2015.03.31 analisis serangan internet banking dan usulan perbaikan protokol keamanan

1 of 30 Cyber Security Update & Solution

Analisis Serangan Internet Banking dan

Usulan Perbaikan Protokol Keamanan

olehBudi Sulistyo

Masagus Krisna


Serangan Internet bankingMemakai halaman login asli bank mandiri.1.Knp kok tau? Krn ummu biasanya selalu buka ib mandiri dari #bookmark, dan pastinya yg dibookmark itu link asli dong...udah lama pake ib mandiri jg kan dr thn 2000 awal. Dan bukanya jg pake laptop milik sendiri.2. Pada saat kita masukkan user id, pin, dan tekan login/masuk/enter. Keluarlah popup yg tulisannya: sinkronisasi token pin mandiri. Disitu ada challenge code, kolom pin dan tampilannya miripppp sm ib mandiri sampe ke font2nya.3. Setelah memasukkan kode token, ada tulisan "TUNGGU YA". ummu smpt aneh disini kok bahasa ib mandiri gak pro bgt dan ana komen ke suami, ini capture jg utk suami sbnrnya. Tp blm ngeh.4. Pagi td jam 6 cek mutasi...daaarr!! Duit tinggal 300rb. Dan ada trx sbesar xxjuta ke bni 46 a.n ASEP SUPRIANSYAH dgn sistem #KLIRING.5. Lgsg ummu tlp ke cs 14000, tlp ke2x sm csnya disuruh blokir ib nya dgn cr masukkin 3x salah pin.6. Jam 8 udah ke bank lapor ke cs..alhamdulillah si phisher pake KLIRING jd prosesnya blm dijalankan dan SUDAH DIHOLD dananya oleh mandiri. 7. Tinggal menunggu proses refund bbrp hari smg lbh cpt krn cs hrs buat laporan yg dittd kepala bank. 8. Alhamdulillah kalo rejeki tak kemana smile emoticon#

Ibroh:Walau login di gadget sendiri tdk menjamin keamanan jd jika diminta masukkan kode token diluar kebiasaan JANGAN DITERUSKAN, cb pake browser atau gadget lain.

#ibmandiri #internetbanking #phishing #phising #bankmandiri #cybercrime #phishingbankmandiri #customercaremandiri #14000 #mandiricare #bni46

Testimoni salah satu korban


Sejumlah Tips untuk mitigasi

• membersihkan personal computer yang digunakan dari infeksi virus,

• menghentikan transaksi ketika muncul permintaan sinkronisasi token dan segera melaporkan kejadian tersebut kepada customer service, dan

• memeriksa bahwa alamat web internet banking adalah alamat yang benar.

http://www.bca.co.id/id/tips-keamanan/tips-keamanan.jsp

http://www.bni.co.id/Portals/0/TIPS_PENGAMANAN_BERTRANSAKSI.pdf









Efektifkah??• Tidak selalu mudah bagi nasabah

untuk memastikan bahwa personal computer yang digunakan telah benar-benar bersih dari virus.

• Virus bukanlah satu-satunya cara untuk melakukan serangan terhadap pengguna internet banking.

• Nasabah tidak memiliki informasi yang cukup untuk membedakan prosedur valid yang memang berasal dari bank, dari prosedur tidak valid yang disisipkan oleh penyerang.

• Nasabah mungkin ceroboh atau tidak teliti ketika memeriksa validitas alamat internet banking yang valid.

• Tetap ada kemungkinan bahwa sebagian nasabah tetap tidak mengindahkan ataupun lalai terhadap himbauan atau tips mitigasi yang diberikan

http://www.enigmasoftware.com/zeus-zbot-botnet-targets-financial-institutions/

http://www.digitaltrends.com/mobile/zitmo-trojan-attacking-android-bank-transactions/


Titik Lemah dalam Ekosistem e-Channel untuk Layanan Finansial

Core Banking & Switching

Core Bankin

g Syste

m

Switching

System

HSM (opt)

Telco, Utilities & Other Billing

System Internet & Mobile Banking

Internet & Mobile Banking Applicatio

nHSM (opt)

Token Server

Internet / Mobile Network

(Telco)Internet Banking Client

Mobile Banking ClientSMS Banking

SMS Banking

Application


(Telco) SMS Network

SMS Gateway

3rd Party Switching Company

(ATM Bersama, Link, Prima, Visa, MasterCard, dsb)

