Autor: Jacek Ramotowski

Dziennikarz zajmujący się rynkami finansowymi, zwłaszcza systemem bankowym.

Cybermafia groźniejsza od nieuczciwego pracownika

Przed ustawodawcami i prawnikami, a także bankami stoją kluczowe decyzje, które muszą podjąć wobec wyzwań związanych z cyberprzestępczością. Dotyczą one nie tylko prawa karnego bądź ochrony danych, ale także kwestii, czy banki powinny przejąć pełną odpowiedzialność za bezpieczeństwo pieniędzy na rachunkach klientów.
Cybermafia groźniejsza od nieuczciwego pracownika

(infografika Dariusz Gąszczyk)

W 2015 roku doszło do kilku istotnych zmian na „polu gry”, jaką prowadzą korporacje, banki, organy ścigania i rządy z cyberprzestępcami. W przypadku banków i ich klientów na pierwsze miejsce wśród zagrożeń wysunął się stale udoskonalany phishing.

Phishing – dla przypomnienia – polega na tym, że otwarcie załącznika powoduje na komputerze klienta instalację oprogramowania, które na przykład może spowodować, że chcąc złożyć dyspozycję przelewu, klient banku zostaje przekierowany na stronę podstawioną przez przestępców. Phishing staje się coraz bardziej wyrafinowany i jest już podstawową metodą ataku na klienta banku. Pytanie brzmi, czy i co banki mogą na to poradzić.

– Czy klient banku jest w stanie zauważyć, że w aplikacji bankowej jest dodatkowe okienko – kod wstrzyknięty przez przestępców? – pytał Marcin Spychała z IBM Polska na listopadowym Kongresie Bankowości Detalicznej.

Cybermafia zwiera szeregi

Przyjrzyjmy się najpierw zmianom, jakie zaszły w minionym roku na „polu gry”. Do najważniejszych należy taka, że cyberprzestępczość coraz lepiej się organizuje. Zarządzający korporacjami już to widzą. Ze światowego badania bezpieczeństwa za 2015 roku przeprowadzonego przez firmę doradczą EY w 67 krajach wynika, że szefowie korporacji zaczęli po raz pierwszy w historii postrzegać cybermafię za głównego wroga w sieci.

Jeszcze rok wcześniej największym zagrożeniem był pracownik, który przeszedł na „złą stronę mocy”. Mógł ukraść dane albo udostępnić przestępcom swoje kody dostępu. Dla bezpieczeństwa korporacji i jej danych to nadal jedno z największych niebezpieczeństw, ale spadło już na drugie miejsce.

– Zorganizowane grupy przestępcze wysunęły się na pierwsze miejsce i wyprzedziły insiderów. Grupy te są już tak dobrze wyspecjalizowane, że wyprzedziły pracowników – mówił podczas listopadowej prezentacji raportu Michał Kurek z EY.

Co to takiego cybermafia? Jej model biznesowy opisuje Wojciech Kurowski z SGH w książce „Mafia 2.0 – Jak organizacje przestępcze kreują wartość w erze cyfrowej”. Grupy przestępcze łączą środki i zasoby, dzielą między siebie zadania, równoległe procesy składają w jeden nieoczekiwany atak. Do współudziału angażują często nieświadome osoby – choćby przez tworzenie botnetów, czyli sieci z zainfekowanych komputerów. W przeprowadzanych atakach wykorzystują efekt skali.

Cybermafia nie tylko się organizuje, ale też profesjonalizuje. Dane Kaspersky Lab pokazują, że w 2015 roku spadła globalna „produkcja” złośliwego oprogramowania służącego do infekowania komputerów i wykorzystywanego do kradzieży danych lub pieniędzy. To wcale nie znaczy, że świat stał się bardziej bezpieczny. Przeciwnie – twierdzą eksperci tego rosyjskiego producenta oprogramowania – cybermafia optymalizuje koszty i doskonali narzędzia.

Produkcja oprogramowania jest relatywnie droga. Przestępcy zamiast na kreację nowych programów stawiają na profesjonalizm, rygor, dyscyplinę i metodologię. Doskonalą stary software i metody. Inwazja natomiast wcale nie wyhamowała – liczba zaatakowanych użytkowników komputerów wzrosła o 5 proc.

