kaspersky fraud prevention for endpoints
Transkrypt
kaspersky fraud prevention for endpoints
KASPERSKY FRAUD PREVENTION FOR ENDPOINTS www.kaspersky.pl 2 Kaspersky Fraud Prevention for Endpoints KASPERSKY FRAUD PREVENTION 1. Sposoby atakowania bankowości online Głównym motywem cyberprzestępczości jest zarabianie pieniędzy, a współczesne wyrafinowane gangi przestępcze dysponują całą gamą technik umożliwiających kradzież pieniędzy z banków internetowych oraz serwisów finansowych. Niezależnie od tego, czy wykorzystują szkodliwe oprogramowanie do manipulowania legalnymi transakcjami oraz przekierowywania gotówki na własne konta, czy łączą socjotechnikę oraz phishing w celu uzyskania dostępu do kont, cyberprzestępcy posiadają kilka sposobów na obrabowanie użytkowników serwisów bankowości online. Istnieją dwa główne zagrożenia: • Przejęcie konta – kradzież danych uwierzytelniających użytkownika i wykorzystanie ich do pobrania pieniędzy z konta. • Manipulowanie transakcją – zmiana szczegółów dotyczących transakcji lub utworzenie nowej transakcji w imieniu klienta. Te cele cyberprzestępcze osiąga się zazwyczaj poprzez łączenie różnych technik, takich jak: • kradzież danych uwierzytelniających, • phishing, • modyfikacja strony WWW (wstrzyknięcie kodu), • przechwytywanie formularzy, • przechwytywanie znaków wprowadzanych z klawiatury, • wykonywanie zrzutów ekranu, • ataki z użyciem sfałszowanych zasobów, • manipulowanie transakcją, • ataki Man-in-the-Middle (MITM), • zdalny dostęp, • ataki Man-in-the-Browser (MITB). 3 Kaspersky Fraud Prevention for Endpoints 2. Ochrona przed oszustwami w akcji 2 3 Man-inSzkodliwe the-Middle 1 oprogramowanie Man-inthe-Browser System bankowości online 4 Ochrona przed phishingiem w przeglądarce Fałszywy system bankowości online 2.1 Skanowanie i usuwanie szkodliwego oprogramowania Kaspersky Security Network, adres URL strony, heurystyka E-mail, portale społecznościowe System bankowości online Strona phishingowa Nawet jeśli szkodliwe oprogramowanie znajduje się już na komputerze użytkownika, Kaspersky Fraud Prevention nadal może chronić operacje bankowości online. Po zainstalowaniu Kaspersky Fraud Prevention od razu przeprowadza skanowanie systemu w celu zidentyfikowania szkodliwego oprogramowania bankowego. Użytkownicy zostają powiadomieni o wszelkich problemach i zachęcani do usunięcia szkodliwego pliku (plików) oraz wyleczenia maszyny. Rozwiązanie przeprowadza dodatkowe skanowanie za każdym razem, gdy zostaje uruchomiona bezpieczna przeglądarka dla operacji finansowych. 4 Kaspersky Fraud Prevention for Endpoints STUDIUM PRZYPADKU Duży rosyjski bank stał się celem szkodliwego oprogramowania, które automatycznie przekierowywało swoich klientów na stronę phishingową. To powodowało, że użytkownicy nie tylko przekazywali cyberprzestępcom swoje dane uwierzytelniające do systemów bankowości, ale również nie mogli uzyskać dostępu do rzeczywistej strony internetowej banku. Kaspersky Fraud Prevention skutecznie wykrył szkodliwe oprogramowanie w komputerach klientów, dzięki czemu mogli bezpiecznie korzystać z bankowości online w przyszłości. Kaspersky Fraud Prevention for Endpoints jest kompatybilny z wszystkimi czołowymi programami antywirusowymi, a jego wyłącznym celem jest znajdowanie szkodliwego oprogramowania bankowego. Nie powinien zastępować tradycyjnego rozwiązania antywirusowego, ale dopełniać je. 2.2 Ochrona połączeń internetowych Man-in-theMiddle System bankowości online Fałszywy certyfikat Ważny certyfikat Fałszowanie proxy, DNS Fałszywy system bankowości online Kaspersky Security Network, oryginalny certyfikat strony Kaspersky Fraud Prevention nie tylko sprawia, że komputer jest bezpiecznym środowiskiem dla bankowości online, a użytkownik odwiedza legalny zasób bankowy. Dzięki tej ochronie żadna osoba trzecia nie może manipulować przy kanale internetowym łączącym bank i jego klientów. 