Autor: Jacek Ramotowski

Dziennikarz zajmujący się rynkami finansowymi, zwłaszcza systemem bankowym.

Bankom potrzebna jest cyberpolicja

Po serii hakerskich ataków latem i jesienią na systemy internetowe największych polskich banków instytucje te coraz bardziej serio myślą o powołaniu wspólnego organu, który zajmowałby się wyłapywaniem nieautoryzowanych transakcji, zawiadamianiem o nich organów ścigania, ostrzeganiem klientów mających zainfekowane komputery i przeciwdziałaniem złośliwemu oprogramowaniu.
Bankom potrzebna jest cyberpolicja

(CC By cadillacdeville2000)

Cyberprzestępcy wprowadzili w minionym roku kilka nowości. Ataki Man-in-the-Middle, szekspirowski Shylock, trojany VBKlip czy Banatrix to niektóre innowacyjne metody kradzieży pieniędzy. Na dodatek nie atakują oni samych systemów banków, ale zagnieżdżają się w systemach operacyjnych komputerów domowych ofiar i powodują, że przelewają one pieniądze na konta hakerów. Bankowość mobilna, a zwłaszcza zainfekowane aplikacje na Androida to drugi obszar szczególnie niebezpieczny.

Według źródeł z kręgu analityków zajmujących się bezpieczeństwem informatycznym w bankach do ataków hakerskich doszło w minionym roku na rachunki klientów PKO, Pekao, BZ WBK i Millennium. Media wymieniały ponadto mBank, BNP Paribas i Idea Bank. Ataki spowodowały, że z rachunków znikały pieniądze. Banki płaczą, ale płacą. Ponoszą spore straty, ale milczą jak zaklęte. Informacja, że hakerzy przeprowadzili udane wyłudzenie to ostatnia, do jakiej chciałyby się przyznać. Podobnie jak dane o spowodowanych stratach.

– To jedna z najsilniej strzeżonych informacji. Warta bardzo duże pieniądze – powiedział Obserwatorowi Finansowemu ekspert od bezpieczeństwa systemów bankowych.

Banki milczą, bo boją się utraty reputacji, wizerunku, a przede wszystkim zaufania klientów. Zgodnie z prawem zobowiązane są gwarantować, że pieniądze klientów są bezpieczne. Gdyby przyznały, że ataki odnoszą skutek, podważyłoby to zaufanie i obrazowało skalę zagrożeń. Doradcy bankowi dzwonią do klientów i pytają zaniepokojeni: – Czy na pana/pani rachunku wszystko w porządku? W porządku. A więc bank pokrył straty i zatarł ślady po fraudzie. A skala strat wciąż rośnie.

– Banki zaczynają już tworzyć rezerwy na ukradzione pieniądze – mówi Obserwatorowi Finansowemu pragnący zachować anonimowość analityk zajmujący się bezpieczeństwem informatycznym w bankach.

Po co bankom cyberpolicja?

W sierpniu hakerzy o nieznanej jeszcze proweniencji (podejrzewa się Rosjan) dokonali ataku na największą amerykańską instytucję kredytową JP Morgan. Bank podsumował, że naruszone zostały dane 76 milionów osób oraz i 7 milionów małych przedsiębiorstw, co było jednym z największych przypadków kradzieży danych w historii. Chodzi o nazwiska, adresy, numery telefonów i adresy e-mail. Część były to już dane archiwalne.

Choć bank podał, że nie ma dowodów na to, żeby hakerzy uzyskali szczegółowe informacje o numerach kont, hasłach, numerach identyfikacyjnych (tamtejszych odpowiednikach PESEL) czy identyfikatorach ubezpieczenia społecznego, eksperci uważają, że klienci, których dane ukradziono, są w najwyższym stopniu narażeni na fraud.

– Wszystkie te dane są użyteczne dla hakerów i złodziei tożsamości. Skradzione informacje nie są wrażliwe same w sobie, ale mogą być używane do podszywania się pod tożsamość tych osób – powiedział były prokurator federalny USA ds. cyberprzesępczości Mark Rasch, cytowany przez agencję Reuters.

