Napady na instytucje finansowe coraz częściej przenoszą się ze świata realnego do wirtualnego. Cyberprzestępcy wykorzystując luki w zabezpieczeniach i błędy po stronie klientów, podejmują brawurowe akcje skierowane przeciwko instytucjom finansowym. Eksperci Grey Wizard sprawdzają, jak wygląda sytuacja na polu wirtualnej bitwy.
Czasy, gdy do napadu na bank potrzebna była broń, kominiarka czy plan budynku, odchodzą w niepamięć. Znacznie większe zagrożenie nadciąga ze świata nowych technologii – cyberprzestępcy, bez wychodzenia z domu, potrafią przyprawić o palpitacje serca dyrektorów i działy IT największych banków. Przykładowo, w 2013 r. tzw. grupa Cybergang Carbanak przeprowadziła atak na ponad 100 instytucji finansowych w 30 krajach na świecie, gdzie straty wyniosły blisko 1 mld $. Przy takiej skali przedsięwzięcia, nawet kilkadziesiąt największych napadów na banki, znanych z filmów, to pestka.
Skala i rozmach ataków na instytucje finansowe w sieci rośnie niemal z roku na rok, także w Polsce. Według danych Komendy Głównej Policji, tylko w okresie od stycznia do września 2015 r. nad Wisłą dokonano ponad 4 tys. przestępstw o charakterze oszustwa bankowego. Podczas, gdy w całym 2014 r. było ich „zaledwie” 2 512 tys. Najbardziej skuteczne włamania przeprowadza się za pomocą dwóch rodzajów ataków.
Plan doskonały – phishing + skimming
– Phishing to jedno z najbardziej powszechnych oszustw internetowych w Polsce – zauważa Radosław Wesołowski z Grey Wizard, tarczy, która chroni przed cyberatakami. – Metoda ta polega na podszyciu się hakera pod konkretną firmę lub instytucje finansową, np. bank, którego klientem jest dany użytkownik. Kolejny krok to wyłudzenie prywatnych danych takich, jak: login, hasło do konta w banku numer karty kredytowej. Często zdarza się, że dana osoba nie zdaje sobie sprawy, że padła właśnie ofiarą oszusta – dodaje.
Z kolei skimming to nielegalne skopiowanie zawartości paska magnetycznego z karty płatniczej. Najczęściej dzieje się to podczas korzystania z bankomatu, płacenia w restauracji czy w sklepie. Aby przechwycić dane, wystarczy małe urządzenie, które zapisze zawartość paska magnetycznego. W przypadku bankomatów, przestępcy mogą założyć specjalną nakładę na miejsce, w które wsuwa się kartę płatniczą, by w ten sposób pozyskać z niej dane. Policja miała też do czynienia z przypadkami, gdy oprócz nakładki, montowano również niewielką kamerę, rejestrującą wpisywany kod PIN.
Cel – bankowość internetowa
Jak rozległa jest obecnie skala zagrożenia związana z działalnością internetowych przestępców? Tylko w III kwartale 2015 r. odnotowano na całym świecie 5,6 mln prób ataków na konta bankowe online (dane za Kaspersky Lab). Zagrożenie dotyczy także Polski, o czym mogli przekonać się np. klienci Plus Banku, którzy padli ofiarą „Polsilvera” – hakera, który ujawnił w sieci poufne dane klientów i żądał zapłacenia okupu. Zanim został ujęty przez policję, jego działania doprowadziły do strat w wysokości ponad 4 mln zł, a bank przez kilka dni tłumaczył się klientom. – W sektorze finansowym, niezwykle ważna jest nieprzerwalna dostępność usługi i jej bezpieczeństwo. Każdy atak to potencjalna utrata reputacji marki i spadek zaufania klientów. W przypadku tak newralgicznej branży jak bankowość, infrastruktura sieciowa powinna automatycznie wykrywać i blokować podejrzany ruch. Równie ważne jest opracowanie planu działań kryzysowych, a w tym komunikacja wewnętrzna i zewnętrzna – zauważa Radosław Wesołowski z Grey Wizard.
Klucz do bezpieczeństwa
Podstawowym elementem ochrony finansów i danych osobowych w sektorze bankowości online, są narzędzia autoryzacyjne – różne dla poszczególnych banków. Najpopularniejszym z nich jest „kod sms”, który niestety generuje wysokie koszty świadczenia usługi przez bank, nawet 60-80 mln zł rocznie(raport „Bezpieczeństwo bankowości elektronicznej” na konferencję Mobile and Internet Banking Security). Dodatkowo, kody sms mogą być łatwo wykorzystane do przejęcia dostępu do konta klienta.
– W bankowości internetowej rozróżniamy 2 formy zabezpieczeń. Pierwsza dotyczy kanału internetowego, a druga jest związana z warstwą mobilną, która zyskuje na coraz większej popularności. W przypadku bankowości w wydaniu mobile, część banków wymaga rejestracji urządzenia przed pierwszym użyciem aplikacji, dzięki czemu próba zalogowania się na nasze konto z innego telefonu skończy się fiaskiem – mówi Rafał Skrzypek z Grey Wizard.
Inne zabezpieczenia, które stosują banki to m.in. dzienny limit transakcji na koncie, szyfrowane połączenie w nagłówkach HTTP, mechanizm zabezpieczeń dla informacji przechowywanych w ciasteczkach. W obliczu coraz większej ilości ataków, bezpieczeństwem instytucji finansowych zajęła się także Komisja Nadzoru Finansowego, publikując w listopadzie 2015 r. specjalne zalecenia kierowane zarówno do firm, jak i klientów.
Atak na smartphona łatwiejszy niż na komputer
KNF stwierdza, że stosunkowo największe zagrożenie wykradzenia danych przez cyberprzestępców, dotyczy posiadaczy smartfonów korzystających z bankowości mobilnej. A grupa ta nieustannie rośnie – od 2012 roku grono użytkowników smartfonów czy tabletów wzrosło aż o 250 proc. do 4 mln osób(KNF). Tym samym, banki mają obowiązek wzmocnienia mechanizmów monitorowania transakcji oraz komunikowania się z klientami w sposób umożliwiający im stwierdzenie autentyczności otrzymanej wiadomości.
Ponadto, Komisja zwraca uwagę na bezpieczeństwo danych płatniczych podczas przechowywania, przetwarzania lub przesyłania, jak również informowanie klienta czy transakcja płatnicza została poprawnie przeprowadzona. Do zaleceń Komisji banki powinny się jak najszybciej dostosować.
Źródło: Grey Wizard