Upload
dusan
View
28
Download
0
Embed Size (px)
DESCRIPTION
Kész Átverés Show. avagy Informatikai csalások vezérigazgatók ellen Papp Péter – vezérigazgató. Miről lesz szó?. A kancellár.hu-ról röviden A phishing/whaling története, adatok. Támadási módszerek. Védekezés. Összefoglaló. Az előadás hosza: 24 dia / 30 perc. A kancellár.hu-ról. - PowerPoint PPT Presentation
Citation preview
Kész Átverés Showavagy
Informatikai csalások vezérigazgatók ellen
Papp Péter – vezérigazgató
Miről lesz szó?
A kancellár.hu-ról röviden A phishing/whaling története, adatok. Támadási módszerek. Védekezés. Összefoglaló.
Az előadás hosza: 24 dia / 30 perc
A kancellár.hu-ról
35+ szakember, 1Mrd+ árbevétel, 300+ ügyfél a TOP1000-ből.
Csak információbiztonsággal foglalkozunk. Piacvezető Magyarországon, további
projektek: Lengyelország, Horvátország, Románia, Oroszország, Ausztria.
ISO 9001:2000, NATO beszállításra alkalmas, 143/2004-es kormányrendelet (az államtitkot vagy szolgálati titkot, illetőleg alapvető biztonsági, nemzetbiztonsági érdeket érintő vagy különleges biztonsági
intézkedést igénylő beszerzésekben részt vehet) CCNA, CISM, CISA, CISSP , BS7799, TÜK, …
Büszkék vagyunk ügyfeleinkre!
A Phishing története
Def.: Phishing: Azon trükkös és/vagy social engineering eljárás, melynek során egy szervezet/cég felhasználójától megszerezik bizalmas információit, bűncselekmény elkövetésének céljából.
A Phishing a XXI. század bűncselekménye, ahol a sikeres támadás pénzbe kerül.
Eredete: fishing + phreaking/password Első írásos nyom: 1996 január 28-án az
alt.2600 hacker hírcsoportban.
Phishing adatok
57 millió megtámadott internetezőből 1.7millió sikeres támadás (3%-os sikermutató)
2007 december: 25.683 phishing oldal (1.142 volt 2 éve)
144 márkahamisítás 3 nap átlagos élettartam (6.4 volt 2 éve) 31 napos leghosszabb élettartam
42.1% hasonló URL, 12% csak IP cím Pénzügy/ISP/Vegyes/Kiskereskedelem Amerika/Kína/Oroszország/Thaiföld/Izrael/
Forrás: APWG
Whaling
Whaling = Bálnavadászat Első támadás: 2007 június, 512 email Microsoft Word
csatolmánnyal (benne egy trójai) Második támadás: 2007 szeptember, 1100 email RTF
csatolmánnyal (szintén trójai) Támadottak köre: „C-level executives and senior
management” névvel és titulussal Harmadik támadás: 2007 november, 934 senior executive
ellen, zip file és trójai
Egy konkrét whaling támadás
Hazai tapasztalatok
Újságírók Felső vezetők
Egy támadás anatómiája
Phishing/Whaling küldés
Email és Spam Web IRC és Instant Messaging Trójai programok
Email és Spam Web IRC és Instant
Messaging Trójai programokTrükkök
l ≠ I
o ≠ о ≠ ○ ≠ ◦ (006F,043E,25CB,25E6)
www.xbank ≠ ww.wxbank
Phishing küldés
Email és Spam Web IRC és Instant
Messaging Trójai programokTrükkök
• ingyenes oldalak, Phishing céllal
• hamis reklám bannerek
• akár fizetett hamis bannerek elhelyezése
Phishing küldés
Email és Spam Web IRC és Instant
Messaging Trójai programok
Trükkök
• Grafikus tartalom
• URL
• Multimédia file-ok
Phishing küldés
Email és Spam Web IRC és Instant
Messaging Trójai programok
Phishing küldés
Man in the middle URL tévesztés Cross-site
scripting Session támadás Rejtett támadás Adatlopás Kliens oldali
sebezhetőség kihasználásaforrás:
NGS
Phishing technológiák
Man in the middle
URL tévesztés Cross-site scripting Session támadás Rejtett támadás Adatlopás Kliens oldali
sebezhetőség kihasználása
Trükkök
• Transzparens proxy
• DNS Cache Mérgezés
• Böngésző proxy átállításforrás: NGS
Phishing technológiák
Man in the middle URL tévesztés Cross-site
scripting Session támadás Rejtett támadás Adatlopás Kliens oldali
sebezhetőség kihasználása
Phishing technológiák
A Phishing/Whaling ellen teljes mértékben sikeres védekezés nincs, de a TANULNI, TANULNI, TANULNI szabály az információ védelemről itt is érvényes.
Háromszintű védekezés:1. Kliens oldali védekezés2. Szerver oldali védekezés3. Vállalati szintű védekezés
Phishing/Whaling védekezés
Desktop védekezés anti-vírus szoftver, tűzfal, behatolás
detektálás, Spam szűrés, kémprogram
szűrés.
Kliens oldal Szerver oldal Vállalati szint
Email beállítások HTML levelek
tiltása, Csatolmányok
tiltása.
Böngésző beállítások
pop-up tiltás, Java runtime
support tiltás, ActiveX tiltás, Auto play tiltás, Cookie
beállítások, Letöltések
ellenőrzése, MIE vs Firefox, Anti-Phishing
Plug-in.
Digitális aláírás S/MIME, PGP.
Éberség Technikai, Egyéb pl.:
állásajánlat.
Phishing védekezés
Ügyfél tudatosság Ügyfél
folyamatos értesítése,
Phishing szabályzat
http://www.antiphishing.org/resources.html#Policies
Kliens oldal Szerver oldal Vállalati szint
Kommunikáció validálás
személyes levelekpl. keresztnév, kártyaszám utolsó számjegyei, ügyintéző neve
Hivatkozás az előző levélre (sorszám)
Digitális aláírás Web Portal levelezés Képi/hang
megszemélyesítés
Web alkalmazás input/output
adatok ellenőrzése,
sessionID biztonság
URL kvalifikáció/szabályok,
Erős authentikáció,
Képek pl.: perszonalizálás, névváltoztatás, vízjel
Phishing/Whaling védekezés
Domain követés Lejárat és
megújítás Hasonló domain
nevek figyelése
Kliens oldal Szerver oldal Vállalati szint
Gateway szolgáltatások
Anti Virus, Anti Spam, Tartalomszűrés, Proxy
Menedzselt szolgáltatások
7x24 órás monitorozás
Phishing/Whaling védekezés
Összefoglaló
A phishing/whaling támadás gyors ütemben növekedik,
Ez már nem „gyerekjáték”, bűnözők állnak mögötte,
A támadási variációk száma nagyon nagy, A védekezés nagyon komplex feladat.
A jövő támadása a pharming!
Köszönöm szépen!
Ha szüksége van erre a prezentációra, kérem küldjön egy emailt a [email protected] címre.