Bank przez pewien czas bagatelizował to zdarzenie. Gdy informacja o nim przedostała się do opinii publicznej, rzecznik banku Trish Wexler mówił, że firma tej wielkości doświadcza cyberataków niemal każdego dnia, a w tym akurat nie było niczego szczególnego. Mylił się. Choć sposób, w jaki dokonano ataku, nie jest jeszcze znany opinii publicznej i zapewne nie został jeszcze do końca przeanalizowany przez specjalistów, wiadomo już, że cyberprzestępcy bardzo udoskonalili narzędzia.

Nowe, znacznie bardziej przemyślne metody wraz z nasileniem skali ataków powodują, że także w Polsce sytuacja dojrzała do tego, by banki zaczęły myśleć o wspólnym przedsięwzięciu poprawiającym bezpieczeństwo systemów informatycznych. Jest co najmniej kilka powodów, żeby taka międzybankowa „grupa operacyjna” stworzyła dla sektora wartość dodaną. Jaką?

– Ochrona 24/7 to obszar, który wymaga rozwoju, podobnie jak współpraca z usługodawcami. Mogłoby to zdecydowanie podnieść bezpieczeństwo banków – mówił wiceprzewodniczący Forum Technologii Bankowych IBM Grzegorz Kuliszewski na konferencji IT@Bank zorganizowanej przez Związek Banków Polskich.

– Nad wypracowaniem wspólnego przedsięwzięcia, rodzajem „ekranu bezpieczeństwa”, pracuje Rada Bankowości Elektronicznej przy Związku Banków Polskich – powiedział Obserwatorowi Finansowemu prezes ZBP Krzysztof Pietraszkiewicz.

Ochrona. Czynne od 9 do 17

Powiedzmy uczciwie – polscy klienci banków nie należą do najbardziej zagrożonych na świecie i nie są najczęstszym celem ataków. Według najnowszego raportu producenta oprogramowania antywirusowego Kaspersky Lab w Polsce nastąpiło w III kwartale tego roku pomiędzy 3 a 12 tys. ataków. Przoduje Brazylia, gdzie było ich ponad 90 tys., a na kolejnych miejscach są Rosja (ponad 57 tys.) i Niemcy (ponad 55 tys.). O ile średnio bez mała trzy z dziesięciu komputerów na całym świecie podłączonych do sieci jest atakowanych przez malware, to Polska i pod tym względem znajduje się poniżej średniej. Atakowany jest mniej niż co czwarty komputer osobisty.

Ostatni raport znanego w branży IT ośrodka analitycznego Trend Micro przewiduje jednak, że ataki w 2015 roku będą się rozszerzać na dotąd uważane za w miarę spokojne terytoria, a branża finansowa będzie jednym z najczęstszych celów.

Być może w sieci dochodzi już do zdarzeń, z powodu których Rządowy Zespół Reagowania na Incydenty Komputerowe cert.gov.pl ostrzegł na początku listopada o możliwych atakach na infrastrukturę teleinformatyczną polskich instytucji finansowych. A zaraz po tym ostrzeżeniu Komisja Nadzoru Finansowego zwróciła ponownie uwagę bankom na ryzyko związane z umowami z dostawcami łączy internetowych i zaleciła im współpracę w celu odparcia możliwych ataków.

– Nie ma dobrych standardów współpracy z dostawcami usług internetowych. Nie dzielimy się wiedzą – mówił na konferencji IT@Bank Andrzej Sieradz, wiceprezes BGŻ

– Zagrożeń jest bardzo dużo i będzie ich coraz więcej. Ważne aby na bieżąco starać się zabezpieczać – mówi Obserwatorowi Finansowemu Ewa Pasewicz, dyrektor sprzedaży w firmie Impaq, zajmującej się tworzeniem systemów przeciwdziałających hakerskim atakom na instytucje finansowe,.

Przypomnijmy, że do końca roku banki mają czas na likwidację luk w swoich systemach teleinformatycznych w związku z Rekomendacją D. Jeśli okaże się po Nowym Roku, że któryś z ataków zakończył się powodzeniem, bank będzie miał wielkie kłopoty z zachowaniem reputacji. Tymczasem wcale nie jest pewne, że banki odrobiły lekcję na bardzo dobrą ocenę.