Secure Network

EDC

Bank WAN

ATM/ADMDebt / Credit Card

Top-Up Device

EDC

e-Purse

e-money

User + Token

User + Tokene-MoneyDebit / Credit Card

People (Developer, Operator, User) Security Policy & SOP (termasuk Manual, Guide Line)


Titik Lemah Ekosistem E-ChannelTitik lemah di jaringan/kanal

Titik lemah di device user (handphone, kartu,

laptop/PC )

Titik lemah pada aplikasi

Titik lemah di core/server

Titik lemah pada terminal (ATM,EDC)

Titik lemah pada user

• Sniffing• SMS Spoofing• Man in the middle attack• DoS• Session hijacking

• Skimming• Kloning kartu• Spam• IP Spoofing• Penanaman malicious

software• Token attack• Phising

• Spam• Virus • Malware

• Pencurian info dari data log (oleh insider)• Virus• Malware• Brute force attack• Manipulasi web site

• Password expose/sharing

• User surveilance

• Skimming


Penyerang mencari mata rantai paling lemah


• Mengidentifikasi – (a) titik kerawanan yang mana yang

berhasil dieksploitasi oleh penyerang dan juga

– (b) mekanisme keamanan yang mana yang berhasil dipatahkan atau tidak berjalan dengan efektif?

• Mengidentifikasi skenario dasar serangan – juga mengkaji berbagai alternatif

kemungkinan serangan yang dapat dibangun berdasarkan skenario dasar tersebut.

• Merumuskan alternatif solusi – Rumusan solusi ini hendaknya juga

mempertimbangkan tingkat kesulitan serta biaya dalam implementasi.

Bagaimana mencari solusi?

Analisis

Aset-aset yang membutuhkan perlindungan

Lingkungan Fisik sistem

Menetapkan ruang

lingkup keamanan

Asumsi

Ancaman(Threat)

dan Vulnerabil

ity

Impact

Merumuskan Security

Objectives

Identifikasi

Desain Sistem

Security

Implementasi Sistem

Security

PeopleProcessTechnology (PPT)


Pengamanan eksisting

Deskripsi serangan

Solusi perbaikan protokol keamanan


• Internet banking saat ini diamankan dengan beberapa mekanime:– Two factor authentication:

• Prosedur login dengan menggunakan username dan password. Ini merupakan faktor ‘what you know’, yaitu informasi rahasia yang hanya diketahui oleh user.

• Token. Ini merupakan faktor “what you have”, yaitu informasi rahasia (berupa one time password atau otp) yang hanya dimiliki user karena ia memiliki perangkat tertentu. Saat ini ada dua cara pembangkitan token: (1) menggunakan token device, (2) mengirimkan otp melalui sms

– Koneksi internet banking dengan menggunakan protokol https. Protokol https ini secara umum memiliki dua mekanisme pengamanan:

• Memastikan validitas website internet banking dengan memeriksa digital certificate.

• Melakukan koneksi terenkripsi.

Gambaran pengamanan internet banking eksisting (1)



User + Token


(Telco)

Internet banking server

What you know: Username + password

What you have: token Koneksi https yang terenkripsi dan sudah melalui validasi certificate

2 factor authentication


HTTPS


Token

Hardware token Soft token SMS token

14 of 30 Cyber Security Update & Solution Via gsm networkOTP One Time Password

SMSToken

Via internet dengan protokol https

Transaksi: acc + amount

OTP token via gsm network

Token OTP

Notifikasi transaksi

Permintaan input token Token generator server

Sms gateway

+ sms center

userInternet banking

server

OTPTrigger

Username + Password

UserInternet banking

server


Konfirmasi + token challenge

Token OTP

Token Device

Username + Password




• Jaminan keamanan pengamanan Internet banking (kondisi saat ini):– Apakah sistem pembangkit token aman??

• Perlu upaya (sumber daya) yang sangat besar untuk menyerang sistem token ini. Ini karena sistem token menggunakan algoritma standar yang sudah melalui proses review keamanan (dan hingga saat ini terus direview).

– Apakah protokol https aman??• Protokol ini juga menggunakan algoritma standar yang sudah

direview, yang mencakup algoritma enkripsi simetris ataupun asimetris.


