Naga Markets



haker przed komputeremOd pewnego czasu obserwujemy wzmożoną liczbę komunikatów ostrzegających użytkowników i klientów przed różnego rodzaju zagrożeniami ukrytymi pod przykrywką usług świadczonych w Internecie. Nie ma tygodnia, aby w branżowych portalach o bezpieczeństwie nie pojawiły się kolejne informacje i artykuły o ataku cyberprzestępcach. Skala problemu z roku na rok tylko się nasila a liczby poszkodowanych rosną. Niestety próżno szukać precyzyjnych danych, a dostępne analizy w tym zakresie są tylko szacunkowe. Ma to oczywiście związek z rozwojem całego sektora e-commerce i usług świadczonych drogą elektroniczną. Skoro my, użytkownicy przenosimy się z naszą codzienną działalnością i życiem do Internetu, robią to również przestępcy.


Podszywanie się pod pośredników płatności

W maju pojawił się komunikat na stronach Związku Banków Polskich ostrzegający przed fałszywymi stronami udającymi pośredników szybkich płatności. Na opisywany atak narażeni są użytkownicy bankowości internetowej i mobilnej, robiący zakupy czy korzystający z innych różnych usług świadczonych w Internecie.

Trudno stwierdzić do jak szerokiego grona obywateli udało się dotrzeć z powyższym komunikatem, ale należy zwrócić uwagę na złożoność przedstawionego ataku. Sama jego forma jest bardzo wyrafinowana i świetnie przygotowana. Niczym nie przypomina starych akcji phishingowych (metod oszustwa, w której przestępca podszywa się pod inną osobę lub instytucję w celu wyłudzenia określonych informacji np. danych logowania, szczegółów karty kredytowej) sprzed lat, często zawierających błędy i dających się łatwo odróżnić od oryginalnych usługodawców.

Fałszywe smsy i maile

Nie będę w tym miejscu precyzyjnie opisywać samego modus operandi sprawców, ale na jedno należy zwrócić uwagę. Atak ten kładzie duży nacisk na uśpienie czujności potencjalnej ofiary. Jest przeważnie bardzo dobrze osadzony w kontekście działalności użytkownika, który faktycznie dał ogłoszenie w jednym z portali, chce kupić jakiś produkt czy przedłużyć jakąś usługę smsem. Zakładam, że większość z nas robiła zakupy w Internecie, wystawiła coś na aukcji czy zamawiała np. kuriera. Większość z tych usług bardzo często zawiera notyfikację opartą o sms czy wiadomość e-mail.

Skuteczność ataku często zwiększa fakt, iż potencjalna ofiara faktycznie posiada aktywną aukcję czy wyraża chęć zakupu towaru. W tym momencie przestępcy wykorzystują dobrze znane przez ścieżki postępowania. Większość z nas odpowie sobie na ewentualną wątpliwość prostym sformułowaniem: „Przecież zawsze otrzymuje takiego smsa”, „Przecież już tak kiedyś robiłem”, „Ta strona zawsze tak wyglądała”. Otrzymując podobną przestrzeń stajemy się bardziej podatni i mniej zwracamy uwagę na szczegóły. Badania pokazują, iż tylko niewielki procent użytkowników zwraca uwagę na konkretną treść smsa autoryzacyjnego przelew jaki przechodzi z Banku. Często odruchowo przepisujemy tylko sam kod, nie czytając szczegółów transakcji których dotyczy. Czy zwrócilibyśmy uwagę, gdyby w treści sms był podany inny rachunek docelowy? Na takie pytanie należy sobie odpowiedzieć.

Edukacja to za mało

Co zatem my jako sektor usług finansowych możemy zrobić? Pytanie wydaje się bardzo ważne, ale odpowiedź nie jest już tak oczywista. Samo budowanie świadomości u klientów, akcje uświadamiające czy kampanie informujące mogą wydawać się niewystarczające. Wynika to z faktu, iż sam mechanizm ataku udaje i angażuje kilka różnych podmiotów. Akcje mające oszukać klienta, udają cały łańcuch naszego postępowania, od otrzymania SMS/maila poprzez wejście na spreparowaną sfałszowaną stronę (która również może mieć zieloną kłódkę) na wejściu na stronę banku/płatności i dokonaniu transakcji kończąc.

Skuteczna walka z tego typu działalnością wymaga zaangażowania wielu branż. Od operatorów telefonii komórkowych, banków, pośredników płatności, kantorów internetowych czy portalach ogłoszeniowych.

