Raport specjalny. Bezpieczeństwo banków: Jak chronić klienta?

BANK 2018/04

Z bezpośrednimi atakami na systemy informatyczne instytucje finansowe dają sobie radę dość dobrze, choć dziś nikt nie może czuć się w pełni bezpiecznym. Coraz większym problemem staje się zabezpieczenie sprzętu, z którego korzystają klienci. Czy można zrobić to zdalnie?

Maciej Kowal

Bezpośrednie ataki skierowane na klientów banków są coraz lepiej przygotowane. Atakujący dostosowują czas uderzenia do prowadzonych przez banki akcji edukacyjnych związanych z bezpieczeństwem. Klienci coraz częściej sprawdzają, czy strona banku, na której się logują, jest zabezpieczona tzw. zieloną kłódką, co oznacza, że połączenie jest szyfrowane i bezpieczne. Dlatego takie oznaczenia mają już dziś również strony przygotowane przez grupy przestępcze, a jedyna widoczna różnica to np. niewielka zmiana w nazwie domeny banku, najczęściej trudna do zauważenia przez klienta. Dlatego tak często ostrzega się przed korzystaniem z linków w wiadomościach przesyłanych pocztą elektroniczną, otwieraniem załączników do niej itp.

Niebezpieczne urządzenia mobilne

W opublikowanym w tym roku raporcie firmy Cisco „2018 Annual Cybersecurity Report”, poinformowano, że porównanie najczęściej wykorzystywanych złośliwych załączników w pierwszej i drugiej połowie 2017 r. pokazuje, że choć liczba niebezpiecznych plików programów pakietu Office spadła o 55%, to jednak z archiwami wzrosła o 415%, zaś w przypadku PDF o 255%.

Urządzenia mobilne coraz częściej zastępują komputery osobiste w naszych domach. Ocenia się, że w 2020 r. domownicy korzystać będą głównie ze smartfonów i tabletów. Dlatego ich zabezpieczenie powinno być najwyższym priorytetem zarówno w przypadku zastosowań biznesowych, jak i osobistych. Problemem, który narasta, jest złośliwe oprogramowanie pojawiające się w sklepach Google Play i App Store (choć Apple zazwyczaj nie ogłasza takich informacji). Jednak system iOS też nie jest w 100% niewrażliwy, co pokazał XcodeGhost.

Specjaliści od bezpieczeństwa z Cisco uważają, że zabezpieczyć się można tylko proceduralnie, bo z punktu widzenia systemu front end banku nie można ocenić, czy jest to poprawna operacja wykonywana przez klienta, czy też nie. Bank może wykrywać fraudy – anomalie np. takie, że wydatki klienta z rachunku wynosiły zazwyczaj jakąś kwotę, a nagle wzrosły dwukrotnie, lub ktoś, kto nigdy nie miał debetu, nagle próbuje w niego wejść. Technologicznie, z punktu widzenia banku, transakcję wykonaną przez użytkownika i poprawnie autoryzowaną trzeba wykonać. Tymczasem podwójne uwierzytelnienia za pomocą wiadomości SMS i aplikacji jedynie ograniczają możliwości wystąpienia incydentu. Nie da się też rozpoznać, że daną czynność wykonuje automat, a nie człowiek, bo nie różni się to od skopiowania i wklejenia informacji. Co prawda pracuje się nad systemami, które rozpoznają charakterystyczne cechy sposobu korzystania z klawiatury, myszy czy też użytkowania smartfonu, ale takich operacji jest w banku w ciągu doby bardzo dużo. Na razie takie systemy nie są na tyle skuteczne, by efektywnie chroniąc, nie blokowały zbyt wielu prawidłowych operacji. Obecnie niektóre banki uniemożliwiają np. bezpośredniego wklejenia danych w poszczególne pola formularza z wykorzystaniem skrótów klawiatury. Trzeba to zrobić najpierw przez wybranie danego pola myszką i kliknąć w nie przed wprowadzeniem informacji. To pokazuje, że choć są pewne mechanizmy zabezpieczające, to ich działanie jest ograniczone. Nikt dziś nie może zaoferować pełnego zabezpieczenia.

Czy można zdalnie zabezpieczyć sprzęt klienta?

Tomasz Matuła, dyrektor Infrastruktury ICT i Cyberbezpieczeństwa w Orange Polska, podkreśla, że kluczowym elementem ochrony dla klientów firmy są działające wielopłaszczyznowo mechanizmy CyberTarczy. Przede wszystkim blokują one komunikację zainfekowanych komputerów w sieci Orange Polska z serwerami zarządzanymi przez cyberprzestępców. To ważne zwłaszcza w przypadku nowych zagrożeń, niewykrywanych jeszcze przez antywirusy. Dzięki analizom próbek złośliwego oprogramowania i komunikacji między jednostkami odpowiedzialnymi za bezpieczeństwo (CERT), firma może zablokować strony powiązane ze złośliwym oprogramowaniem, zanim wykradną dane klientów, lub – w przypadku popularnego oprogramowania ransomware – zanim prześlą klucze szyfrujące dane na dyskach ofiary.

