"Atak, który obecnie obserwujemy w Polsce z wykorzystaniem malware o nazwie GozNym, jest pod pewnymi względami szczególny i oznacza, że Polska dołączyła do niespecjalnie elitarnego klubu krajów, które będą najczęściej atakowane przez cyberprzestępców" - mówi w rozmowie z PAP Marcin Spychała z IBM X-force.
Ekspert wyjaśnia, że GozNym posiada schematy ataku na 17 banków komercyjnych i ponad 200 banków spółdzielczych.
Malware zainstalowany na komputerze ofiary nie dopuszcza w ogóle klienta do połączenia się ze stroną bankowości elektronicznej. W zamian przekierowuje ofiarę na fałszywą, ale wyglądającą identycznie jak prawdziwa stronę banku, gdzie ofiara wpisuje swoje dane logowania i zdradza je tym samym przestępcom.
"W tym przypadku klientów nie chroni nawet zweryfikowanie poprawności certyfikatu bezpieczeństwa SSL. GozNym przekieruje bowiem połączenia na fałszywą stronę dopiero po zweryfikowaniu certyfikatu przez oficjalną witrynę banku, a komunikacja konstytuowana jest już wyłącznie na linii urządzenie klienta - podstawiona witryna - wyjaśnia PAP Technologie Spychała.
Ekspert tłumaczy, że przed kradzieżą pieniędzy może uchronić użytkowników świadome korzystanie z metod podwójnej autoryzacji transakcji - wiadomości SMS wysyłanych przez bank, tokenów, kodów jednorazowych.
Spychała ostrzega przed kolejnymi tego typu atakami w przyszłości. "Oczekujmy kolejnych fal ataku, bowiem grupa może wynająć istniejącą już infrastrukturę innym cyberprzestępcom. Każdy nastolatek będzie mógł przy pomocy waluty bitcoin wynająć infrastrukturę do ataku na polskie banki" - ostrzega ekspert IBM.
>>> Czytaj też: Zaskakujące stanowisko UOKiK. Urząd antymonopolowy broni Ubera
KNF: informacje nadzorcze Komisji nie potwierdzają wyjątkowości obecnej sytuacji
Po poniedziałkowych doniesieniach IBM o ataku na polskie systemy dostępu do bankowości elektronicznej, rzecznik Komisję Nadzoru Finansowego Łukasz Dajnowicz podkreślił, że informacje nadzorcze posiadane przez KNF nie potwierdzają wyjątkowości obecnej sytuacji.
Jak zauważył Dajnowicz w przesłanym PAP Technologie we wtorek komentarzu, w przypadku jakichkolwiek akcji cyberprzestępców wymierzonych w klientów banków przydatne są standardowe zasady bezpieczeństwa. "Przed potwierdzeniem transakcji kluczowe jest zweryfikowanie zgodności numeru konta, na które chce się przeleć środki z numerem, który jest w kodzie autoryzacyjnym przekazanym SMS-em. Tak jak zawsze, nie należy otwierać podejrzanych linków lub plików w otrzymanych wiadomościach e-mail i SMS. Nie powinno się korzystać z bankowości elektronicznej za pośrednictwem niesprawdzonych urządzeń lub połączeń (np. publicznej WiFi)" - radzi KNF.
Rzecznik Komisji podkreśla też, że warto cyklicznie zmieniać hasło do logowania w systemie bankowości elektronicznej, a jeżeli zaobserwuje się nietypowe lub podejrzane działania, trzeba niezwłocznie zgłoś ten fakt do swojego banku.
"Zdrowy rozsądek powinien towarzyszyć na co dzień nie tylko klientom bankowości elektronicznej, ale także osobom odpowiedzialnym za przekaz marketingowy dostawców oprogramowania antywirusowego" - wskazuje KNF.
Według serwisu Niebezpiecznik.pl ofiarami złośliwego oprogramowania padają nie tyle banki, co zainfekowane wcześniej komputery klientów. "Nie wiemy, ile faktycznie ofiar mamy w Polsce (i czy w ogóle) oraz czy są już jakieś straty finansowe przypisywane temu zagrożeniu. IBM donosi bowiem póki co jedynie o wykryciu zmian configu złośliwego oprogramowania, czyli zaobserwowaniu dodania do +podmienianych+ adresów 17 adresów polskich banków komercyjnych oraz łącznie 230 banków spółdzielczych i serwisów pocztowych (nie wiemy jak je +zliczono+ — liczby są rzeczywiście wielkie)" - czytamy w komunikacie redakcji.
“GozNym” wcale nie jest taki innowacyjny. Do ataku wykorzystuje techniki znane (i obserwowane) już w innych atakach. Ofiara widzi poprawny adres i “zieloną kłódkę”, ale kontrolowana przez GozNyma przeglądarka ofiary podstawia jej fałszywą stronę. Fałszywka wykrada dane do logowania do bankowości, z których przestępcy mogą skorzystać na prawdziwej stronie banku, udając klienta" - przekonuje Niebezpiecznik.pl
"IBM jednak — i to jest najważniejszy brak — w ogóle nie informuje o skali problemu, tj. liczbie faktycznych ofiar. Takie podejście może równie dobrze oznaczać, że kampania na Polskę jeszcze na dobre się nie rozpoczęła, lub, że GozNym jest tak kiepsko przygotowany, że wykrywa go każdy antywirus. To powiedziawszy w kontekście Polski, podkreślmy, że tydzień wcześniej GozNym z sukcesem atakował 25 amerykańskich banków" - dodają redaktorzy.
Niebezpiecznik.pl podkreśla, że najlepszą formą ochrony przed tego typu zagrożeniami jest poprawne korzystanie z zabezpieczeń, które zapewnia swoim klientom bank - zwłaszcza dwuskładnikowego uwierzytelniania transakcji.
"Czytajcie treść bankowych SMS-ów z kodami - zawierają one kwotę, ale przede wszystkim fragment numeru rachunku docelowego. Upewnijcie się, że jest on poprawny. To jedyna możliwość wykrycia oszustwa, jeśli wasz komputer jest zainfekowany" - wyjaśniają redaktorzy portalu.
Eksperci przypominają także, by w miarę możliwości wyznaczyć do przeprowadzania operacji bankowych dedykowane urządzenie, które będzie wykorzystywane tylko w tym celu. Jako przykład podają starsze modele iPada, którego system operacyjny uniemożliwia instalację jakichkolwiek programów i wtyczek bez wiedzy użytkownika.