Drugim ważnym czynnikiem jest współpraca powyższych w walce z tego typu działalnością jak i samym wykrywaniem i udaremnieniem akcji. Nie można całej odpowiedzialności przerzucić jedynie na uważność i świadomość użytkownika.

Należy zauważyć iż powyższy komunikat był wspólnie wypracowany przez Prokuraturę Krajową, Komendę Główną Policji, Urząd  Ochrony Konkurencji i Konsumentów, Europejskie Centrum Konsumenckie i FinCERT.pl – Bankowego Centrum Cyberbezpieczeństwa ZBP.

Problem nie dotyka już samego sektora bankowego. Co więcej, banki czy jakakolwiek inna instytucja działająca w pojedynkę nie jest w stanie skutecznie zaradzić problemowi.

Współpraca to podstawa

Dlatego tak bardzo ważnym aspektem powinna być współpraca pomiędzy wszystkimi podmiotami, pod które podszywają się przestępcy w ramach danego ataku.  Nie można mówić o efektywnej prewencji i odniesieniu sukcesu, działając tylko w pojedynkę.  Przestępcy mają pełną świadomość jak wygląda i działa obecny model transferów środków finansowych.  Wykorzystują brak możliwości współpracy tak, aby zamaskować swoje ślady i utrudnić potencjalne ściganie. Co więcej, mając wiedzę na temat modelu operacyjnego polskich organów ścigania, akcje planowane są w taki sposób, aby uniemożliwić ich przeciwdziałanie i wykrycie. To wszystko stanowi główną trudność w walce z tym procederem.

Największym wyzwaniem, poza oczywistą potrzebą współpracy pomiędzy instytucjami, jest formalna przestrzeń prawna. Należałoby przemyśleć ewentualne zmiany w prawie, w taki sposób, aby umożliwić wymianę informacji pomiędzy firmami z sektora finansowego (lub wspierającego np. firmy telekomunikacyjne) przy oczywistym zachowaniu prywatności i bezpieczeństwa danych klientów.

Przepisy muszą pomagać

W tym miejscu należy pamiętać o nowych regulacjach RODO które weszły w życie w  zeszłym roku. Same intencje rozporządzenia były oczywiście dobre, aczkolwiek ich implementacja oraz przekaz społeczny związany z jej wdrożeniem pozostawia wiele do życzenia. Warto by wykorzystać doświadczenie jakie twórcy Ustawy o ochronie danych osobowych zebrali podczas procesu legislacyjnego i samego wejścia ustawy w życie. Budując docelowe rozwiązania prawne, umożliwiające walkę z wyrafinowanymi i zaawansowanymi metodami przestępczymi, należałoby zwrócić szczególną uwagę na łatwość i elastyczność tworzonych przepisów. Bez globalnego i całościowego podejścia do tematu ciężko mówić o sukcesie i zminimalizowaniu liczby przestępstw, realizowanych drogą elektroniczną i w Internecie.

Tylko w oparciu o takie podstawy można dopiero mówić o możliwościach technologicznych umożliwiających walkę z cyberprzestępczością. Koncepcja centralnego systemu bezpieczeństwa internetu na chwilę obecną brzmi dość abstrakcyjnie, ale uważam, iż należałoby podnieść tego typu dyskusję w sektorach odpowiedzialnych za środki finansowe Polaków.

Edukacja dzieci i seniorów

Takie samo podejście powinno również cechować budowanie akcji uświadamiających i informujących klientów o zagrożeniach. Powinny mieć ona charakter wielowymiarowy i kompleksowy przy użyciu wszelkich możliwych kanałów dotarcia. Nie mówimy tylko o “banerach informacyjnych” w serwisach czy akcjach mailowych, ale również o wszelkich możliwych środkach społecznego przekazu. Bardzo ważnym elementem jest również wsparcie dla osób starszych i najmłodszych. Budowanie odpowiedniej świadomości już na etapie szkolnym powinno być obecnie absolutnym priorytetem. Lekcje informatyki w szkole poza standardowym programem nauki “narzędzi informatycznych” powinny kłaść większy nacisk na kwestie bezpieczeństwa jak i budowanie odpowiednich wzorców zachowań.

W tym miejscu należy pamiętać o wsparciu dla seniorów, którzy bardzo często stają się obiektem ataków cyberprzestępców tracąc oszczędności życia (i nie mówimy tutaj tylko o metodzie “na wnuczka”).