Fakta serangan yang terjadi bukan disebabkan karena terbongkarnya keamanan token ataupun keamanan protokol

https.



Deskripsi serangan



Gambaran kasus serangan internet banking:

Metode serangan yang terjadi• Serangan yang dilakukan adalah

man-in-the-middle-attack– Attacker memotong jalur

komunikasi di antara user dan web server internet banking.

– Attacker dapat secara aktif mengirim dan memodifikasi pesan yang terkirim di antara user dan web server.


serverAttacker

...

Protokol https dirancang untuk mencegah terjadinya serangan

MITM. Mengapa serangan ini tetap

dapat dilakukan ???MITM dilancarkan sebelum https

terbentuk , dengan kata lain serangan ini:

(1) mencegah terjadinya https antara user dan web server,

(2) selanjutnya melakukan MITM


• Menanamkan tool di dalam proxy server– Ini dapat dilakukan di lingkungan tertentu pengguna yang harus melalui proxy server untuk

koneksi internet.– Dalam kasus ini serangan umumnya dilakukan oleh orang dalam.

• Menyerang DNS server (DNS poisoning)– Tujuannya adalah untuk me-redirect alamat web server valid yang diketikkan oleh user ke

server attacker.– Serangan dapat dilakukan terhadap DNS server di lingkungan perusahaan. Serangan umumnya

dilakukan orang dalam– Serangan dapat juga dilakukan terhadap DNS server yang dijalankan oleh ISP. Serangan mungkin

dilakukan oleh orang luar dan orang dalam.• Memodifikasi perangkat user (PC, smartphone, tablet).

– Yaitu dengan mengubah file system tertentu dalam perangkat.– Tujuannya adalah untuk me-redirect alamat web server valid yang diketikkan oleh user ke

server attacker. – Dapat dilakukan dengan

• Memodifikasi perangkat secara langsung• Menggunakan virus.

Beberapa metode untuk melakukan MITM (1)


MITM terjadi !!

User + Token

Internet banking server

What you know: Username + password

What you have: token

2 factor authentication

httpsxhttps

attacker

x


• Untuk kasus internet banking dengan token device

Apa yang dilakukan attacker selanjutnya?? (1)

attackerInternet banking

server


Konfirmasi + token challenge

Token password

Konfirmasi transaksi

user

Penyerang menampilkan halaman web palsu ataupun berbagai pop up window yang meminta user untuk:1. Memasukkan username

dan password,2. memasukkan password

tokenUser menjawab

berbagai request dari attacker

Username + Password


• Untuk kasus internet banking dengan sms token

Apa yang dilakukan attacker selanjutnya?? (2)

Internet bankingserverattackeruser

Penyerang menampilkan halaman web palsu ataupun berbagai pop up window yang meminta user untuk:1. Memasukkan username

dan password,2. memasukkan password

tokenUser menjawab

berbagai request dari attacker


OTP token via gsm network

Token password

Konfirmasi transaksi

Permintaan input token Token generator server

Sms gateway

+ sms center

OTPTrigger

Username + Password


Kerawanan serangan MITM terhadap internet banking

Internet banking dengan pengamanan token device ataupun dengan sms token,

kedua-duanya saat ini rawan terhadap serangan MITM seperti dijelaskan di atas



Deskripsi serangan



• Masalah utama:1. Link komunikasi antara user dan web-server untuk mempertukarkan

informasi rahasia (username, password, password token) hanya melalui satu channel, yaitu link internet.• Jika link internet ini diserang dengan MITM, maka maka informasi rahasia di atas akan

bisa dicuri.2. User tidak memiliki kemampuan ataupun informasi yang cukup untuk

membedakan request_valid dengan request_palsu yang berasal dari penyerang.

• Catatan untuk kasus internet banking dengan token sms.– Informasi rahasia (password token) disampaikan melalui channel yang berbeda.

Namun demikian, ini tetap tidakdapat mencegah serangan MITM seperti yang dijelaskan di atas

• Masalahnya adalah: user tetap tidak dapat membedakan apakah password token yang dikirim tersebut ditriger oleh transaksi user atau oleh transaksi penyerang.

Problem pengamanan internet banking eksisting


1. Solusi untuk kasus internet banking dengan device token:– challenge token dikirim melalui channel lain (sms)– challenge ini harus menyertakan informasi mengenai :

• (a) tujuan transfer, • (b) nilai transfer.

