wykrył szkodliwe oprogramowanie w komputerach
klientów, dzięki czemu mogli bezpiecznie korzystać z bankowości
online w przyszłości.
Kaspersky Fraud Prevention for Endpoints jest kompatybilny
z wszystkimi czołowymi programami antywirusowymi, a jego
wyłącznym celem jest znajdowanie szkodliwego oprogramowania
bankowego. Nie powinien zastępować tradycyjnego rozwiązania
antywirusowego, ale dopełniać je.
2.2 Ochrona połączeń internetowych
Man-in-theMiddle
System
bankowości
online
Fałszywy certyfikat
Ważny
certyfikat
Fałszowanie
proxy, DNS
Fałszywy
system
bankowości
online
Kaspersky
Security Network,
oryginalny certyfikat strony
Kaspersky Fraud Prevention nie tylko sprawia, że komputer jest
bezpiecznym środowiskiem dla bankowości online, a użytkownik
odwiedza legalny zasób bankowy. Dzięki tej ochronie żadna osoba
trzecia nie może manipulować przy kanale internetowym łączącym
bank i jego klientów.
5
Kaspersky Fraud Prevention for Endpoints
Za każdym razem, gdy użytkownik loguje się do sesji bankowości online,
Kaspersky Fraud Prevention weryfikuje certyfikat bezpieczeństwa strony
internetowej poprzez porównywanie go z certyfikatem bazowym
przechowywanym w opartej na chmurze sieci Kaspersky Security
Network. Taka kontrola zapewnia ochronę przed atakami typu Man-inthe-Middle jak również fałszowaniem DNS i proxy.
System powiadamia użytkownika, gdy zostanie wykryty podejrzany
certyfikat.
2.3 Ochrona przed zagrożeniami w przeglądarce
2.3.1
ZEWNĘTRZNE ATAKI W CELU PRZEJĘCIA KONTROLI NAD
PRZEGLĄDARKĄ
Kaspersky Fraud Prevention for Endpoints zapewnia ochronę przed
przejęciem kontroli nad przeglądarką za pomocą komunikatów do
okien przeglądarki (tak aby strony trzecie nie mogły uzyskać zdalnego
dostępu).
2.3.2
ATAKI WYKORZYSTUJĄCE WSTRZYKIWANIE KODU
Ochrona przed umieszczeniem niezaufanych modułów w procesie
przeglądarki poprzez weryfikację sygnatury biblioteki DLL lokalnie
i w chmurze (KSN).
2.3.3
OCHRONA PRZED WYKONYWANIEM ZRZUTÓW EKRANU
Ochrona przed wykonywaniem zrzutów ekranu obejmuje:
• zabezpieczenie przed technikami wykonywania zrzutów ekranu,
• zabezpieczenie aktualnie otwartego okna w chronionej przeglądarce.
6
Kaspersky Fraud Prevention for Endpoints
2.3.4
SKANOWANIE LUK W ZABEZPIECZENIACH SYSTEMU
Specjalizowana, uaktualniana baza danych luk:
• tylko dla systemu operacyjnego,
• tylko luki pozwalające na eskalcaję przywilejów w trybie jądra.
2.3.5
BEZPIECZNA KLAWIATURA
Podczas wykorzystywania chronionej przeglądarki Kaspersky Fraud
Prevention for Endpoints zabezpiecza wszystkie pola wprowadzania
danych. Kaspersky Fraud Prevention przechwytuje i przetwarza
wszystkie wprowadzane znaki poprzez sterownik klawiatury KFP,
zapobiegając w ten sposób przechwytywaniu informacji przez
szkodliwe oprogramowanie. Bezpieczna klawiatura może być
wykorzystywana w ramach bezpiecznej przeglądarki
i w standardowych oknach przeglądarki.
2.3.6
OCHRONA SCHOWKA
Ogranicza dostęp do schowka dla niezaufanych aplikacji.
2.3.7
AUTOOCHRONA
Chroni przed modyfikacjami Kaspersky Fraud Prevention
for Endpoints:
• klucze systemu Windows,
• pliki,
• procesy,
• wątki.
2.4 Ochrona przed phishingiem w przeglądarce
System
bankowości
online
System antyphishingowy firmy Kaspersky Lab łączy technologie
heurystyczne i oparte na chmurze z tradycyjnymi bazami danych
offline, aby blokować nawet nowe, nieznane wcześniej
zagrożenia.
