Покращення кібербезпеки банку
Стражі цифрового світу
До команди наших фахівців з кібербезпеки звернувся міжнародний комерційний банк із загальними активами 500 мільйонів доларів США. Банк пропонує весь спектр банківських послуг для приватних та корпоративних клієнтів. Команді було поставлено завдання оцінити поточний рівень безпеки веб-додатків і мобільних банківських додатків для комерційного банку в Європі. Хоча обсяг роботи був обмежений перспективою чорного ящика і передбачав сценарій зовнішньої атаки, коли зловмисник знає лише ім'я клієнта, нам вдалося використати відхилення в роботі додатку, отримати доступ до критично важливих даних, отримати повний доступ до рахунків клієнтів банку і зняти гроші як кінцеву мету.
ЩО БУЛО ЗРОБЛЕНО
Розвідка:
Вивчення систем клієнта зайняло у нас тиждень. Ми зібрали інформацію про програмне забезпечення, ОС, браузери, антивіруси, поштові клієнти тощо, якими користуються співробітники.Також зосередилися на форматі електронного листа та інших елементах фірмового стилю, новинах і подіях у компанії – на всьому, що могло викликати довіру до листа, фішингового сайту та цільової атаки.
ЕТАПИ ПРОВЕДЕННЯ ТЕСТУ
Для проведення якісного комплексного тестування ми використовували як ручні, так і автоматизовані інструменти та методики тестування.
Компрометація OTP:
Під час тестування ми виявили, що доступ до рахунку через онлайн-банкінг захищений двофакторною автентифікацією за допомогою OTP-коду. Нам вдалося знайти критичну вразливість в OTP, що дозволило нам захопити його за допомогою атаки грубої сили (атака підбору пароля на сторінці входу). Крім того, OTP-верифікація також використовувалася для фінансових або будь-яких інших операцій з активами. За умови, що зловмисник знав би облікові дані користувача, він міг би отримати доступ до будь-якого рахунку в банку і здійснити небажаний грошовий переказ, що повністю скомпрометувало б систему безпеки.
Така ж OTP-уразливість була підтверджена і в мобільному додатку, хоча для обробки запитів використовувався інший сервер, а API веб та мобільного додатків повинні були функціонувати окремо. Таким чином, мобільний додаток містив той самий недолік в логіці управління сесіями, і ризик безпеки був відповідно більшим.
Компрометація аутентифікації:
Ще одна критична вразливість була виявлена при авторизації доступу до даних користувачів. Увійшовши в систему інтернет-банкінгу та змінивши ідентифікаційний токен користувача, хакер міг бачити приватні дані інших клієнтів банку, включаючи їхні транзакції та залишки на рахунках. Таким чином, можна було вибрати рахунки з бажаними залишками, а потім – за допомогою автоматично згенерованого скрипту – підбирати облікові дані, заходити на рахунки жертв, підбирати OTP і знімати гроші.
Сценарій злому:
Отримання повного доступу. Уразливість в процесі аутентифікації дозволяла отримати доступ до будь-якого облікового запису користувача в системі. Зловмисник міг легко перевірити баланс рахунку, вибрати бажані акаунти, підбирати необхідні дані та ініціювати небажані транзакції, використовуючи вразливість OTP.
РЕЗУЛЬТАТ
Ми провели низку тестів для аналізу безпеки веб та мобільних додатків банку. В результаті тестування було виявлено кілька типів вразливостей, класифікованих відповідно до рівнів ризику, визначених методологією OWASP. Поєднання двох критичних вразливостей дозволило нашій команді провести будь-які транзакції з рахунків клієнтів банку без належної автентифікації.
Щоб допомогти банку усунути виявлені прогалини в безпеці, ми підготували комплексний звіт, що охоплює всі виявлені вразливості, та надали рекомендації щодо їх усунення, які були реалізовані на етапі виправлення.