„Uwaga – zagrożenie. Wiadomości phishingowe! Przestępcy wysyłają na skrzynki klientów fałszywe e-maile podszywając się pod bank. Wiadomości te zawierają złośliwe oprogramowanie w postaci zaszyfrowanego załącznika. Bank nie jest ich nadawcą” – takie informacje ostatnio otrzymali klienci Alior Banku.

Cel: system lub klient

Jak potwierdzają eksperci od cyberbezpieczeństwa większość zagrożeń wiąże się z próbami podszywania pod klientów, ewentualnie modyfikacji składanych przez nich zleceń. Atakowane są zarówno systemy transakcyjne banków, jak i użytkownicy e-bankowości. Nie ma przy tym szczególnej różnicy pomiędzy poszczególnymi obszarami geograficznymi. Polscy klienci są równie częstym celem, co obywatele USA czy Rosji. Różnice mogą polegać na aktywności grup przestępczych działających z pobudek finansowych lub też inspirowanych przez rządy obcych państw.

– Gdy atakowane są systemy bankowe, wspólnym mianownikiem jest błąd osób, które je nadzorują. Błąd polegający na niedopatrzeniu poprawności konfiguracji, jej zgodności z najlepszymi praktykami czy też niezauważenie modyfikacji serwisów internetowych, jak to miało miejsce w Komisji Nadzoru Finansowego czy wcześnie w Plus Banku – twierdzi Michał Jarski, dyrektor zarządzający w Wheel Systems, firmie zajmującej się bezpieczeństwem IT.

– Inne przypadki wycieków danych czy też kradzieży znacznych środków związane były z tzw. użytkownikami uprzywilejowanymi, odpowiedzialnymi za krytyczne systemy bankowe. Dochodzi tu najczęściej albo do zaniedbań wynikających z niewiedzy lub pracy w stresie, albo do umyślnego działania przeciwko pracodawcy – dodaje.

Drugim punktem atakowanym przez przestępców są klienci i urządzenia, z których korzystają. Napastnicy uciekają się do wymyślnych technik manipulacji. Według statystyk polskiego CERT dominującym typem ataków są kampanie phishingowe, czyli takie, których celem jest zdobycie danych.

Pojawiają się próby namówienia odbiorców odpowiednio spreparowanych e-maili do kliknięcia w link czy otworzenia załącznika. E-maile te przypominają korespondencję z banku i wzywają do działania, np. dlatego, że „karta została zablokowana” lub „wykryto anomalie na koncie”. Wystarczy nieopatrzny ruch i komputer zostaje zainfekowany. Przypadki te najczęściej powodują, że w trakcie późniejszych sesji pieniądze przesyłane są na podstawione przez wirusy konta należące do włamywaczy.

Niezbędna edukacja

Banki coraz lepiej rozumieją to zagrożenie i ostrzegają przed sfałszowaną korespondencją. Zmieniany jest sposób komunikacji z klientami. Odchodzi się od e-maili na rzecz korespondencji wewnątrz systemu transakcyjnego lub w aplikacji.

– Każdy użytkownik bankowości internetowej musi mieć świadomość niebezpieczeństwa. To nie są sprawy odległe i abstrakcyjne. One bezpośrednio dotyczą każdego z nas. To człowiek jest najsłabszym ogniwem każdego systemu, a socjotechnika stanowi jedną z najskuteczniejszych broni, jaką dysponują cyberprzestępcy. Dlatego tak ważne jest uświadamianie klientów – zauważa Sebastian Krystyniecki, ekspert w firmie Fortinet. – Podstawową sprawą przy korzystaniu z bankowości online powinno być dwuetapowe uwierzytelnienie dostępu do konta. Do zalogowania się potrzebne jest wówczas nie tylko hasło (odpowiednio długie i skomplikowane), ale również jednorazowy kod. Może on być przysyłany SMS-em lub generowany przez specjalną aplikację – dodaje ekspert.

>>> Czytaj też: Emerytalny zakład Pascala. Skoro dostanę mało albo ZUS zbankrutuje, to lepiej płacić jak najmniej

Ważna higiena

Najważniejszym narzędziem e-bankowości stają się urządzenia mobilne. Banki prześcigają się w tworzeniu aplikacji coraz łatwiejszych w użytkowaniu, które mogą być jednym z najbezpieczniejszych sposobów korzystania z usług finansowych. Pod pewnymi warunkami.

