Potencjalne straty sektora finansowego to 1 mld zł

13.07.2016
Sektor finansowy stara się dotrzeć do klienta wszystkimi możliwymi drogami i do tego jak najszybciej. Tymczasem więcej kanałów dostępu to więcej możliwości ataku przez cyberprzestępców – ostrzega Przemysław Skowron z firmy White Cat Security zajmującej się wzmacnianiem elektronicznej obrony.
(Fot. shutterstock)

(Fot. shutterstock)

(Fot. shutterstock)

Obserwatorfinansowy.pl: Podobno największe sukcesy cyberprzestępcy kradnący nasze pieniądze odnoszą dzięki temu, że jesteśmy nierozważni?

Przemysław Skowron: Gdy korzystamy z bankowości elektronicznej, liczy się dla nas szybkość. Stajemy się wówczas mniej rozważni. Chcemy dokonać autoryzacji transakcji w jak najmniejszej liczbie kroków.

Poza tym banki starają się nowymi drogami i jak najszybciej przedstawić klientowi swoją ofertę. E-mailem, SMS-em albo przez bankowość elektroniczną, jeszcze zanim się do niej zalogujemy, już po zalogowaniu albo wtedy, gdy dokonujemy transakcji.

Na przykład?

Wykonujemy przelew do innego banku, żeby założyć tam korzystną lokatę, gdyż znaleźliśmy ofertę na 2,5 proc. Wtedy wyskakuje okienko z informacją: „Załóż ją u nas, damy ci 2,7 proc.”. To naturalne, że bank chce, żeby nasze środki nie popłynęły do innego banku, ale tę sytuację wykorzystują przestępcy, działając dokładnie w taki sam sposób. Komunikat osoby podszywającej się pod bank jest wysyłany w identyczny sposób po to, żeby klient zrobił jakiś niestandardowy krok. Na przykład podał dane dotyczące tożsamości, kod autoryzacyjny itp.

Banki chcą zawsze i wszędzie dopaść klienta i stawiają na dostęp przez różne kanały. To źle?

Problem polega na tym, że sektor finansowy tworzy coraz większy potencjał. A w miarę jak potencjał rośnie, zwiększa się też przestrzeń ataku. Im więcej kanałów, tym ona jest większa.

Czy wszystkie kanały są jednakowo niebezpieczne?

Najbardziej efektywny dla przestępców jest kanał webowy, czyli tradycyjna bankowość elektroniczna. Ponieważ są tam wyższe limity operacji niż na przykład przez telefon, przestępcy mają potencjalny dostęp do większych pieniędzy klienta.

Najbardziej efektywny dla przestępców jest kanał webowy, czyli tradycyjna bankowość elektroniczna.

Coraz częściej słyszymy o zagrożeniach związanych z atakami na smartfony.

Na świecie ataki na urządzenia mobilne są dużo bardziej popularne niż w Polsce. Są one dobrym kanałem ataku, gdyż większość banków do autoryzacji korzysta z SMS-ów, które trafiają na te same urządzenia, albo z tokenów mobilnych, które są na tym samym urządzeniu co aplikacja. Przestępcy próbują atakować urządzenia mobilne albo nakłonić klienta, żeby podał kod autoryzacyjny i zautoryzował podstawioną operację zamiast tej, którą chce autoryzować.

Z czasem limity transakcji mobilnych wzrosną, bo będą tego chcieli klienci, a i bankom będzie to na rękę.

Prawdopodobnie tak będzie. Poza tym więcej transakcji tu i teraz będą dokonywać firmy, głównie małe i średnie.

Bankom zależy na tym, żebyśmy płacili szybko i impulsywnie. Czy nie ma konfliktu interesów między zwiększaniem liczby transakcji a bezpieczeństwem?

W pewnym stopniu jest. Szybkie przelewy z urządzenia mobilnego czy nawet kart płatniczych, które teraz też mają już postać urządzeń mobilnych, to płatności na stosunkowo niewielkie kwoty. Gdyby zrobić analizę ryzyka, przestępcom stosunkowo mało opłaca się atakować niskokwotowe płatności. Oczywiście gdyby skala była ogromna, dawałaby zwrot z inwestycji, ale przeprowadzenie ataku na ogromną skalę to ogromne inwestycje.

Poza tym szybkie przelewy wcale nie są mniej chronione przez banki niż te bardziej standardowe. Można dać klientowi szybkość realizacji transakcji, gdyż atak na nią jest mniej prawdopodobny, a z drugiej strony, jak przypuszczam, przy takich płatnościach banki będą bardziej skłonne, by pokrywać straty klientów.

Niektórzy analitycy uważają, że przestępcy będą celować w małe i średnie firmy.

W tej chwili nie ma jeszcze spektakularnych ataków na klientów z sektora MŚP z użyciem kanału mobilnego. Używając jednak klucza efektywności, czyli kierując się tym, gdzie najłatwiej można ukraść najwięcej, może okazać się, że sektor małych i średnich firm jest najlepszy. Choć nie jestem pewien, czy dotyczy to kanałów mobilnych. Potencjalnie łatwiej zaatakować księgową, która korzysta z klasycznego peceta w pracy.

Kto powinien bardziej się bać: klienci indywidualni czy korporacyjni?

Korporacyjni. Przestępcy tak samo segmentują ofiary, jak banki segmentują klientów. Będą więc zdarzać się ataki na konkretne firmy, które w raportach publicznych ogłaszają na przykład, jakimi pieniędzmi obracają i jakie kontrakty podpisują. Ale będą także ataki wymierzone w klientów indywidualnych, byleby mieli cokolwiek ciekawego na koncie. A przestępcy zauważyli już, że klienci w Polsce mają sporo pieniędzy.

Czyli bogaci powinni się bardziej bać?

Polak ma średnio na rachunku ok. 10 tys. zł. To kwota satysfakcjonująca dla napastnika, tym bardziej że ataki na klienta indywidualnego są proste i tanie. Niektórzy przestępcy już segmentują klientów indywidualnych, wyróżniając grupę najzamożniejszych.

Firmy też są segmentowane?

Też. W korporacjach procesy akceptacji przelewu stają się coraz bardziej skomplikowane, co powoduje, że ataki są coraz trudniejsze i wymagają coraz większych środków. Dlatego bardziej opłacalne mogą okazać się ataki na małe i średnie firmy. Tam na kilka przeprowadzonych dwa albo trzy mogą się udać. W korporacji przy takich samych nakładach atak może się nie powieść.

Procedury dają ochronę korporacjom, a jednocześnie spowalniają transakcje. Chcąc je przyspieszyć, zmniejszamy kłopotliwość procedur i narażamy się bardziej?

Tam, gdzie są większe pieniądze, banki same spowalniają operacje. Pilnują dopełnienia schematów akceptacji. Dają klientom większą szansę obrony. Ale w stosowaniu procedur też są luki. Powiedzmy, że przelewy muszą być autoryzowane przez dwie osoby. W praktyce bywa tak, że pierwsza osoba wprowadza wszystkie przelewy według faktur, które firma ma opłacić, a druga akceptuje je trochę na oślep. Jeśli został zaatakowany pracownik, który wprowadzał przelewy, ten drugi nie utrudni kradzieży, żeby nie powiedzieć, że nawet pomoże pieniądzom opuścić rachunek.

CERT Polska obliczył, że w naszym kraju jest ok. 150 tys. botów, czyli komputerów przejętych przez przestępców, i przynajmniej dziesięć łączących je sieci, czyli botnetów. To dużo?

Mam problem z interpretacją tych wyliczeń, bo pojedynczy adres IP (a adresy IP są podstawą obliczeń CERT) nie musi oznaczać jednego urządzenia. Pojawia się pytanie, czy pod jednym adresem IP są zainfekowane wszystkie urządzenia czy tylko jedno. Bardzo trudno na to odpowiedzieć.

Ogromny problem sprawia też to, jaką część bonetu widzi CERT, czy to 90 proc., czy 100, czy może tylko 30 proc. Gdybyśmy to wiedzieli, wiedzielibyśmy, ile botnety mają botów. Nie wiemy, czy boty są ukierunkowane na konkretny, pojedynczy atak, czy bot wykrada wszystko, co się da. Nie wiemy, czy atakuje klienta banku X, czy również banku Y. Jeśli atakuje tylko klienta banku X, to klient banku Y jest „bezpieczny” dopóty, dopóki nie zmieni się rola tego bota. A gdy się zmieni, ma już problem. Jestem przekonany, że botnety są nie mniejsze, niż pokazuje to CERT Polska.

Można ocenić, jaka to skala ryzyka?

Starałem się ją oszacować, żeby każdy bank, który przecież doskonale wie, ile jego klienci mają na swoich rachunkach i w produktach finansowych, był w stanie samodzielnie sobie policzyć. Każdy bank może powiedzieć, jak bardzo się pomyliłem.

Ile panu wyszło?

Potencjalne straty sektora finansowego w Polsce to około 1 mld zł. To kwota, którą na wszystkich produktach bankowych mają ci klienci, którzy mają styczność z urządzeniami przejętymi przez napastników, takimi jak zainfekowany komputer, router sieci bezprzewodowej albo urządzenie mobilne.

Banki traktują sytuację wystarczająco poważnie? 

Próbują uzbroić klientów, zwłaszcza korporacyjnych. PKO BP robi na przykład spotkania dla nich i próbuje zaszczepić im higienę postępowania. Chodzi o to, żeby bank nie był ostatnią linią obrony.

Są efekty?

O efektach trudno mówić, bo musielibyśmy zobaczyć statystyki, a oprócz nich konteksty zdarzeń. Nie mamy dostępu do tych informacji i wiele możemy tylko domniemywać. Nawet jeśli ktoś pokazuje jakieś liczby, doskonale zdaje sobie sprawę, że nie może ujawnić całego kontekstu, gdyż ten jest objęty umowami o zachowaniu poufności. Możemy liczby ataków porównywać rok do roku, możemy spróbować wiązać je według pewnych kluczy, ale nie mamy żadnych jednoznacznych odpowiedzi.

>>czytaj również: Trwa sprzątanie po udanych atakach na banki

Gdzie jeszcze kumuluje się ryzyko?

Systemy bankowości elektronicznej są coraz bardziej do siebie podobne. Nie w warstwie aplikacji, którą zauważa klient, tu się różnią. Systemy mają wiele cech wspólnych na poziomie, na którym napastnicy przygotowują atak. Przygotowanie ataku na jeden bank może więc naprawdę oznaczać, że jest on niemal gotowy w przypadku kilku innych.

Gdyby przestępcy zmienili w konfiguracji swojego bota polecenie „atakuj klienta banku X oraz klientów logujących się do czterech innych banków”, atak mógłby od razu zadziałać. Nie ponoszą wtedy kosztu przygotowania ataku na pięć banków, tylko na jeden, z małym narzutem. To może powodować, że ataki będą wymierzone w coraz większą liczbę banków.

Przedstawiciele Komisji Nadzoru Finansowego apelowali, żeby banki brały pod uwagę to ryzyko. Ocenia pan je jako duże?

Mamy prawie 40 banków komercyjnych i ponad 500 spółdzielczych, a jest trzech czy czterech dostawców na cały kraj. To oznacza, że przygotowując atak na jeden bank, mamy właściwie gotowy atak na ponad 100 sto innych. W bankach spółdzielczych są co prawda mniejsze pieniądze, ale skala jest większa i możemy dojść do bardzo wysokich kwot.

Co banki mogą zrobić?

Konstrukcja ataków jest taka, że większość z nich możemy monitorować albo skutecznie im przeciwdziałać, korzystając z technologii wbudowanych w aplikacje webowe. Bankowość elektroniczna korzysta z aplikacji sieciowych, a te korzystają z protokołu HTTP. Jest sporo narzędzi wbudowanych w protokół HTTP, które pozwalają przeciwdziałać „doklejeniu” przez napastnika dodatkowego kodu do strony internetowej banku.

CSP (Content Security Policy), HSTS (HTTP Strict Transport Security) i HPKP (HTTP Public Key Pinning) to mechanizmy, które mogą monitorować stan bankowości elektronicznej i wysyłać do banku sygnały, jeżeli coś zostało zmodyfikowane po stronie klienta. Mogą też zabronić urządzeniu uruchomienia kodu, którym zostało zainfekowane. Formularz dołączony do naszej bankowości elektronicznej przez przestępców się nie wyświetli, a klient może nawet otrzymać sygnał, że coś niepokojącego w jego komputerze się stało.

Czemu banki tego nie robią?

Banki wykorzystują te możliwości, ale mniejszy entuzjazm jest u dostawców bankowości elektronicznej. Pada odpowiedź, że to na pewno da się jakoś obejść. Wszystko da się jakoś obejść, ale ustawiamy poprzeczkę na innej wysokości. Koszt dla wprowadzającego produkt jest niewielki, zwiększa się natomiast koszt dla przygotowującego atak. I o to chodzi.

Taka dodatkowa warstwa ochronna nie gwarantuje nam, że ataki będą mniej skuteczne na zawsze, ale gwarantuje, że ataki skonstruowane tak jak dzisiaj będą mniej skuteczne.

Może chodzi o ochronę prywatności? Banki wzbraniają się przed instalowaniem czegokolwiek na komputerze klienta.

Kiedy bank włącza CSP, przekazuje tylko instrukcję przeglądarce klienta, że kiedy ktoś będzie próbował dołożyć formularz z innej domeny niż domena bankowości elektronicznej, przeglądarka ma to działanie odrzucić lub poinformować, że do strony „coś” (czyli ten formularz) na komputerze klienta zostało dołożone. Nie ma tu żadnej ingerencji w prywatność, do banku nie są przesyłane żadne informacje o tym, co klient robi na swoim komputerze. Nie ma żadnego dostępu do prywatnych danych klienta.

>>więcej: Banki serwują nowe technologie, odpowiedzialność leży na użytkowniku

Czy szkolenia uczące reakcji na ataki w organizacjach przynoszą efekty?

Ćwiczenia w sferze cyberbezpieczeństwa są tak samo istotne, jak ćwiczenia fizyczne dla zachowania kondycji. Co ciekawe, te, które wychodzą źle, są bardziej przydatne niż te kończące się sukcesami. Sukces może oznaczać, że nie najlepiej dobraliśmy cel ataku lub mamy na pokładzie ludzi, którzy doskonale radzą sobie w nieznanych warunkach.

Najlepiej dobierać ćwiczenia z taką sytuacją, z którą nie mieliśmy jeszcze do czynienia. Ze znanymi już incydentami organizacje jakoś sobie radzą, mają już gotowe procedury. Ważne jest więc, żeby dobierać takie scenariusze, dla których nie ma jeszcze rozpisanych procedur. Ćwiczenia pozwalają w sposób procesowy, proceduralny i praktyczny sprawdzić, czy potrafimy reagować na incydenty, których boimy się najbardziej i nie spotykamy się z nimi na co dzień.

Warto tworzyć w Polsce jednostki przeznaczone do tego, żeby zajmowały się walką z cyberprzestępczością?

Takie jednostki są najbardziej efektywne. Trzeba pamiętać, że budowa takiej jednostki to dwa, trzy, cztery lata pracy. Ważne jest też, żeby zespoły, które zajmują się monitoringiem i obsługą incydentów bezpieczeństwa, specjalizowały się nie tylko w tym, w czym chcą być dobre, lecz w tym, w czym dobre być powinny.

Spotkałem się z opiniami, że biometria spowoduje, iż będziemy bezpieczni.

Zobaczymy na etapie testów. Dopóki rozwiązania biometryczne nie przejdą testów funkcjonalnych i testów bezpieczeństwa, nie będziemy mieć pewności, że będą skuteczne. W testach miewamy różne wyniki. Na przykład ktoś dotyka czujnika palcem dziesięć razy, z czego siedem razy system go identyfikuje, a trzy razy odrzuca.

Nie ma kłopotu, jeśli raz czy dwa razy więcej dotknie smartfona. Ale na poziomie biznesu jest to problem, bo może to oznaczać na przykład, że bankomat nie zaakceptuje mojej autoryzacji, bo uzna, że ja to jednak nie ja. A wtedy systemy antyfraudowe dostaną sygnał, że z tego samego bankomatu kilka razy próbuje wypłacić pieniądze przestępca, a zaraz potem ich właściciel. Mogą zacząć się uczyć złych wzorców. Jeśli systemy te są dobrze dopracowane, może okazać się, że biometria, która nie będzie dawała pewności, będzie je demoralizować.

Rozmawiał Jacek Ramotowski


Tagi


Artykuły powiązane