Cyberprzestępcy wprowadzili w minionym roku kilka nowości. Ataki Man-in-the-Middle, szekspirowski Shylock, trojany VBKlip czy Banatrix to niektóre innowacyjne metody kradzieży pieniędzy. Na dodatek nie atakują oni samych systemów banków, ale zagnieżdżają się w systemach operacyjnych komputerów domowych ofiar i powodują, że przelewają one pieniądze na konta hakerów. Bankowość mobilna, a zwłaszcza zainfekowane aplikacje na Androida to drugi obszar szczególnie niebezpieczny.

Według źródeł z kręgu analityków zajmujących się bezpieczeństwem informatycznym w bankach do ataków hakerskich doszło w minionym roku na rachunki klientów PKO, Pekao, BZ WBK i Millennium. Media wymieniały ponadto mBank, BNP Paribas i Idea Bank. Ataki spowodowały, że z rachunków znikały pieniądze. Banki płaczą, ale płacą. Ponoszą spore straty, ale milczą jak zaklęte. Informacja, że hakerzy przeprowadzili udane wyłudzenie to ostatnia, do jakiej chciałyby się przyznać. Podobnie jak dane o spowodowanych stratach.

– To jedna z najsilniej strzeżonych informacji. Warta bardzo duże pieniądze – powiedział Obserwatorowi Finansowemu ekspert od bezpieczeństwa systemów bankowych.

Banki milczą, bo boją się utraty reputacji, wizerunku, a przede wszystkim zaufania klientów. Zgodnie z prawem zobowiązane są gwarantować, że pieniądze klientów są bezpieczne. Gdyby przyznały, że ataki odnoszą skutek, podważyłoby to zaufanie i obrazowało skalę zagrożeń. Doradcy bankowi dzwonią do klientów i pytają zaniepokojeni: – Czy na pana/pani rachunku wszystko w porządku? W porządku. A więc bank pokrył straty i zatarł ślady po fraudzie. A skala strat wciąż rośnie.

– Banki zaczynają już tworzyć rezerwy na ukradzione pieniądze – mówi Obserwatorowi Finansowemu pragnący zachować anonimowość analityk zajmujący się bezpieczeństwem informatycznym w bankach.

Po co bankom cyberpolicja?

W sierpniu hakerzy o nieznanej jeszcze proweniencji (podejrzewa się Rosjan) dokonali ataku na największą amerykańską instytucję kredytową JP Morgan. Bank podsumował, że naruszone zostały dane 76 milionów osób oraz i 7 milionów małych przedsiębiorstw, co było jednym z największych przypadków kradzieży danych w historii. Chodzi o nazwiska, adresy, numery telefonów i adresy e-mail. Część były to już dane archiwalne.

Choć bank podał, że nie ma dowodów na to, żeby hakerzy uzyskali szczegółowe informacje o numerach kont, hasłach, numerach identyfikacyjnych (tamtejszych odpowiednikach PESEL) czy identyfikatorach ubezpieczenia społecznego, eksperci uważają, że klienci, których dane ukradziono, są w najwyższym stopniu narażeni na fraud.

– Wszystkie te dane są użyteczne dla hakerów i złodziei tożsamości. Skradzione informacje nie są wrażliwe same w sobie, ale mogą być używane do podszywania się pod tożsamość tych osób – powiedział były prokurator federalny USA ds. cyberprzesępczości Mark Rasch, cytowany przez agencję Reuters.

Bank przez pewien czas bagatelizował to zdarzenie. Gdy informacja o nim przedostała się do opinii publicznej, rzecznik banku Trish Wexler mówił, że firma tej wielkości doświadcza cyberataków niemal każdego dnia, a w tym akurat nie było niczego szczególnego. Mylił się. Choć sposób, w jaki dokonano ataku, nie jest jeszcze znany opinii publicznej i zapewne nie został jeszcze do końca przeanalizowany przez specjalistów, wiadomo już, że cyberprzestępcy bardzo udoskonalili narzędzia.

Nowe, znacznie bardziej przemyślne metody wraz z nasileniem skali ataków powodują, że także w Polsce sytuacja dojrzała do tego, by banki zaczęły myśleć o wspólnym przedsięwzięciu poprawiającym bezpieczeństwo systemów informatycznych. Jest co najmniej kilka powodów, żeby taka międzybankowa „grupa operacyjna” stworzyła dla sektora wartość dodaną. Jaką?

– Ochrona 24/7 to obszar, który wymaga rozwoju, podobnie jak współpraca z usługodawcami. Mogłoby to zdecydowanie podnieść bezpieczeństwo banków – mówił wiceprzewodniczący Forum Technologii Bankowych IBM Grzegorz Kuliszewski na konferencji IT@Bank zorganizowanej przez Związek Banków Polskich.

– Nad wypracowaniem wspólnego przedsięwzięcia, rodzajem „ekranu bezpieczeństwa”, pracuje Rada Bankowości Elektronicznej przy Związku Banków Polskich – powiedział Obserwatorowi Finansowemu prezes ZBP Krzysztof Pietraszkiewicz.

>>> Czytaj dalszą część tekstu w serwisie "Obserwator Finansowy"