2. Solusi untuk kasus internet banking dengan sms token.– Sms token harus menyertakan informasi tambahan yaitu

• (a) tujuan transfer,• (b) nilai transfer.

3. Solusi dengan menambahkan proses verifikasi tujuan transfer di backend system:– Nasabah harus mendaftarkan tujuan transfer terlebih dahulu sebelum bisa melakukan transfer.– Ketika melakukan transfer, user hanya dapat memilih tujuan transfer dari list yang sudah

didaftarkan sebelumnya.– Pendaftaran hanya dapat dilakukan melalui channel yang berbeda (bukan melalui halaman

internet banking)• Bisa melalui call-center ataupun jalur sms.

– Jalur sms dan phone call dapat digunakan jika nomor ponsel user sudah dipasangkan dengan nomor rekeningnya

Alternatif solusi


Deskripsi alternatif solusi 1Token Device

Pengguna memverifikasi tujuan transfer +nilai transfer


server

Transaksi: acc + amountKonfirmasi +

permintaan input token

Token OTP


Token ServerSms

gateway +

sms centerTrigger +Tujuan Transfer+

Nilai transfer

Token Challenge + Tujuan Transfer +

Nilai Transfer

Token Challenge + Tujuan Transfer + Nilai Transfer via GSM network

meng-entri token challenge

untuk mendapatkan token password

Username + Password

Token OTP


• (1) Penyerang sulit untuk melakukan modifikasi terhadap pesan yang dikirim melalui SMS.

• (2) Pengguna dapat melakukan verifikasi kebenaran transaksi yang dilakukan dengan memeriksa nilai uang dan tujuan mutasi rekening.

• (3) Penyerang tidak dapat memperoleh kode challenge dari jalur yang terserang MITM.

• (4) Berdasarkan no (3), karena penyerang tidak mengetahui kode challenge, maka ia tidak dapat memancing pengguna untuk memberikan token-OTP.

Tujuan alternatif 1


Deskripsi alternatif solusi 2SMSToken


server


Token OTP


TokenServer

Sms gateway

+ sms centerTrigger +

Tujuan Transfer+Nilai transfer

Token OTP + Tujuan Transfer +

Nilai Transfer

Token OTP+ Tujuan Transfer + Nilai Transfer via GSM network

User memverifikasi tujuan transfer +nilai transfer

Konfirmasi + token requestUser meng-entri token password

Username + Password


• (1) Penyerang sulit untuk melakukan modifikasi terhadap pesan yang dikirim melalui SMS.

• (2) Pengguna dapat melakukan verifikasi kebenaran transaksi yang dilakukan dengan memeriksa nilai uang dan tujuan mutasi rekening.

Tujuan alternatif 2


Deskripsi alternatif solusi 3User

Internet bankingserver

amount


dst

Username + Password

User mendaftarkan nomor rekening tertentu sebagai tujuan transferBank meng-otentikasi pengguna. (nomor ponsel, KTP)

Bank memasukkan nomor rekening tsb ke dalam daftar tujuan transfer

Bank meng-update daftar nomor rekening tujuan transfer

ke internet banking server

Pendaftaran menggunakan channel selain internet banking, alternatifnya: SMS, USSD, call center atau datang ke customer service.

Memilih tujuan transfer dari daftar yang ada

...

......

Transaksi melalui jalur internet dengan pengamanan:- Protokol https- Username+

password- Token (device

atau sms)


• (1) Penyerang MITM tidak dapat melakukan transfer ke sembarang rekening tujuan transfer.

• (2) Penyerang MITM tidak dapat mendaftarkan tujuan transfer lewat halaman web internet banking.

Tujuan alternatif 3


• Apakah kasus sinkronisasi token selesai dengan solusi di atas??– Ketiga solusi merupakan solusi sementara– Dapat dilakukan dengan cepat dengan memodifikasi

protokol yang sudah ada– Tidak dapat menangkal serangan yang lebih canggih

SOLVED??


Serangan yang lebih canggih

• Teknik yang digunakan– Man in the middle

browser with phishing– Man in the mobile

• Zitmo• Citmo

Perlukah membangun

protokol keamanan baru??

Bagaimana???

Merci bienArigatooMatur Nuwun

Hatur NuhunMatur se KelangkongSyukronKheili MamnunDanke

Terima Kasih