Status bezpieczeństwa swojej domowej sieci można sprawdzić na dedykowanej stronie CyberTarczy. W przypadku infekcji wyjątkowo złośliwym oprogramowaniem CyberTarcza informuje użytkownika, prezentując ekran ostrzeżenia przy próbie wejścia na dowolną stronę internetową. – Istotną funkcją CyberTarczy z punktu widzenia użytkowników bankowości, jest też blokada stron phishingowych. Jeśli klient usług Orange nieopatrznie kliknie odnośnik do takiej witryny, otrzyma ostrzeżenie o phishingu z łączem do właściwej strony. To na pewno jedna z ciekawszych możliwości podnoszenia bezpieczeństwa klientów banków, ale nadal informacje i ostrzeżenia o zagrożeniach to podstawowy sposób podnoszenia bezpieczeństwa użytkowników internetu – dodaje Tomasz Matuła.

Dzięki analizom próbek złośliwego oprogramowania i komunikacji między jednostkami odpowiedzialnymi za bezpieczeństwo(CERT), firma może zablokować strony powiązane ze złośliwym oprogramowaniem, zanim wykradną dane klientów.

O czym informować?

Nadal stosunkowo proste zalecenia dotyczące bezpieczeństwa podnoszą jego poziom i chronią część klientów. To oczywiście stosowanie silniejszych haseł, sprawdzanie numerów kont w informacjach SMS, na które wychodzi przelew, nieotwieranie podejrzanych wiadomości poczty elektronicznej czy ostrożne korzystanie z otwartych sieci Wi-Fi. Trzeba przypominać o używaniu „silnych” identyfikatorów i haseł użytkowników zawierających kombinacje liter, cyfr i symboli oraz nieużywania przy tym daty urodzenia. Warto też zmieniać je regularnie i bezpiecznie przechowywać. Upewniać się, że wylogowaliśmy się z konta finansowego po zakończeniu transakcji. Można przy tym jedynie liczyć, że dzięki temu uda się ochronić nielicznych klientów. Jednak takie działania świadczą o wadze, jaką bank przykłada do ich bezpieczeństwa. Niestety ich skuteczność jest coraz niższa. Dobrym zabezpieczeniem przy korzystaniu z sieci Wi-Fi może być subskrybowanie usługi VPN (Virtual Private Network). Włączenie VPN w smartfonie lub tablecie podniesie bezpieczeństwo połączenia nawet przy korzystaniu z niezabezpieczonej sieci bezprzewodowej. Jednak w przypadku użytkowników indywidualnych wiąże się to z dodatkowymi opłatami. Na pewno warto pozostawać w stałym kontakcie z klientami i przypominać im o konieczności stałego dbania o bezpieczeństwo oraz informować o wszelkich zmianach wprowadzanych na portalach transakcyjnych.

Zmiana podejścia?

Czy przy obecnym poziomie technologii systemy antyfraudowe banków mogą zapewnić wystarczający poziom bezpieczeństwa? Jest to coraz trudniejsze i mniej skuteczne w konfrontacji z coraz bardziej złożonymi atakami. Pojawiają się pomysły, by zalecać zakupienie podstawowego komputera i używanie go tylko do bankowości online. Z wyłączeniem przeglądania na nim stron internetowych, wysyłania wiadomości e-mail, czy komunikacji w mediach społecznościowych. To szansa na ograniczenie możliwości zainfekowania urządzenia przez złośliwe oprogramowanie. Może to też być starszy komputer odpowiednio sprawdzony i przygotowany tylko do takiego celu.

Warto też rozważyć namawianie do częstszego sprawdzania swojego konta online i ułatwiać klientom śledzenie ich kont poprzez wiadomości wysyłane np. pocztą elektroniczną. Jak kłopotliwe obecnie dla użytkowników smartfonów i tabletów jest zabezpieczenie przed możliwymi zagrożeniami, pokazuje artykuł Dariena Grahama-Smitha opublikowany w „The Guardian”. Zaleca on podjęcie aż 12 kroków: instalowanie od razu aktualizacji, odradza przy tym używanie nieoficjalnych narzędzi do „rootowania” telefonu; zwracanie uwagi na to, co się instaluje (oraz jakie uprawnienia przyznaje się aplikacjom); sprawdzanie, czy kolejne aktualizacje programu nie wprowadziły w nim niebezpiecznych zmian; upewnianie się, że telefon jest zablokowany, gdy nie jest używany; zabezpieczanie się przed dostępem do zawartości telefonu w przypadku kradzieży oraz niepozostawianie otwartych usług online. Autor przypomina, że haker z innych źródeł może pozyskać informacje o naszej dacie urodzenia, mieście rodzinnym, nazwisku matki itp., ostrzega przed otwartymi sieciami Wi-Fi. Jego zdaniem warto zwrócić uwagę na to, co zawierają powiadomienia np. z gier (lub choćby Siri), które pojawiają się na ekranie blokady. Warto też blokować hasłami poszczególne aplikacje.

Darien Graham-Smith radzi zainwestować w smartwatch z aplikacją informującą o oddaleniu się od telefonu. W dwunastym punkcie autor sam jednak przyznaje, że i tak nie można całkowicie wyeliminować zagrożenia związanego z hakowaniem telefonu.