Coraz częściej celem są smartfony

W Polsce większość znanych – przynajmniej przeciętnym obywatelom – ataków, odbywała się na komputery osobiste. Twórcy wyszukiwarek wzięli się w minionym roku do pracy i załatali w nich sporo dziur, wskutek czego korzystanie z Internetu stało się bardziej bezpieczne. Tymczasem jednak coraz więcej operacji, w tym finansowych, przeprowadzanych jest z urządzeń mobilnych. Co więcej – trzymamy na nich coraz więcej danych, prywatnych i firmowych, hasła i kody dostępu. To nowy obszar, który przestępcy będą wykorzystywać – twierdzi Trend Micro, amerykańska firma tworząca oprogramowanie służące bezpieczeństwu.

Analitycy Kaspersky Lab zwracają natomiast uwagę, że po raz pierwszy w historii w 2015 roku dwa bankowe trojany przeznaczone wyłącznie do ataków poprzez urządzenia mobilne znalazły się w pierwszej dziesiątce najczęściej spotykanych programów używanych do kradzieży pieniędzy. Co więcej – rozprzestrzeniają się błyskawicznie. Zidentyfikowano je już w 200 krajach.

Tymczasem użytkownicy urządzeń mobilnych nie są jeszcze wystarczająco świadomi zagrożeń. Podczas gdy 93 proc. zasiadających przy desktopach ma zainstalowane jakieś oprogramowanie służące bezpieczeństwu, ściąga je zaledwie 26 proc. użytkowników iPhone’ów, 44 proc. posiadaczy Windows Phone i 60 proc. posługujących się smartfonami z Androidem. >>zobacz film: Bank strzegący cyberbezpieczeństwa chce mieć wgląd w twój smartfon

„Tradycyjną” pocztę elektroniczną stopniowo zastępują platformy mediów społecznościowych. Świadomość zagrożeń, które dla korporacji niosą media społecznościowe, jest jeszcze niska – stwierdza w raporcie EY. Skutek jest taki, że pracownik nawet w niezamierzony sposób może „zdradzić” tajemnicę firmy. Poprzez załącznik albo link może też ściągnąć szkodliwe oprogramowanie na firmowy komputer, otwierając w ten sposób możliwość wykradzenia haseł, danych itp. Autoprezentacje w mediach społecznościowych mogą obnażać słabe strony autora postu, a więc wskazywać drogę werbunku.

– Pokazujemy nasze preferencje, mówimy o tym, co robimy w wolnym czasie – mówił Marcin Spychała.

– Firmy nie doceniają zagrożenia związanego z tym obszarem – ocenia Michał Kurek.

Sprawdź jak staniał twój PESEL

Kolejny nowy trend w działalności przestępców to ataki na inne niż komputery stacjonarne, tablety i smartfony urządzenia podłączone do sieci. Na przykład na terminale, w których płacimy „tradycyjną” kartą płatniczą. Oprogramowanie szpiegowskie może „zeskrobać” z niej dane. Technologia ta, nazwana przez Micro Trends GamaPoS, stosowana jest przez przestępców w USA i w Kanadzie.

W tym roku po kilkuletniej przerwie ożył botnet, czyli łańcuch komputerów-zombie, nazwany Andromeda. Rozsyła on masowo spamy i maile z załącznikami. Po otwarciu załącznika złośliwe oprogramowanie zagnieżdża się na dysku. Jeśli komputer połączony jest z pos-em, znajduje żerowisko w pamięci operacyjnej pos-u. Sprawa tu jest o tyle prosta do zwalczania, że wystarczy przyzwoite oprogramowanie antyspamowe, żeby uniknąć zainstalowania GamaPoS na terminalu płatniczym.

Przestępcy zaczęli przyglądać się także alternatywnym systemom płatności (Apple Pay i Android Pay). Powstanie dziesiątek tysięcy firm pośredniczących w płatnościach to dla nich również nowe źródło zarabiania pieniędzy. Analitycy twierdzą, że bardzo prawdopodobnym miejscem ataków będą giełdy i platformy obrotu instrumentami finansowymi, a szczególnie opłacalne może być zagnieżdżanie malwarów w algorytmach służących do high frequency trading. Zanim zostaną wykryte mogą przynosić długotrwałe korzyści.

Producent oprogramowania McAfee zauważył masowy wzrost ataków ransomware w 2015 roku. Polegają one na tym, że do komputera – na przykład poprzez zainfekowany załącznik, jak w przypadku phishingu – wstrzykiwany jest program szyfrujący dane. Przestępca zgłasza się potem do ofiary z żądaniem okupu – jeśli zapłacisz, podamy ci klucz.

Skoro pieniądze kradzione są bez użycia przemocy i rozlewu krwi, czy znaczy to, że tradycyjni brutalni mafiozi zasilą szeregi bezrobotnych? Wściekłe psy pójdą na zasiłek? Niekoniecznie. Działalność organizacji przestępczych może przybierać postać hybrydową, ataków wirtualnych i fizycznej przemocy. To pierwsze otwiera drogę do tego drugiego.

(infografika Dariusz Gąszczyk)

(infografika Dariusz Gąszczyk)

 

Danych osobowych ukradziono już tyle, że ich ceny na czarnym rynku mocno spadły. O ile za jeden rekord, który zawiera imie i nazwisko, pełny adres, datę urodzenia, numer ubezpieczenia społecznego w 2014 roku płacono 4 dolary, w ubiegłym roku już tylko 1 dolara. Potaniały też numery kart kredytowych, które są obecnie sprzedawane w detalu. Numery CVV są już znacznie droższe, a login do rachunku w banku Lloyds, na którym jest 122 tys. funtów kosztuje 500 dolarów. Popularna staje się coraz bardziej sprzedaż skradzionych kont Uber. „Chodzą” po 1,15 dolara za sztukę.

Mimo to kradzież danych osobowych pozostaje jednym z najbardziej powszechnych celów najbardziej spektakularnych ataków. W lutym 2015 roku amerykańska firma ubezpieczeniowa Anthem straciła miliony poufnych rekordów. W czerwcu z biura zarządzającego służbą cywilną amerykańskiego rządu ukradziono dane 21,5 miliona pracowników administracji. I – co może najbardziej smakowite – z serwisu randkowego Ashley Madison hakerzy przejęli dane 32 milionów jego klientów. Po co?

„Trzeci kwartał 2015 roku ujawnił jeden ze scenariuszy najgorszych z możliwych do wyobrażenia: że informacje pochodzące z naruszenia danych będą wykorzystywane do dalszych ataków, takich jak szantaż i wymuszenia” – piszą analitycy Trend Micro.

Cybermafia, kradnąc dane osobowe, kupując je na czarnym rynku, zbierając z mediów społecznościowych, tworzy alternatywną Big Data. Skradzione dane mogą służyć do tworzenia fałszywych tożsamości, dzięki którym można „fizycznie” wyłudzać kredyty, karty kredytowe, rejestrować rachunki, żeby wpływały na nie przelewy z przestępstw, konta do rozsyłania spamu i dokonywania phishingu. Można również typować osoby do szantażu czy porwań.

Dylematy prawników

Działalność cybermafii rzuca nowe wyzwanie systemom prawnym. Bo – jak wiemy – korzysta ona z licznych poddostawców, których produkty są następnie łączone i wykorzystywane do przestępstw. Tę metodę ilustruje przykład pewnego Łotysza, skazanego w styczniu przez sąd na Manhattanie na 21 miesięcy więzienia, z których część już odsiedział, a za kilka tygodni będzie mógł wrócić do kraju. Był współautorem kodu źródłowego zastosowanego potem w oprogramowaniu użytym do zainfekowania ok. 40 tys. komputerów. Napisał tylko cześć kodu, za co dostał 1000 dolarów. Do tego się przyznał.

Sprawa jest trudna. Łatwo skazać bandytę, który napadł na bank i ukradł stamtąd pieniądze, łatwo skazać pasera, jeśli policja znajdzie u niego rzeczy pochodzące z przestępstwa, tego, kto dostarczył narzędzi. Ale sprawa z Łotyszem wyglądała trochę tak, jakby sąd miał skazać muzyka za to, że napisał trzy takty utworu, choćby nawet był to równie potępiany w pewnych kręgach utwór jak „Oda do Radości”.

„Większość przepisów zwalczających cyberprzestępczość powstała w ciągu ostatnich 10 lub 15 lat. Sędziowie dopiero uczą się, jak je stosować i jak ich używać” – mówi portalowi „The Hill” Catherine Marcum, profesor prawa karnego.

Potrzeba ochrony danych przed kradzieżą z urządzeń mobilnych spowodowała, że giganci technologiczni zdecydowali się na szyfrowanie urządzeń. Postąpił tak Apple, który dodał szyfrowanie domyślne do swojego systemu operacyjnego i nie stworzył w nim „tylnego wejścia”, czyli takiego obejścia zabezpieczeń, z którego mogłaby korzystać policja czy służby. Tylko ten, kto zna hasło, ma dostęp do danych. Postępowanie wywołało wojnę wśród prawników. Po jednej stronie stoją ochrona prywatności i interesy firm technologicznych. Po drugiej – bezpieczeństwo publiczne.

Cyrus Vance jr, syn sekretarza stanu z czasów prezydentury Jimmy’ego Cartera, prokurator na Manhattanie, wytoczył wojnę szyfrowaniu danych, gdyż uważa, że decyzja Apple pozwoli ekstremistom i terrorystom na potajemną komunikację. Stworzył już międzynarodową koalicję do walki z szyfrowaniem wraz z naczelnym prokuratorem Paryża, szefem londyńskiej policji i głównym prokuratorem Sądu Najwyższego Hiszpanii. Czy giganci technologiczni się przed wprowadzaniem takich rozwiązań cofną? Nie jest to jeszcze przesądzone.

Nowa rola banku?

Skoro phishing staje się wyrafinowany, bankom będzie coraz trudniej udowodnić, iż klient zachował się nierozważnie czy też dokonał zaniedbań, gdy logował się na stronę banku lub dokonywał płatności. A tylko w takiej sytuacji bank nie ponosiłby odpowiedzialności za to, że pieniądze klienta zostały ukradzione. Bankowcy przyznają, że w ciągu ostatniego roku ataki na klientów polskich banków się nasiliły i są wciąż doskonalone.

– Jak zabezpieczyć klienta? Wyedukować kilka miliardów ludzi? – mówił Marcin Spychała.

Co do potrzeby edukacji klientów panuje powszechna zgoda, choć problemem jest to, że edukacja musiałaby być procesem permanentnym wobec doskonalenia sposobów ataków.

W ocenie Marcina Spychały edukacja nie wystarczy. Bank powinien wykonywane przez klienta czynności maksymalnie upraszczać i zagwarantować, żeby bez względu na to, z jakiego urządzenia korzysta, był zabezpieczony przed atakiem. A wiec na przykład zainstalować na jego urządzeniach swój ochronny software.

Takie podejście budzi jednak wiele wątpliwości. Podobny software musiałby objąć ochroną cały komputer (smartfon), a więc go penetrować. Jaką gwarancję miałby klient, że bank nie dowiaduje się, jakie strony otwiera, do kogo wysyła maile, jakie dane trzyma na dysku. Potencjał ingerencji w prywatność byłby olbrzymi, a pokusy nadużycia – również.

Możliwe jednak, że ten kierunek myślenia jest słuszny, i że banki będą musiały poświęcić więcej starań o to, by pieniądze klientów były bezpieczne bez względu na poziom ich roztropności, edukacji, kompetencji czy wręcz informatycznej wiedzy. To może wyróżniać banki od firm sektora bankowości cienia, które będą walczyły o te same pieniądze.

(infografika Dariusz Gąszczyk)
(infografika Dariusz Gąszczyk)

Otwarta licencja


Tagi


Artykuły powiązane

Cyfryzacja zwiększa skalę oszustw na rynku finansowym

Kategoria: Analizy
Pandemia przyśpieszyła digitalizację płatności, w których główną rolę odgrywają urządzenia mobilne. Na ich wykorzystaniu skupiają się także sprawcy wyłudzeń i oszustw na rynku finansowym.
Cyfryzacja zwiększa skalę oszustw na rynku finansowym