Kaspersky Fraud Prevention for Endpoints www.kaspersky.pt
KASPERSKY FRAUD PREVENTION 1. Formas de atacar serviços bancários online O principal motivo por trás do cibercrime é fazer dinheiro e os conhecimentos sofisticados dos criminosos da atualidade incluem diversas técnicas que os ajudam a roubar bancos online e serviços financeiros. Os cibercriminosos têm várias maneiras de roubar os utilizadores dos serviços bancários online, tais como utilizar malware para manipular transações legítimas e desviar dinheiro para as suas próprias contas ou combinar engenharia social e phishing para ter acesso às contas. Existem duas ameaças principais: A usurpação de conta roubar as credenciais de um utilizador e utilizá-las para tirar dinheiro da conta Manipulação de transações alterar os detalhes da transação ou criar uma transação nova em nome do cliente O Kaspersky Fraud Prevention for Endpoints garante proteção contra o seguinte: Roubo de credenciais Phishing Engenharia social Fuga de dados Modificação da página Web (webinjects) Recuperação de formulários Keylogging Captura de ecrã Ataques de spoofing Manipulação de transações Ataque man-in-the-middle Acesso remoto Ataque man-in-the-browser 2. Prevenção de fraudes em ação BANCO Engenharia social Injeção de códigos iniciar sessão PÁGINA DO BANCO iniciar sessão Conta 1 Injeção de códigos Conta 2 Contas maliciosas Registo Phishing + Certificados $$$ 3 dias Controlador "killer" Mudança de DNS PÁGINA DE PHISHING MALWARE 2
3. Tecnologias de proteção 3.1 Anti-phishing O sistema anti-phishing da Kaspersky Lab combina heurística e tecnologias baseadas na nuvem com as tradicionais bases de dados offline para garantir que mesmo as ameaças previamente ocultas e emergentes são bloqueadas. O módulo anti-phishing em nuvem, atualizado rapidamente, contém máscaras de URL de phishing. As novas ameaças podem ser adicionadas segundos após a respetiva deteção para proteger os seus computadores contra sites de phishing que ainda não estão incluídos nas bases de dados locais. Sempre que o utilizador encontrar um URL que não esteja na base de dados local, o sistema verifica-o automaticamente na nuvem. O componente Web da heurística do sistema anti- -phishing é ativado quando o utilizador clica numa hiperligação para uma página Web de phishing que ainda não está incluída nas bases de dados da Kaspersky Lab. Além disso, uma base de dados anti-phishing abrangente offline, armazenada nos dispositivos dos utilizadores, contém as máscaras de URL de phishing mais difundidas. Phishing Kaspersky Fraud Prevention for Endpoints Logótipo do banco Mecanismo de análise de imagem Website falso www Endereço do website > Base offline de websites confiáveis > Base offline de websites de phishing Kaspersky Security Network E-mail falso iniciar sessão ****** Formulário de dados Motor de heurística 3.2 Verificação e remoção de malware Mesmo que já exista malware no computador de um utilizador, o Kaspersky Fraud Prevention pode, mesmo assim, proteger as operações bancárias online. Logo que é instalado, o Kaspersky Fraud Prevention efetua uma verificação do sistema para detetar malware bancário. Os utilizadores são alertados para quaisquer problemas e é-lhes solicitado que eliminem o(s) ficheiro(s) malicioso(s) e desinfetem a máquina. A solução executa uma verificação adicional sempre que o browser bancário protegido for iniciado. CASE STUDY Um grande banco russo foi vítima de um item de malware que redirecionou automaticamente os seus clientes para uma página de phishing. Este redirecionamento enganou os utilizadores, levandoos a entregar as suas credenciais bancárias aos cibercriminosos e impedindo que acedessem ao verdadeiro website do banco no futuro. O Kaspersky Fraud Prevention eliminou o malware nos computadores dos clientes com êxito, garantindo- -lhes a realização de operações bancárias online com segurança no futuro. O Kaspersky Fraud Prevention for Endpoints é compatível com todas as aplicações antivírus mais populares, mas a solução é concebida apenas para detetar malware bancário. Não deve ser utilizado em substituição da tradicional solução antivírus. 3
3.3 Proteção de ligações de Internet O Kaspersky Fraud Prevention certifica-se de que o computador é um ambiente seguro para realizar operações bancárias online e de que o recurso bancário visitado é legítimo. Além disso, garante também que nenhum terceiro pode interferir com o canal de Internet entre o banco e os seus clientes. Sempre que um utilizador se regista numa sessão bancária online, o Kaspersky Fraud Prevention verifica o certificado de segurança do website comparando-o com o certificado de referência armazenado no Kaspersky Security Network baseado na nuvem. Esta verificação protege o computador contra ataques man-in-themiddle e DNS e spoofing de proxy. A prevenção de fraudes verifica o certificado Pedido de certificado Pedido de certificado Website de phishing INFETADO Certificado falso Internet Certificado do KSN Certificado falso Kaspersky Security Network O sistema alerta o utilizador se for detetado um certificado suspeito. 4