– Zna pan bank, który ma kontrolę operacyjną 24/7? Ja nie znam. O 17 idą do domu. Banki chcą wydawać pieniądze na zespoły sprzedażowe, a nie na bezpieczeństwo klienta na poziomie transakcyjnym – mówi Obserwatorowi Finansowemu analityk zajmujący się bezpieczeństwem systemów teleinformatycznych w bankach.

– Jeżeli któraś instytucja mówi, że jest całkowicie bezpieczna, to na pewno taką nie jest, bo nie zdaje sobie sprawy z zagrożeń. Złudne poczucie bezpieczeństwa jest najgorszym doradcą – dodaje Ewa Pasewicz.

Klient najsłabszym ogniwem

Hakerzy prężą muskuły i sieją postrach. Październikowy atak na warszawską giełdę to ich niewątpliwy sukces – zakłócili sesję, ukradli około 30 tys. rekordów z hasłami itp. Takie ataki – podobnie jak na JP Morgan – to raczej element gry psychologicznej. Informatycy z firm zajmujących się tworzeniem oprogramowania przeciwdziałającego atakom mówią, że nowy trend działań cyberprzestępczych polega na tym, iż coraz częściej ataki będą kierowane na urządzenia klientów, poprzez które zlecane są przelewy w bankowości internetowej i mobilnej. Pieniądze kradzione będą dyskretniej.

Jeden z bardziej prymitywnych socjotechnicznie, ale i skutecznych sposobów to phishing, czyli podsunięcie klientowi banku fałszywej strony, wystawionej w sieci przez grupę przestępczą, z oprogramowaniem kradnącym login i hasło. Gdy ofiara na takiej stronie je poda, a następnie wpisze jednorazowy kod potwierdzający transakcję, dane te zostaną ukradzione. Banki ostrzegają przed phisingiem, blokują fałszywe strony, a klienci także coraz rzadziej ufają mailom przychodzącym z niby banku.

To rzecz jasna nie koniec inwencji przestępców. Phising ewoluuje. Pojawia się Man-in-the-Middle. Nowa metoda ataku może polegać na tym, że fałszywa strona – już po zalogowaniu – przekierowuje klienta na autentyczną, która została „otwarta” dzięki użyciu przez niego loginu i hasła. Wtedy haker, w czasie trwania sesji może z pieniędzmi ofiary robić, co tylko chce. Musi jednak zadbać o to, żeby się ona nie spłoszyła i nie przerwała transakcji. Na ekran podsuwa jej „kartkę html” z informacją, iż w tej właśnie chwili transakcja jest niedostępna. Ofiara czeka, a haker czyści jej rachunek z pieniędzy.

Taka metoda ataku oznacza, że przestępcy znaleźli sposób na obejście „podwójnej weryfikacji” czy też „dwuskładnikowego uwierzytelnienia”, czyli wpisania hasła i jednorazowego kodu, np. przysłanego sms-em.

– Dwuskładnikowe uwierzytelnienie nie jest już żadną ochroną – mówił na konferencji IT@Bank Marcin Spychała, menedżer w IBM Polska.

Matrix to nie fikcja

Czujność klientów mimo wszystko rośnie, a wraz z tym rozszerzają się obszary rozsiewanych infekcji. Do przesądów zaczyna należeć przeświadczenie, że komputer można zarazić malwarem jedynie przeglądając strony porno. Można zarazić się wszędzie. Banatrix może zostać zainstalowany po otworzeniu niewinnego załącznika przysłanego mailem, pobraniu zainfekowanego pliku z sieci, np. zdjęcia, programu czy filmiku. Potem malware instaluje się sam na komputerze i… zasypia. Aż do czasu, gdy nie obudzi go ciąg 26 cyfr – numeru rachunku bankowego.

Co się dzieje dalej? Regulujemy płatność za zakupy dokonane przez Internet. Numer rachunku sklepu został dostarczony albo w mailu, albo widzimy go na stronie. Rzadko kto go przepisuje. Zazwyczaj zaznaczamy go, robimy ctrl c, a następnie w okienku strony bankowej ctrl v. Właśnie wtedy malware atakuje. Ci, którzy doświadczyli takich ataków mówią – cyfry zmieniały się jak w „Matriksie”. Zlecenie przelewu – rzecz jasna – idzie nie na rachunek sklepu, tylko „słupa” wynajętego przez przestępców.

