В системе онлайн-авторизации Sitekey, используемой Банком Америки обнаружена серьезная уязвимость.
В системе онлайн-авторизации Sitekey, используемой Банком Америки (Bank of America) обнаружена серьезная уязвимость. По данным специалистов компании Sestus, эта уязвимость позволяет хакеру удаленно лишить тысячи клиентов онлайн-доступа к своим банковским счетам.
Уязвимость в Sitekey, разработанной компанией Passmark, позволяет проводить аналог DoS-атаки на телефонные линии. Используя брешь в системе онлайн-авторизации, хакер может закрыть клиенту банка онлайн-доступ к счету. В результате клиент будет вынужден обратиться за помощью в службу поддержки по телефону. Однако в случае массового блокирования онлайн-доступа телефоннные линии службы поддержки окажутся перегружены звонками клиентов. Специалисты Sestus утверждают, что выявленная ими уязвимость касается не только Sitekey Банка Америки, но и систем авторизации других банков, использующих для доступа комбинацию секретного вопроса-ответа.
Для онлайн-доступа к своему счету клиент Банка Америки вводит в окно авторизации свой логин. Приняв логин, Sitekey идентифицирует компьютер, с которого логин введен. Если это компьютер, на котором пользователь был идентифицирован впервые, Sitekey выводит на экран комбинацию изображения и подписи к нему, введенные пользователем при регистрации. Увидев изображение и подпись, пользователь вводит пароль и получает доступ к счету. Однако если Sitekey не признает компьютер пользователя, ему будет предложен секретный вопрос вроде "Девичья фамилия матери?". Пользователь вводит правильный ответ на секретный вопрос и получает возможность ввести пароль. Если ответ на секретный вопрос окажется неправильным, Sitekey не позволит ввести пароль и заблокирует дальнейший доступ к счету. Чтобы разблокировать счет, клиент будет вынужден обратиться в службу поддержки по телефону. Временная блокировка счета, спроектированная как дополнительная мера безопасности, на деле может быть использована хакерами для массового закрытия доступа к счетам, считают в Sestus. Кроме того, хакеры могут использовать эту уязвимость и в комбинированном виде: блокировка счета и фишинг-атака на этот счет.
Специалисты Sestus предусматривают три сценария использования уязвимости в системе авторизации Sitekey: с использованием словаря, случайной атаки и гибридной атаки (блокировка плюс фишинг).
Атака с использованием словаря подразумевает использование скрипта, который будет вводить в поле "логин" слова из словаря наиболее распространенных логинов. Подобный словарь совсем несложно найти в Сети. Написать программу для поочередного ввода логинов способен любой студент школы программистов, не говоря уже об опытных веб-специалистах, утверждают в Sestus. В ходе атаки скрипт будет перебирать логины и ожидать ответа от Sitekey. Безусловно, подавляющая часть логинов будет недействительна, однако какая-то доля совпадет с реально существующими логинами пользователей. Всякий раз, принимая реальный логин, Sitekey будет задавать секретный вопрос, поскольку все запросы идут не с "родных" компьютеров владельцев логинов. Скрипт будет отвечать на секретные вопросы неверно и таким образом блокировать онлайн-доступ к счетам.
В сценарии с использованием словаря один хакер теоретически может заблокировать тысячи счетов в Банке Америки и перегрузить телефонные линии банковской службы поддержки звонками клиентов. Банк Америки при этом вряд ли сможет выявить сам факт атаки, поскольку она будет проведена с использованием самых обычных процедур онлайн-авторизации. Понять истинную природу случившегося можно будет лишь уже после перегрузки телефонных линий. В случае, если банк модифицирует Sitekey и внедрит механизм, который сможет определить, что большое количество попыток ввести разные логины идет с одного IP-адреса, хакер сможет просто воспользоваться общедоступным прокси-сервером и продолжить атаку.
Атака по случайному сценарию подразумевает существенно более простую процедуру. В этом случае, злоумышленник приходит в любое общедоступное место и атакует Sitekey, подбирая логины вручную. И наконец, в случае комбинированной атаки, хакеры могут собирать настоящие логины пользователей на фальшивом сайте и сразу перенаправлять клиентов на настоящий сайт, чтобы у них не было подозрений. Затем, используя полученные логины, фишеры заблокируют счета пользователей и разошлют им уведомительные письма от имени банка. В письмах будет содержаться запрос на конфиденциальную информацию для разблокировки счета. Используя эти данные, фишеры свяжутся со службой поддержки банка, разблокируют счет и затем опустошат его.
viruslist.com
Разбираем кейсы, делимся опытом, учимся на чужих ошибках