Odpowiedzialność zbiorowa

Najgorszym z możliwych scenariuszy byłaby sytuacja, w której cały sektor zostawiłby klienta i poszkodowanych samych sobie, rozmywając odpowiedzialność, budując przekaz w stylu “to poszkodowany jest sam sobie winien skoro nie przestrzegał odpowiednich standardów bezpieczeństwa”. Z doświadczenia jednak wiemy, że przy tak wyrafinowanych atakach, budowanych w oparciu o zaawansowane metody socjotechniczne, problem nie jest taki oczywisty. Wszystkie instytucje biorące udział w budowaniu przestrzeni elektronicznej, która służy do świadczenia usług finansowych czy powiązanych, powinny czuć się w odpowiedzialności budowania odpowiednich mechanizmów obronnych. Jest to swojego rodzaju odpowiedzialność społeczna, jak i etyczna za tworzone produkty i ich wzorce.

Należy pamiętać, iż wszelkie niedoskonałości czy luki w procesie będą skrzętnie wykorzystywane przez przestępców. Takie same negatywne konsekwencje będzie rodzić zwykła “obojętność” czy niedostrzeganie narastającej skali problemu przestępczości w sieci. Proste ostrzeżenia i mechanizmy w stylu “regularnie zmieniaj swoje hasło” czy “nie udostępnij go nikomu” mogą na przyszłość wdawać się niewystarczające. Nie oznacza oczywiście że mamy o tych regułach zapomnieć, ale na pewno trzeba je dużo bardziej rozbudować.

Narzędzia przestępców

Należy zauważyć, iż paradoksalnie przestępcy korzystają z takich samych narzędzi co wszystkie inne legalnie działające firmy (SMS, rachunek bankowy, przelew, transfery pieniężne, strona internetowa, domena WWW). Dodatkowo znaczna część tej infrastruktury jest zarządzana przez firmy i instytucje z sektora finansowego, a tylko brak odpowiednich informacji utrudnia, czy też uniemożliwia zablokowanie samej przestępczej działalności. Pozbawienie przestępców właśnie tej infrastruktury, umożliwiłoby jak najszybsze i jak najskuteczniejsze przeciwdziałanie atakom. Niestety przy obecnej skali oraz braku odpowiednich narzędzi to zagadnienie wydaje się bardzo skomplikowane. Warto oczywiście zwrócić uwagę, iż niektóre instytucje starają się postępować w tym modelu (chociażby Nask Cert Polska czy Bankowe Centrum Cyberbezpieczeństwa) aczkolwiek idea ta wymaga dalszego rozwoju.

Szybkość ma znaczenie

Niestety obecnie mechanizmy i narzędzia służące do transferowania pieniędzy dostępne w Internecie są tak szybkie, iż w momencie gdy dochodzi do przestępstwa, zablokowanie skradzionych środków jest już bardzo utrudnione. Pamiętać należy, iż skradzione środki często wysyłane są bezpośrednio za granicę czy wymieniane na kryptowaluty. Dlatego walka na wcześniejszym etapie jest aż tak ważna.

Oczywiście samo ściganie grup przestępczych, monitoring środków pochodzących z przestępstw oraz przeciwdziałanie leży również w kompetencjach odpowiednich organów ścigania, które również powinny mieć dostęp do szerokiej ilość informacji umożliwiających chorowanie wydarzeń pomiędzy instytucjami.

Łatwo zatem dojść do wniosku, iż obecnie największym wyzwaniem w walce z cyberprzestępczością, dla szeroko rozumianego sektora finansowego oraz powiązanego jest wypracowanie wspólnej strategii i współpraca. Najwyższy czas świadomie i odważnie stawić czoła wyzwaniu. Świadczyć to będzie prawdziwej dojrzałości i odpowiedzialności za tworzone narzędzia.

Robert Oppenheimer (jeden z członków projektu Manhattan) ponoć powiedział: “Optymiści sądzą, że to jest najlepszy ze wszystkich możliwych światów. Pesymiści obawiają się, że to może być prawda.” Zróbmy wszystko, aby optymizm przeważył w tym ważnym zagadnieniu.

Maciej Pawlak, Szef Działu Bezpieczeństwa Informacji Currency One SA., operatora serwisów Walutomat.pl i Internetowykantor.pl



tokeneo

Zostaw komentarz logując się za pomocą Facebook

To również Cię zainteresuje - Comparic24.tv

ZOSTAW ODPOWIEDŹ

Please enter your comment!
Please enter your name here