Bank i Klient: Bankowa CYBERTARCZA 2015

BANK 2015/05

IV Forum Bezpieczeństwa Banków, zorganizowane wspólnie przez "Miesięcznik Finansowy BANK" i Centrum Prawa Bankowego i Informacji pod egidą ZBP, poświęcone było Doktrynie Cyberbezpieczeństwa RP, efektom ćwiczeń Cyber-EXE Polska oraz unijnej dyrektywie NIS dotyczącej bezpieczeństwa informatycznego instytucji finansowych. Wśród gości dominowali bankowi eksperci od spraw IT, członkowie zarządów instytucji finansowych, przedstawiciele NBP, KNF, KG Policji, ABW i BBN.

IV Forum Bezpieczeństwa Banków, zorganizowane wspólnie przez "Miesięcznik Finansowy BANK" i Centrum Prawa Bankowego i Informacji pod egidą ZBP, poświęcone było Doktrynie Cyberbezpieczeństwa RP, efektom ćwiczeń Cyber-EXE Polska oraz unijnej dyrektywie NIS dotyczącej bezpieczeństwa informatycznego instytucji finansowych. Wśród gości dominowali bankowi eksperci od spraw IT, członkowie zarządów instytucji finansowych, przedstawiciele NBP, KNF, KG Policji, ABW i BBN.

Jerzy Trzaska

Na konferencji nie zabrakło zagranicznych gości. Jim Jaeger Chief z Cyber Services Strategist w General Dynamics Fidelis Cybersecurity Solutions, przedstawił zasady współpracy pomiędzy operatorami dużych sieci handlowych i bankomatów w USA a policją w dziedzinie wymiany informacji o przestępcach. W tym przypadku chodziło m.in. o automatyzację alertów o zagrożeniach oraz wykorzystanie kamer w ATM do wyłapywania kryminalistów. Kolejny gość, Roi Cohen Senior Malware Researcher CYBERTINEL, zaprezentował, jak przestępcy pozyskują informacje poufne o kliencie i całej instytucji przez wykorzystanie szpiegowskich mikrochipów oraz oprogramowania, którymi infekuje się typowe karty pamięci (microSD), nośniki typu pendrive i potem za pomocą portów USB w komputerach dociera się do chronionych informacji.

Beztroska klientów

Według Andrzeja Kroczka, inżyniera systemowego F5 Networks, największym problemem w przypadku ataku hakerów jest zachowanie klientów banków. Często ich zgoda na otwarcie e-mailowej korespondencji od nieznanego im nadawcy listu umożliwia plikowi typu malware podstawienie fałszywego linku do przelewów. Ze statystyki ataków wynika, że największe zagrożenie cyberprzestępczością dotyczy typowych form bankowości internetowej, ze stale rosnącym udziałem bankowości mobilnej. Najwięcej wirusów, bo aż 95 proc., projektowanych jest dziś dla systemu Android, ale zbyt pewnie nie powinni się czuć użytkownicy smartfonów z systemem iOS oraz Windows Phone.

Klienci banków nadmiernie ufają oprogramowaniu antywirusowemu, które wykrywa zaledwie 25 proc. cyberataków. Aż w 79 proc. przypadków o tym, że trojany zostały wykorzystane przez hakerów do przejmowania informacji o klientach, banki dowiadują się z wielomiesięcznym opóźnieniem. Bariery ochronne zgodne z unijnymi regulacjami, np. jednokrotne uwierzytelnienie konta, już dziś nie wystarczają. Dlatego powinny być stosowane dwa niezależne od siebie mechanizmy weryfikacji. Problemem jest posługiwanie się kartą płatniczą lub smartfonem w krajach, gdzie brakuje regulacji prawnych dotyczących reguł bezpieczeństwa. Wtedy najlepiej jest weryfikować przelew przez wysłane z Polski potwierdzenia via SMS-y lub tokeny. Najgorzej pod względem bezpieczeństwa jest z przeglądarkami klientów, choć do ataku na serwer banku bardzo trudno je wykorzystać z uwagi na firmowe f irewalle etc. Aby zaatakować dowolnego użytkownika, najlepiej jest zainfekować jego przeglądarkę i nieprzypadkowo to narzędzie jest używane w 90 proc. fałszywych przelewów. Wykorzystuje się do tego portale społecznościowe (przez podstawione fałszywe linki służące do wysyłania informacji o kliencie – hasła, loginy, dokumenty etc.). Robi się to za pomocą „ciasteczek” (cookies) lub przez ukryte ramki, technikę double click z klawiatury etc.

Jak z tym walczyć ? Wystarczy, aby przeglądarka klienta posiadała specjalny java script wykorzystywany tylko do komunikacji z bankiem (np. robienia przelewów, ale także do wysyłania monitów i informacji o ofertach). Aby wykryć malware, banki powinny stosować java scripts w formie niewidzialnej dla klienta w jego komunikacji z bankiem (tzw. zaciemnionej lub przezroczystej). Dane poddaje się potem analizie behawioralnej, dzięki czemu informacje z przeglądarki klienta trafiają do ekspertów od bezpieczeństwa. W ich zdobyciu bardzo pomaga stosowanie certyfikatu ISSL. Tego typu wymiana informacji – od przeglądarki klientado jego macierzystego banku – daje możliwość przeciwdziałania zagrożeniu, np. przez zdalne wyłącznie (shut down) zaatakowanego komputera, oczywiście tylko wtedy, gdy na to pozwalają wcześniej podpisane umowy z dostawcą internetu. Skuteczną metodą ochrony przed hakerami w komunikacji klienta z bankiem jest wykorzystywanie specjalnych ciasteczek, które szyfrują informacje o kliencie podczas komendy o dokonaniu przelewu z jego konta.

Podejrzanie duże pliki

Andrzej Miłosz z Asseco Business Solutions uważa, że przy ochronie tajemnic banków trzeba skoncentrować się na obronie miejsc, gdzie są one przechowywane. Należy stale monitorować serwery, gdzie są one gromadzone i starannie śledzić wszelkie przypadki odejścia od reguł bezpieczeństwa. Najwięcej strat przynosi bankom korespondencja e-mailowa z klientami lub wewnątrz firmy. Dość często ataki wykrywa się dopiero ...

Artykuł jest płatny. Aby uzyskać dostęp można:

  • zalogować się na swoje konto, jeśli wcześniej dokonano zakupu (w tym prenumeraty),
  • wykupić dostęp do pojedynczego artykułu: SMS, cena 5 zł netto (6,15 zł brutto) - kup artykuł
  • wykupić dostęp do całego wydania pisma, w którym jest ten artykuł: SMS, cena 19 zł netto (23,37 zł brutto) - kup całe wydanie,
  • zaprenumerować pismo, aby uzyskać dostęp do wydań bieżących i wszystkich archiwalnych: wejdź na aleBank.pl/sklep.

Uwaga:

  • zalogowanym użytkownikom, podczas wpisywania kodu, zakup zostanie przypisany i zapamiętany do wykorzystania w przyszłości,
  • wpisanie kodu bez zalogowania spowoduje przyznanie uprawnień dostępu do artykułu/wydania na 24 godziny (lub krócej w przypadku wyczyszczenia plików Cookies).

Komunikat dla uczestników Programu Wiedza online:

  • bezpłatny dostęp do artykułu wymaga zalogowania się na konto typu BANKOWIEC, STUDENT lub NAUCZYCIEL AKADEMICKI

Udostępnij artykuł: