Autor: Tomasz Świderek

Dziennikarz specjalizujący się w tematach szeroko rozumianej branży telekomunikacyjnej i nowych technologii.

Dziki Cyberzachód

Cyberatak, cyberbezpieczeństwo, cyberprzestępczość – nie ma dnia, żeby światowe media nie użyły choćby jednego z tych słów. Udany lipcowy atak na stronę internetową Europejskiego Banku Centralnego czy spenetrowanie przez hakerów systemu amerykańskiej giełdy Nasdaq pokazują, kto jest górą: informatyczni przestępcy czy szeryfowie.
Dziki Cyberzachód

(CC By NC Richard Binhammer)

Zajmująca się bezpieczeństwem informatycznym firma McAfee ocenia, że cyberprzestępczość co roku kosztuje światową gospodarkę około 445 mld dol. W tę kwotę wliczone są bezpośrednie straty finansowe i wszelkie koszty związane czy to z usunięciem skutków ataku, czy z zabezpieczaniem się przed atakami. Według danych prokuratury w 2013 roku tylko w Nowym Jorku przeprowadzono ponad 900 udanych ataków, w wyniku których doszło do utraty danych w firmach i instytucjach państwowych. Koszty szacuje się na 1,4 mld dol.

Firma badawcza Ponemon Institute szacuje, że średni światowy koszt jednego udanego ataku to już 3,5 mln dol., o 15 proc. więcej niż w 2013 roku.

Ataki prowadzą zarówno amatorzy, jak i zorganizowane grupy cyberprzestępców, a także – coraz częściej – państwa. Andrew France, prezes Darktrace, brytyjskiej firmy zajmującej się cyberbezpieczeństwem, porównuje sytuację do tych czasów z historii Dzikiego Zachodu, w których przestępcy byli górą nad stróżami prawa.

EBC na celowniku

W tej wojnie każdy może zostać celem ataku. Nie ma znaczenia, czy jest osobą prywatną, małą firmą czy wielką instytucją finansową.

– Duże instytucje finansowe, takie jak Europejski Bank Centralny, nieuchronnie przyciągają ludzi, którzy starają się włamać do ich systemów informatycznych – twierdzi cytowany przez agencję Bloomberg Sean Sullivan z zajmującej się bezpieczeństwem w sieci fińskiej firmy F-Secure. – Jeśli uda się wyodrębnić jakieś istotne dla rynku informacje, to sprawca ma bardzo cenny towar, który może sprzedać.

Komunikat rzeczniczki Europejskiego Banku Centralnego o udanym ataku, w wyniku którego hakerzy przejęli wrażliwe dane – imiona i nazwiska, adresy mailowe, numery telefonów – około 20 tys. osób odwiedzających bank lub uczestniczących w imprezach organizowanych przez EBC, kończy się zapewnieniem, że bezpieczeństwo danych bank traktuje niezmiernie poważnie, oraz że eksperci załatali dziurę, którą wykorzystali atakujący. Problem w tym, że kilka zdań wcześnie rzeczniczka przyznała, że bank o włamaniu i kradzieży danych dowiedział się z maila, w którym zażądano okupu za nierozpowszechnianie przechwyconych informacji.

Skradziona z EBC baza danych była częścią oficjalnej strony WWW banku i – co budzi pewne zdziwienie specjalistów zajmujących się cyberbezpieczeństwem – nie była zaszyfrowana. Bank zapewnia, że zaatakowana strona nie była połączona z tą częścią systemu informatycznego EBC, która zawiera wrażliwe dane.

Rumuński ser szwajcarski

Ten przypadek zbiegł się w czasie z informacją o nowym sposobie atakowania klientów bankowości elektronicznej oraz o zlikwidowaniu przez Europol grupy przestępczej atakującej systemy bankowości internetowej.

Trend Micro, firma zajmująca się internetowym bezpieczeństwem, która ten nowy sposób ataku wykryła, nazwała go Emmental. Nazwa nie jest przypadkowa. Zdaniem jej specjalistów stosowane w Europie i Azji systemy zabezpieczeń bankowości on-line są – jak słynny szwajcarski ser ementaler – pełne dziur.

Emmental, którego twórcami są zapewne mieszkający w Rumunii Rosjanie, pozwala przełamać stosowane przez banki dwuskładnikowe zabezpieczenia służące do uwierzytelnienia (password plus przesyłane mailem lub SMS jednorazowe hasło). Przekonali się o tym klienci banków w Austrii, Japonii, Szwajcarii i Szwecji.

Atak zaczyna się od przypominającego ofertę któregoś ze znanych sprzedawców detalicznych (podobny adres) maila z załącznikiem. Wiadomość wygląda jak jedna z wielu, jakie co dnia dostajemy – czy tego chcemy, czy nie – od firm, którym (oficjalnie) udzieliliśmy zgody na otrzymywanie informacji marketingowych (w praktyce często weszły one w posiadanie naszego adresu mailowego nielegalnie, np. kupując wykradzioną bazę danych).

Otworzenie załącznika sprawia, że w komputerze instaluje się przygotowane przez hakerów oprogramowanie, które potem służy do uzyskania informacji niezbędnych do przejęcia kontroli nad bankowym kontem ofiary. W chwili rozpoczęcia logowania na stronę banku ofiara zostaje przekierowana na fałszywą stronę – do złudzenia przypominającą bankową.

W atakach wykorzystywane są też aplikacje na smartfony z systemem operacyjnym Android, które teoretycznie mają podnieść bezpieczeństwo korzystania z internetowej bankowości za pomocą urządzenia mobilnego, a w praktyce służą do przechwycenia informacji niezbędnych do przejęcia kontroli nad kontem.

W lipcu Europol poinformował o prowadzonej równocześnie w wielu krajach akcji przejmowania kontroli nad domenami i serwerami stanowiącymi rdzeń hakerskiej infrastruktury służącej cyberprzestępcom do zaawansowanych ataków na systemy bankowości internetowej na całym świecie za pomocą trojana o nazwie Shylock.

W Polsce na początku lipca głośno było o atakach na klientów bankowości elektronicznej PKO BP, od których cyberprzestępcy starali się wyłudzić dane niezbędne do zalogowania się do systemu bankowości on-line.

Także w lipcu CERT Polska, wyspecjalizowana w bezpieczeństwie sieciowym jednostka państwowego instytutu badawczego NASK, ostrzegała przed złośliwym programowaniem, które podmienia numer rachunku, na który użytkownik bankowości internetowej chce przelać pieniądze.

Atakowani są nie tylko klienci banków, ale także same banki. Najczęstszą formą jest DDoS, czyli zablokowanie działania stron banków poprzez generowanie niespotykanie dużej liczby odwiedzin. To może zdaniem specjalistów służyć do odwrócenia uwagi bankowych informatyków od właściwego ataku, którego celem mogą być bankowe systemy informatyczne i wrażliwe dane.

W ocenie Sally Scutt, wiceprezes British Banker Association, za częścią ataków na banki stoją obce rządy. Na konferencji pod koniec czerwca przyznała ona, że większość zrzeszonych z British Banker Association banków była obiektem ataków.

Jak pokazuje komunikat Europolu z 17 lipca o rozbiciu grupy przestępczej złożonej głównie z Rumunów, a działającej w wielu krajach Europy (m.in. w Austrii, Belgii, Niemczech, Norwegii i Wielkiej Brytanii), atakowane są też międzynarodowe systemy płatności elektronicznych. Europol nie ujawnił szczegółów. Poinformował jedynie, że rumuńscy cyberprzestępcy infekowali komputery wykorzystywane przez firmy oferujące usługi przesyłu pieniędzy. Według mediów gang skradł ponad 2 mln euro.

Atak na Nasdaq

Bezpiecznie nie są także wydające grube pieniądze na internetowe bezpieczeństwo instytucje finansowe. W lipcu Bloomberg opublikował rezultaty kilkumiesięcznego dziennikarskiego śledztwa dotyczącego wykrytego w październiku 2010 r. przez FBI udanego ataku na system komputerowy amerykańskiej giełdy Nasdaq. Na tym rynku notowane są m.in. akcje Apple, Cisco, Facebooka, Intela czy Microsoftu, a dzienne obroty z nawiązką przekraczają 50 mld dol.

Według informacji zebranych przez dziennikarzy atak przeprowadziło któreś z państw (w praktyce w grę wchodzą Rosja i Chiny), a jego skutki nie są do dziś znane. Jedna z najbardziej prawdopodobnych hipotez mówi, że mogły zostać skradzione wykorzystywane przez giełdę technologie. Przy okazji wieloletniego śledztwa prowadzonego przez służby specjalne USA ujawniono, że już wcześniej system informatyczny Nasdaq był penetrowany przez hakerów – cyberprzestępców działających na własne konto lub na zlecenie obcych rządów – którzy zainstalowali w nim szkodliwe oprogramowanie, oraz że system jest podatny na ataki. Co ważne, nie wszystkie czołowe amerykańskie banki zdecydowały się na współpracę ze śledczymi z rządowych agencji USA, w tym na zbadanie, czy ich systemy informatyczne nie zostały zainfekowane w wyniku wymiany danych z giełdowymi komputerami.

W czasie śledztwa, o wynikach którego informowano Biały Dom, szukano odpowiedzi m.in. na pytania, czy hakerzy mogli uzyskać dostęp do platformy handlowej i manipulować notowaniami i czy była to część szerszego ataku na infrastrukturę finansową USA. Sprawdzano również wątki związane z wcześniejszymi udanymi atakami na Nasdaq, w tym prowadzonymi przez rosyjskich hakerów. Nie wykluczano, że włamywacze zainstalowali w systemie informatycznym giełdy oprogramowanie, które zadziała jak bomba z opóźnionym zapłonem i może kompletnie zdestabilizować notowania, a być może system finansowy USA.

Firmy bezbronne i… bezczynne

Z zakrojonych na szeroką skalę międzynarodowych badań ankietowych prowadzonych przez Ponemon Institute (wysłano 160,5 tys. ankiet; pełnych odpowiedzi udzieliło 4881 firm) wynika, że w ostatnich 12 miesiącach aż 54 proc. firm przynajmniej raz padło ofiarą poważnego (czyli takiego, w wyniku którego doszło do penetracji sieci lub systemu informatycznego przedsiębiorstwa) ataku. 35 proc. ofiar nie wie, jakie dane zostały wykradzione. 80 proc. badanych – menedżerowie odpowiedzialni za bezpieczeństwo IT – jest zdania, że zarządy ich firm nie widzą związku między wyciekiem danych w wyniku włamania a utratą przychodów. Aż 57 proc. respondentów oceniło, że ich firmy nie są przygotowane na zaawansowane cyberataki, a 63 proc. przyznało, że ma wątpliwości, czy byliby w stanie powstrzymać infiltrację systemów informatycznych i wyciek danych.

29 proc. respondentów zadeklarowało, że gdyby mieli możliwości i pieniądze, to dokonaliby kompletnej przebudowy systemu bezpieczeństwa firmy, a kolejne 56 proc. zadeklarowało, że gdyby doszło do włamania, w wyniku którego wykradziono by informacje, to rozważyliby wymianę dostawców zabezpieczeń. Niemal połowa ankietowanych (49 proc.) zadeklarowała, że w najbliższych 12 miesiącach planuje znaczące inwestycje w cyberbezpieczeństwo.

Trudno więc o optymizm. Nie napawają nim również informacje, że aż 31 proc. respondentów nie ma możliwości bezpośredniego kontaktu z szefami firmy, a kolejne 53 proc. rozmawia z nimi raz na 3–12 miesięcy. Tylko 1 proc. ma taką szansę co tydzień, a pozostali wtedy, gdy zostaną wezwani przez zarząd.

Z raportu wynika, że w firmach brakuje wiedzy o cyberzagrożeniach. Tylko 31 proc. respondentów jest zdania, że ich firma inwestuje wystarczająco dużo w szkolenia personelu związane z tego typu zagrożeniami, a aż 48 proc. firm w ogóle nie edukuje pracowników w sprawie cyberbezpieczeństwa.

(CC By NC Richard Binhammer)

Otwarta licencja


Tagi


Artykuły powiązane

Cyfryzacja zwiększa skalę oszustw na rynku finansowym

Kategoria: Analizy
Pandemia przyśpieszyła digitalizację płatności, w których główną rolę odgrywają urządzenia mobilne. Na ich wykorzystaniu skupiają się także sprawcy wyłudzeń i oszustw na rynku finansowym.
Cyfryzacja zwiększa skalę oszustw na rynku finansowym