7
Kaspersky Fraud Prevention for Endpoints
Szybko aktualizowany, oparty na chmurze moduł antyphishingowy
zawiera maski phishingowych adresów URL. Nowe zagrożenia mogą
zostać dodane w ciągu kilku sekund od ich wykrycia, zapewniając
ochronę komputerom klientów banku przed stronami phishingowymi,
które nie zostały jeszcze umieszczone w lokalnych bazach danych. Za
każdym razem, gdy użytkownik trafi na adres URL, który nie znajduje
się w lokalnej bazie danych, system automatycznie sprawdza go w
chmurze.
Heurystyczny komponent WWW systemu antyphishingowego jest
aktywowany w momencie kliknięcia przez użytkownika odsyłacza do
strony phishingowej, która nie została jeszcze dodana do baz firmy
Kaspersky Lab.
Ponadto, obszerna baza antyphishingowa offline, przechowywana na
urządzeniach użytkowników, zawiera wszystkie najbardziej
rozpowszechnione maski phishingowych adresów URL
3. Konsola Kaspersky Fraud Prevention
W celu ułatwienia zarządzania rozwiązanie Fraud Prevention for
Endpoints wykorzystuje jedną konsolę, która dostarcza głębsze i szersze
kontekstowe i skorelowane informacje dotyczące użytkownika, jego
urządzenia oraz sesji.
3.1 Panel raportowania
Konsola gromadzi informacje z Kaspersky Fraud Prevention for
Endpoints dotyczące urządzenia użytkownika, sesji i środowiska jak
również wszelkich ataków przeprowadzonych na maszynę użytkownika
(phishing, ataki MITB lub MITM, ataki przy użyciu szkodliwego
oprogramowania).
3.2 Zdalna konfiguracja
Konsola oferuje możliwości zdalnego zarządzania ustawieniami
Kaspersky Fraud Prevention for Endpoints.
3.3 Dostarczanie danych statystycznych
Konsola posiada możliwość wysyłania danych statystycznych do
wewnętrznych systemów monitorowania transakcji, zwiększając w ten
sposób współczynnik wykrywania i zmniejszając liczbę fałszywych
trafień.
8
Kaspersky Fraud Prevention for Endpoints
4. Szczegóły dotyczące implementacji
Integracja przebiega zwykle w trzech etapach:
1. Dostosowanie rozwiązania do wymagań banku w celu stworzenia
unikatowego serwisu bankowości online. Stosowane przez Kaspersky Lab
podejście white-labelling pozwala bankowi stworzyć swoją własną, szytą
na miarę formę korzystania z bankowości online z wykorzystaniem
własnego logo, kolorystyki, czcionki oraz preferowanego wyglądu strony.
Ikony na pulpicie i pasku zadań również mogą zostać dostosowane do
indywidualnych potrzeb banku.
2. Konfiguracja integracji z wewnętrznymi systemami banku.
Kaspersky Fraud Prevention for Endpoints umożliwia uzyskanie
szczegółów dotyczących wersji oraz statutu produktu podczas łączenia
się z bankiem internetowym. Informacje te są uzyskiwane przez
wyspecjalizowany skrypt, zgodnie z opisem w dokumentacji. Zalecamy
trzy główne scenariusze robocze, jednak każdy bank może
wykorzystywać uzyskane dane według własnego uznania.
3. Bank może wybrać sposób dystrybucji aplikacji wśród klientów.
Może np. sprawdzić, czy Kaspersky Fraud Prevention działa już na
maszynach użytkowników i zachęcić ich do pobranie tego narzędzia,
jeśli istnieje taka potrzeba. Bank może wybrać również inny sposób
dystrybucji aplikacji. W celu oszczędzenia zasobów obliczeniowych
banku aplikacja ta jest w większości przechowywana na serwerach firmy
Kaspersky Lab, a dostęp do niej jest uzyskiwany przy użyciu pliku
o rozmiarze 2 MB przekazywanego bankowi w fazie implementacji.
Realizacja procesu instalacji zajmuje zwykle około dwóch tygodni.
Specjalny zespół implementacyjny firmy Kaspersky Lab jest dostępny
podczas całego procesu instalacji, aby pomóc zintegrować rozwiązanie
z resztą sieci banku i rozwiązać wszelkie problemy, jakie mogą się
pojawić.
Więcej informacji: http://www.kaspersky.pl/dla-korporacji/fraud-prevention
Twitter.com/
KasperskyLabPL
Kaspersky Lab
www.kaspersky.pl
Facebook.com/
KasperskyLabPolska
Wszystko o zagrożeniach IT:
www.securelist.pl
Youtube.com/
KasperskyLabPL
Oficjalny blog:
plblog.kaspersky.com
© 2016 Kaspersky Lab. Wszelkie prawa zastrzeżone. Zarejestrowane znaki towarowe i nazwy usług należą do ich właścicieli.