Analitycy Rządowego Zespołu Reagowania na Incydenty Komputerowe na stronie cert.gov.pl piszą, że Banatrix nie jest wykrywalny przez żaden z dostępnych i powszechnie instalowanych na komputerach antywirusów. Ale jest też kolejna innowacja. Potrafi zmienić numer rachunku także wtedy, gdy klient wpisuje go ręcznie, albo nawet dopiero wtedy, gdy potwierdził już zlecenie przelewu.

Dlatego laboratoria producentów systemów zabezpieczeń przypominają fermy hodowlane, tylko że zamiast kurczaków czy pstrągów tuczone są tam malware’y. Do tej pory hakerskie twory rozpracowywane były przez tzw. technologie odwrotne, czyli odczytywanie kodów, a następnie rozpoznawane na ich podstawie działania malware’ów.

To jednak powodowało, że policja była zawsze o krok za przestępcami. Teraz dla hodowanego malware’a tworzy się środowisko przypominające jego naturalne miejsce aktywności, a więc komputer czy smartfon klienta oraz system transakcyjny banku. Takie przeciwciała pozwalają szybciej identyfikować groźne oprogramowanie faktycznie „żyjące” w sieci.

– Zdalne wykrywanie zagrożeń jest możliwe – mówił Marcin Spychała.

Bank musi zabezpieczyć klienta

Atakom hakerskim sprzyjają zwyczaje użytkowania komputerów przez Polaków. Większość systemów operacyjnych to wciąż Windows XP, który od kwietnia nie jest już wspomagany przez Microsoft. Wcześniej czy później pojawią się w nim mniejsze lub większe dziury, które ułatwią dostęp hakerom. Co w takim razie banki mają zrobić z zainfekowanymi klientami?

– Jeśli banki przestaną oddawać pieniądze kradzione przez cyberprzestępców, spadnie zaufanie. To banki muszą zabezpieczyć klientów – mówił na konferencji Andrzej Sieradz.

Jednym ze sposobów są specjalistyczne systemy, które potrafią wykryć malware’a, gdy ten się uaktywnia w momencie połączenia klienta z bankiem. Gdy klient zatwierdza transakcję, a insekt jest aktywny – transakcja zostaje zatrzymana. Ostatecznie do przelewu pieniędzy na konto „słupa” nie dochodzi.

Prawdziwym wyzwaniem dla instytucji finansowych staje się bezpieczeństwo bankowości mobilnej. Dlaczego? Trend Micro pisze w cytowanym raporcie, że producenci smartfonów nie dbają o bezpieczeństwo urządzeń, a pospiesznie aktualizowany i „otwarty” Android ma coraz większą liczbę luk i błędów, które mogą wykorzystać cyberprzestępcy. Liczba aplikacji open source jest już tak ogromna, a infekowanie ich staje się banalnie proste. W tej sytuacji do przejęcie całkowitej kontroli nad smartfonem bez wiedzy jego użytkownika tylko krok.

Bankowa „policja antyfraudowa” nie zastąpiłaby specjalistycznych systemów czy programów tropiących i wykrywających malware’y. Ale banki miałyby jedną, wyspecjalizowaną instytucję do kontaktów z zainfekowanymi klientami i ich sprzętem, do informowania ich np. czemu transakcja została przerwana, udzielania porad, jak komputer „wyleczyć”. Mogłaby też wykrywać i starać się o blokowanie serwerów, na których wystawiane są fałszywe strony, tropić konta „słupów”, zawiadamiać organy ścigania i być partnerem przy ich blokowaniu. To stworzyłoby wartość dodaną, tym bardziej, że koszty bezpieczeństwa będą bardzo szybko rosły.

(CC By cadillacdeville2000)

Otwarta licencja


Tagi


Artykuły powiązane

Cyfryzacja zwiększa skalę oszustw na rynku finansowym

Kategoria: Analizy
Pandemia przyśpieszyła digitalizację płatności, w których główną rolę odgrywają urządzenia mobilne. Na ich wykorzystaniu skupiają się także sprawcy wyłudzeń i oszustw na rynku finansowym.
Cyfryzacja zwiększa skalę oszustw na rynku finansowym