Raport Specjalny Bezpieczeństwo: Po owocach poznacie, że to atak

BANK 2016/04

W obiegowej opinii system informatyczny jest tak dobry, jak dobrymi specjalistami byli informatycy, którzy go stworzyli. W przypadku systemów bezpieczeństwa można stwierdzić, że są tak dobre, jak ludzie, którzy je obsługują.

W obiegowej opinii system informatyczny jest tak dobry, jak dobrymi specjalistami byli informatycy, którzy go stworzyli. W przypadku systemów bezpieczeństwa można stwierdzić, że są tak dobre, jak ludzie, którzy je obsługują.

Artur Król

O bezpieczeństwie mówi się i pisze bardzo dużo. Według najnowszego raportu Cisco - 2016 Annual Security Report, 45 proc. organizacji z całego świata darzy zaufaniem swoje obecne systemy zabezpieczeń. Mają przy tym świadomość, że współcześni cyberprzestępcy wykorzystują coraz bardziej skomplikowane i zaawansowane techniki ataków. Choć menedżerowie nie są całkowicie pewni, jak silny jest system bezpieczeństwa wykorzystywany w ich firmach, to 92 proc. z nich zgadza się z opinią, że zarówno organy odpowiedzialne za regulacje prawne, jak i inwestorzy będą wymagali efektywnego zarządzania ryzykiem związanym z cyberzagrożeniami. Dlatego też przewidują konieczność zwiększania inwestycji w rozwiązania zapewniające odpowiedni poziom bezpieczeństwa, zwłaszcza w obliczu rosnącej cyfryzacji biznesu.

Na pierwszej linii ognia

Nie da się ukryć, że cyberprzestępcy coraz częściej atakują banki i inne instytucje finansowe. Z jednej strony są to ataki mające na celu przejęcie środków finansowych, najczęściej skierowane na klientów tychże organizacji. Z drugiej zaś, sektor finansowy, ze względu na swoje strategiczne znaczenie dla gospodarki każdego państwa, stanowi bardzo wrażliwy instrument nacisku politycznego. Konflikty międzynarodowe, do jakich doszło w ostatnich latach, ujawniły to aż nadto dobitnie. Każdemu konfliktowi militarnemu towarzyszy wzmożona akcja w cyberprzestrzeni. Banki jako instrument przepływu środków finansowych będą zawsze jednymi z pierwszych na liście do ostrzału.

- Krajobraz zagrożeń dla sektora bankowego pozostaje w dużej mierze niezmienny od lat, zmienia się natomiast intensywność, skala oraz narzędzia stosowane do przeprowadzenia ataków - twierdzi Marcin Spychała, ekspert ds. bezpieczeństwa IT w IBM Polska. - Mamy również do czynienia z coraz większą liczbą ataków hybrydowych, które łączą w sobie kilka technik. Dla przykładu malware finansowy Dyre, który w 2015 r. był jednym z najczęściej wykorzystywanych na świecie do kradzieży pieniędzy z kont, był również dostępny w wariancie razem z mechanizmami ransomware oraz DDoS dla zatarcia śladów ataków. Dodatkowo pojawiły się, zgodnie zresztą z przewidywaniami, czysto mobilne exploit kity, dzięki którym w sposób wykładniczy zaczynają nam rosnąć statystyki ataków na urządzenia mobilne - nadal niezmiennie przoduje w tym zakresie platforma Android - dodaje.

Zaczyna się od mniejszych incydentów

Przy cyberatakach liczy się dobre rozpoznanie i stosowanie wielu połączonych metod, nazwijmy to "nacisku". Wyobraźmy sobie następującą sytuację - prezes firmy X zleca głównej księgowej realizację przelewu związanego z przejęciem firmy Y. Dodajmy, że firma X to duża korporacja, którą stać m.in. na przejęcia i akwizycje innych mniejszych firm. I nic by w tym nie było dziwnego, gdyby nie to, że to nie "prawdziwy" prezes zlecił przelew, a pieniądze trafiły na konto... no właśnie, nie wiadomo czyje. Cała procedura "przejęcia firmy" była od początku sfingowana. Fikcja? Niezupełnie, ponieważ incydent ten zdarzył się jak najbardziej realnie. Jak później wykazało śledztwo, przestępcy doskonale znali strukturę firmy, wiedzieli, kto za co w niej odpowiada. Jak zdobyli te informacje? Zastosowali dość wymyślny trick. Podłożyli podrasowane telefony - smartfony z najwyższej półki cenowej - kadrze zarządzającej firmy. Posiadały one specjalnie stworzony trojan, którego zadaniem było podsłuchiwanie rozmów, przeglądali też e- -maile wysyłane za ich pośrednictwem. Jednym słowem, wiedzieli sporo i znali nawyki oraz sposoby komunikowania się wewnątrz organizacji.

- Obecnie ataki są zawsze wielowymiarowe, ponieważ przestępcy często stosują techniki psychologiczne. Bardzo dużo czasu poświęcają na dokładne poznanie struktury firmy, pracowników i ich nawyków. A dotarcie do interesujących danych wcale nie jest takie trudne - podkreśla Michał Jarski, Regional Sales Director w Trend Micro. - Informacje o nas coraz częściej można pozyskać z internetu, szczególnie z portali społecznościowych, gdzie piszemy o naszych zainteresowaniach, znajomościach, nawykach itp. Generalnie rzecz ujmując, ze względu na swoją specyfikę atak jest sprawdzianem dla służb informatycznych, które powinny wykazać daleko idącą przezorność i nie bagatelizować żadnych sygnałów o tym, że dzieje się w firmie coś nienaturalnego. To jest właśnie jedna z głównych zasad przestrzegania bezpieczeństwa. Zawsze trzeba starać się wyłapywać i sprawdzać nawet najbardziej nieznaczące naszym zdaniem incydenty. Jeżeli pracownik, np. socjalny, przebywa w pomieszczeniu ponad zwykły przydzielony czas, powinno to być odnotowane oraz sprawdzone - zwracanie uwagi na szczegóły jest kluczem do zachowania bezpiecznego środowiska. Należy zdawać sobie sprawę z tego, że cyberprzestępcy bez ustanku sprawdzają wszelkie zabezpieczenia, szukając luk, które nie wzbudzą alarmu - dodaje.