Przede wszystkim bardzo wysoka musi być – jak określają specjaliści – jakość kodu. Nie powinno być mowy o zlecaniu napisania aplikacji kilku uzdolnionym ludziom bez weryfikacji jakości oprogramowania. A to się zdarza. Aplikacja powinna wykonywać wiele tzw. sprawdzeń w imieniu użytkownika, wspomagając jego czujność. Mowa tu np. o weryfikacji certyfikatu prezentowanego przez serwis transakcyjny przy nawiązywaniu połączenia. Innym zabezpieczeniem powinno być sprawdzanie, czy nie doszło do nieautoryzowanej modyfikacji kodu.

Jeśli zwykłe e-maile lub SMS-y są zastąpione przez komunikację poprzez aplikację, powinno to zminimalizować szanse na udany phishing. Dobrze widziane przez ekspertów jest uwierzytelnianie użytkownika i autoryzacja transakcji np. przez czytnik linii papilarnych. To zmniejsza ryzyko podszycia się przestępców pod klienta. Nie powinna to jednak być jedna metoda, bo i linie papilarne można skopiować. Sporą rolę do odegrania ma infrastruktura bankowa. Powinna ona np. wykrywać połączenia z nowego urządzenia. Tak samo próby dokonywania transakcji z innego niż dotąd miejsca na świecie lub inne podejrzane zachowania użytkownika (korzystanie z innych niż dotąd funkcji lub wyższe niż zwykle kwoty transakcji) powinny podnosić alarm, a przynajmniej wyzwalać konieczność dodatkowego ich potwierdzania.

– Przy spełnieniu tych warunków użytkownikowi pozostaje zadbanie o swój smartfon. Odradzam świadome dokonywanie tak zwanego rootowania, czyli łamania zabezpieczeń platformy w celu instalowania oprogramowania spoza oficjalnych sklepów. Powoduje to zdjęcie większości zabezpieczeń z telefonu. Staje się on łatwym łupem dla przestępców, którzy mogą zaszczepiać na nim swoje dowolne narzędzia – keyloggery (zapisujące działania użytkownika), aplikacje szpiegujące (korzystające z wbudowanej kamery i mikrofonu) czy też klonujące karty zapisane w podsystemie HCE. Jeśli jednak zachowamy czujność i elementarną higienę pracy, bankowość elektroniczna będzie dla nas nie tylko przyjazna, ale także bezpieczna – podsumowuje Michał Jarski z Wheel Systems.

Awizo i faktura: metody infekcji złośliwym oprogramowaniem

Opinia Piotra Koniecznego, szefa zespołu bezpieczeństwa serwisu niebezpiecznik.pl

Głównym powodem włamań na konta Polaków w bankach internetowych jest infekcja komputera złośliwym oprogramowaniem. Będąc na komputerze ofiary, można bardzo łatwo przechwycić login i hasło do bankowości, a w odpowiednim momencie wykonywania transakcji podmienić numer rachunku docelowego (np. na etapie wklejania go w formularz zlecenia przelewu) lub typ wykonywanej operacji (zamiast transakcji przelewu nieuważna ofiara kodem z SMS-a potwierdza dodanie odbiorcy zaufanego, czyli takiego, na rachunek którego kolejne przelewy nie wymagają już uwierzytelnienia kodem SMS). Jeśli więc damy się zainfekować (i nieuważnie czytamy opis SMS-a z kodem od banku lub nasz bank nie zawiera w takich SMS-ach informacji typu numer rachunku, kwota, typ operacji), to przegraliśmy. Dlatego tak ważne jest, aby nie klikać w każde awizo, potwierdzenie zakupu czy fakturę od operatora GSM. Bo to najpopularniejsza obecnie metoda infekcji komputera złośliwym oprogramowaniem. Otwórz zaszyfrowany załącznik, aby zapoznać się z fakturą za prąd. A to nie faktura, a złośliwe oprogramowanie. Co ciekawe, ze względu na wciąż wdrażane zabezpieczenia w sektorze bankowości, a tym samym podnoszenie atakującym kosztu wykonania ataku, obecnie większym zagrożeniem dla Polaków jest nie kradzież środków z ich internetowych kont bankowych, a zaszyfrowanie im plików na dysku. Często dane są tak cenne, że w tego typu sytuacjach sami się okradamy, wysyłając samodzielnie przestępcom nasze pieniądze, byle tylko odszyfrowali nam nasze dane.