5 Kaspersky Fraud Prevention for Endpoints Za każdym razem, gdy użytkownik loguje się do sesji bankowości online, Kaspersky Fraud Prevention weryfikuje certyfikat bezpieczeństwa strony internetowej poprzez porównywanie go z certyfikatem bazowym przechowywanym w opartej na chmurze sieci Kaspersky Security Network. Taka kontrola zapewnia ochronę przed atakami typu Man-inthe-Middle jak również fałszowaniem DNS i proxy. System powiadamia użytkownika, gdy zostanie wykryty podejrzany certyfikat. 2.3 Ochrona przed zagrożeniami w przeglądarce 2.3.1 ZEWNĘTRZNE ATAKI W CELU PRZEJĘCIA KONTROLI NAD PRZEGLĄDARKĄ Kaspersky Fraud Prevention for Endpoints zapewnia ochronę przed przejęciem kontroli nad przeglądarką za pomocą komunikatów do okien przeglądarki (tak aby strony trzecie nie mogły uzyskać zdalnego dostępu). 2.3.2 ATAKI WYKORZYSTUJĄCE WSTRZYKIWANIE KODU Ochrona przed umieszczeniem niezaufanych modułów w procesie przeglądarki poprzez weryfikację sygnatury biblioteki DLL lokalnie i w chmurze (KSN). 2.3.3 OCHRONA PRZED WYKONYWANIEM ZRZUTÓW EKRANU Ochrona przed wykonywaniem zrzutów ekranu obejmuje: • zabezpieczenie przed technikami wykonywania zrzutów ekranu, • zabezpieczenie aktualnie otwartego okna w chronionej przeglądarce. 6 Kaspersky Fraud Prevention for Endpoints 2.3.4 SKANOWANIE LUK W ZABEZPIECZENIACH SYSTEMU Specjalizowana, uaktualniana baza danych luk: • tylko dla systemu operacyjnego, • tylko luki pozwalające na eskalcaję przywilejów w trybie jądra. 2.3.5 BEZPIECZNA KLAWIATURA Podczas wykorzystywania chronionej przeglądarki Kaspersky Fraud Prevention for Endpoints zabezpiecza wszystkie pola wprowadzania danych. Kaspersky Fraud Prevention przechwytuje i przetwarza wszystkie wprowadzane znaki poprzez sterownik klawiatury KFP, zapobiegając w ten sposób przechwytywaniu informacji przez szkodliwe oprogramowanie. Bezpieczna klawiatura może być wykorzystywana w ramach bezpiecznej przeglądarki i w standardowych oknach przeglądarki. 2.3.6 OCHRONA SCHOWKA Ogranicza dostęp do schowka dla niezaufanych aplikacji. 2.3.7 AUTOOCHRONA Chroni przed modyfikacjami Kaspersky Fraud Prevention for Endpoints: • klucze systemu Windows, • pliki, • procesy, • wątki. 2.4 Ochrona przed phishingiem w przeglądarce System bankowości online System antyphishingowy firmy Kaspersky Lab łączy technologie heurystyczne i oparte na chmurze z tradycyjnymi bazami danych offline, aby blokować nawet nowe, nieznane wcześniej zagrożenia. 7 Kaspersky Fraud Prevention for Endpoints Szybko aktualizowany, oparty na chmurze moduł antyphishingowy zawiera maski phishingowych adresów URL. Nowe zagrożenia mogą zostać dodane w ciągu kilku sekund od ich wykrycia, zapewniając ochronę komputerom klientów banku przed stronami phishingowymi, które nie zostały jeszcze umieszczone w lokalnych bazach danych. Za każdym razem, gdy użytkownik trafi na adres URL, który nie znajduje się w lokalnej bazie danych, system automatycznie sprawdza go w chmurze. Heurystyczny komponent WWW systemu antyphishingowego jest aktywowany w momencie kliknięcia przez użytkownika odsyłacza do strony phishingowej, która nie została jeszcze dodana do baz firmy Kaspersky Lab. Ponadto, obszerna baza antyphishingowa offline, przechowywana na urządzeniach użytkowników, zawiera wszystkie najbardziej rozpowszechnione maski phishingowych adresów URL 3. Konsola Kaspersky Fraud Prevention W celu ułatwienia zarządzania rozwiązanie Fraud Prevention for Endpoints wykorzystuje jedną konsolę, która dostarcza głębsze i szersze kontekstowe i skorelowane informacje dotyczące użytkownika, jego urządzenia oraz sesji. 3.1 Panel raportowania Konsola gromadzi informacje z Kaspersky Fraud Prevention for Endpoints dotyczące urządzenia użytkownika, sesji i środowiska jak również wszelkich ataków przeprowadzonych na maszynę użytkownika (phishing, ataki MITB lub MITM, ataki przy użyciu szkodliwego oprogramowania). 3.2 Zdalna konfiguracja Konsola oferuje możliwości zdalnego zarządzania ustawieniami Kaspersky Fraud Prevention for Endpoints. 3.3 Dostarczanie danych statystycznych Konsola posiada możliwość wysyłania danych statystycznych do wewnętrznych systemów monitorowania transakcji, zwiększając w ten sposób współczynnik wykrywania i zmniejszając liczbę fałszywych trafień. 8 Kaspersky Fraud Prevention for Endpoints 4. Szczegóły dotyczące implementacji Integracja przebiega zwykle w trzech etapach: 1. Dostosowanie rozwiązania do wymagań banku w celu stworzenia unikatowego serwisu bankowości online. Stosowane przez Kaspersky Lab podejście white-labelling pozwala bankowi stworzyć swoją własną, szytą na miarę formę korzystania z bankowości online z wykorzystaniem własnego logo, kolorystyki, czcionki oraz preferowanego wyglądu strony. Ikony na pulpicie i pasku zadań również mogą zostać dostosowane do indywidualnych potrzeb banku. 2. Konfiguracja integracji z wewnętrznymi systemami banku. Kaspersky Fraud Prevention for Endpoints umożliwia uzyskanie szczegółów dotyczących wersji oraz statutu produktu podczas łączenia się z bankiem internetowym. Informacje te są uzyskiwane przez wyspecjalizowany skrypt, zgodnie z opisem w dokumentacji. Zalecamy trzy główne scenariusze robocze, jednak każdy bank może wykorzystywać uzyskane dane według własnego uznania. 3. Bank może wybrać sposób dystrybucji aplikacji wśród klientów. Może np. sprawdzić, czy Kaspersky Fraud Prevention działa już na maszynach użytkowników i zachęcić ich do pobranie tego narzędzia, jeśli istnieje taka potrzeba. Bank może wybrać również inny sposób dystrybucji aplikacji. W celu oszczędzenia zasobów obliczeniowych banku aplikacja ta jest w większości przechowywana na serwerach firmy Kaspersky Lab, a dostęp do niej jest uzyskiwany przy użyciu pliku o rozmiarze 2 MB przekazywanego bankowi w fazie implementacji. Realizacja procesu instalacji zajmuje zwykle około dwóch tygodni. Specjalny zespół implementacyjny firmy Kaspersky Lab jest dostępny podczas całego procesu instalacji, aby pomóc zintegrować rozwiązanie z resztą sieci banku i rozwiązać wszelkie problemy, jakie mogą się pojawić. Więcej informacji: http://www.kaspersky.pl/dla-korporacji/fraud-prevention Twitter.com/ KasperskyLabPL Kaspersky Lab www.kaspersky.pl Facebook.com/ KasperskyLabPolska Wszystko o zagrożeniach IT: www.securelist.pl Youtube.com/ KasperskyLabPL Oficjalny blog: plblog.kaspersky.com © 2016 Kaspersky Lab. Wszelkie prawa zastrzeżone. Zarejestrowane znaki towarowe i nazwy usług należą do ich właścicieli.