3.4 Proteção contra ameaças do browser Ataques ao próprio produto (término, danos, modificação, etc.) Controlo de browser externo Prevenção de fraudes para terminais Injeção de códigos Captura de ecrã Vulnerabilidades do SO Keyloggers 3.4.1 Ataques ao controlo de browser externo O Kaspersky Fraud Prevention for Endpoints garante proteção contra o controlo do browser com mensagens para as janelas do mesmo (para que terceiros não possam aceder remotamente). 3.4.2 Ataques de injeção de códigos Proteção contra o carregamento de módulos não fidedignos no processo do browser, verificando a assinatura DLL localmente e na nuvem (KSN). 3.4.3 Proteção contra capturas de ecrã A proteção contra a captura de ecrã inclui: Proteção contra técnicas de captura de ecrã Proteção da janela aberta no browser protegido 3.4.4 Verificação das vulnerabilidades do SO Base de dados dedicada às vulnerabilidades atualizável: Apenas sistema operativo Apenas escalonamento de privilégios do modo de kernel 5
3.4.5 Teclado seguro Ao utilizar o browser protegido, o Kaspersky Fraud Prevention for Endpoints protege todos os campos de entrada. O Kaspersky Fraud Prevention interceta e processa todas as teclas premidas através do controlador do teclado do KFP, impedindo assim a interceção de dados de entrada por malware. O Teclado seguro pode ser utilizado no Safe Browser e em janelas habituais do browser. 3.4.6 Proteção da área de transferência Restringe o acesso à área de transferência para aplicações não fidedignas. 3.4.7 Autoproteção Protege contra as modificações do Kaspersky Fraud Prevention for Endpoints: Chaves de registo do Windows Ficheiros Processos Threads 6
4. Consola de gestão de terminais A solução Kaspersky Fraud Prevention for Endpoints tem uma consola única para gestão fácil, que beneficia de informações mais aprofundadas, amplas, contextuais e inter-relacionadas acerca do utilizador, do dispositivo do utilizador e da sessão. 4.1 Painel de relatórios O EMC recolhe informações a partir do Kaspersky Fraud Prevention for Endpoints sobre o dispositivo, as sessões e o ambiente do utilizador, bem como sobre quaisquer ataques lançados à máquina do utilizador (ataques de phishing, mitb ou mitm e ataques de malware) 4.2 Configuração remota do Kaspersky Fraud Prevention for Endpoints O EMC dispõe de capacidades de gestão capazes de alterar remotamente as definições do Kaspersky Fraud Prevention for Endpoints. 4.3 Feed estatístico O EMC tem um ponto de integração, que torna possível enviar estatísticas para os sistemas internos de monitorização de transações, aumentando a taxa de deteção e diminuindo o número de falsos positivos. 5. Detalhes de implementação A integração consiste geralmente em 3 etapas: 1. Personalização da solução de acordo com os requisitos do banco para criar um serviço bancário online à medida do cliente. O sistema de marca branca da Kaspersky Lab permite que o banco crie a sua própria experiência online personalizada do utilizador, através da utilização dos respetivos logótipos, esquemas de cores, tipos de letras e esquemas preferidos na página. O ambiente de trabalho e os ícones do tabuleiro do sistema também podem ser personalizados conforme pretendido pelo banco. 2. Configuração da integração com os sistemas internos do banco. O Kaspersky Fraud Prevention for Endpoints garante a possibilidade de recuperar detalhes da versão e do estado do produto, quando estiver a estabelecer ligação a um banco online. Estas informações são recuperadas através de um script dedicado, conforme descrito na documentação. Recomendamos três cenários de trabalho principais, mas cada banco é livre de escolher como utiliza os dados recuperados. 3. O banco tem a liberdade de escolher a forma como distribui a aplicação entre os seus clientes, talvez verificando se o Kaspersky Fraud Prevention já está em execução nas máquinas dos utilizadores e convidando-os a transferir o KASPERSKY FRAUD PREVENTION, caso necessário. Em alternativa, o banco pode optar por outra forma de distribuir a aplicação. Para conservar os recursos informáticos do banco, a maior parte da aplicação é armazenada em servidores da Kaspersky Lab e acedida através da utilização de um ficheiro de transferência de 2 MB entregue ao banco durante a fase de implementação. Normalmente, a conclusão do processo de instalação demora cerca de duas semanas. A equipa especial de implementação da Kaspersky Lab está ao dispor durante a instalação para ajudar a integrar a solução com o resto da rede do banco e resolver quaisquer problemas que possam surgir. 7
Entre em contato connosco para saber mais: Kfp_hq@kaspersky.com http://www.kaspersky.com/pt/business-security/fraud-prevention Março 2015/Global 2015 Kaspersky Lab Iberia. Todos os direitos reservados. As marcas registadas e de serviço são propriedade dos respetivos titulares.