Wielowymiarowość ataku to nie jedyna cecha, z jaką muszą się zmierzyć dzisiaj systemy bezpieczeństwa. To również przemyślane metody, a tych jest co najmniej kilka - od przestarzałych już nieco DDoS, po najnowsze typu ransomware, czy nadal najbardziej popularna forma, jaką jest phishing. A ten polega na tym, że po otwarciu załącznika na komputerze klienta instaluje oprogramowanie, które np. w momencie składania dyspozycji przelewu przekierowuje klienta banku na stronę podstawioną przez przestępców. Phishing staje się coraz bardziej wyrafinowany i jest już podstawową metodą ataku na klienta banku. Zdarza się także, że atak DDoS jest pozorowany, chodzi bowiem o odwrócenie uwagi od rzeczywistego celu, jakim jest wejście do systemu, a on ma tylko zmylić czujność służb informatycznych.

Najsłabsze ogniwo

Nadal to człowiek jest i będzie najsłabszym ogniwem w łańcuchu bezpieczeństwa. Choć jego rola w tym procesie maleje. Jeszcze rok temu uważano, że pracownicy firmy są dla niej potencjalnie największym niebezpieczeństwem.

Oceniano, że z powodu braku ich lojalności lub ich niefrasobliwości np. w mediach społecznościowych, firmy narażone są na utratę danych i inne szkody. Dzisiaj ten ciężar przenosi się na zorganizowane tzw. cybermafie i w nich upatruje się znacznie poważniejszego źródła kryzysu.

- Człowiek jest słabym punktem systemu bezpieczeństwa. Niestety coraz nowocześniejsze metody infekowania i atakowania użytkowników indywidualnych, a także firm, sprawiają, że znacznie trudniej jest zauważyć atak. Socjotechnika i phishing odgrywają ważną rolę. Z tego względu coraz częściej firmy stawiają nie tylko na twarde metody zabezpieczenia, np. lepszy sprzęt i wyszkolonych administratorów, ale także na szkolenie pracowników, którzy mogą spotkać się z cyberatakiem, a dzięki szkoleniu szybciej rozpoznają zagrożenie - mówi Maciej Ziarek, ekspert ds. bezpieczeństwa IT w Kaspersky Lab Polska.

Przestępcy stale poszukują miejsc, gdzie najłatwiej dokonać ataku. Podrabianie stron internetowych organizacji finansowych tak, aby klienta wprowadzić w błąd jest nadal najbardziej skuteczną z metod przejęcia pieniędzy. Są oni bowiem przeważnie słabo wyedukowani, nie stosują najprostszych metod zabezpieczenia się przed wszelkim malware i często nie instalują nawet darmowego oprogramowania antywirusowego. Wielu ekspertów podkreśla, że istnieje uzasadniona potrzeba systematycznej aktualizacji oprogramowania, w tym najnowszych wersji przeglądarek internetowych.

O tym, jak niska jest kultura bezpieczeństwa, i to nie tylko odbiorcy indywidualnego, ale i organizacji, świadczą ataki typu ransomware, polegające na zaszyfrowaniu dokumentów istotnych z punktu widzenia działalności firmy i żądania okupu za odszyfrowanie danych. Nie dość, że najczęściej poddane tego typu szantażowi ulegają (bo jak nie ma kopii zapasowych, to nie pozostaje nic innego) i płacą poważne kwoty za odzyskanie danych, to nie wyciągają z doświadczeń nauki na przyszłość. Przestępcy i w tym przypadku wykazują się dużą finezją, namawiając do szybkiego, bez chwili zastanowienia, otwierania podejrzanych wiadomości. Psychologia działania to ważny instrument grania na emocjach i realizacji celu. Zastanówmy się, kto w firmie oprze się pokusie i nie otworzy wiadomości np. z listą osób przeznaczonych do zwolnienia, która niby "przypadkiem" lub przez "pomyłkę" trafiała na naszą skrzynkę pocztową?

Kosztowne ułatwianie sobie życia

Dość znana jest również metoda podstawiania fałszywego konta do przelewu pieniędzy. Cyberprzestępcy wykorzystują tutaj metodę ułatwiania sobie życia przez klientów, którzy nie chcąc wpisywać numeru konta, przenoszą go na zasadzie kopiuj i wklej i w ten sposób środki trafiają nie na to konto, na które powinny. Trzeba jednak dodać, że los ten zgotowały swoim klientom same banki. Dlaczego? Otóż dzisiaj coraz bardziej liczy się czas realizacji zlecenia. Z tego względu banki same uproszczają procedurę i rzadko sprawdza się, czy odbiorca przelewu zgadza się z numerem podanego konta.

- Konsumenci dostępnych w cyfrowym świecie dóbr są zachwyceni modą na ułatwianie sobie życia i bezkompromisowo korzystają ze wszelkich udogodnień, takich jak przelewy między bankomatami, logowanie z wykorzystaniem mediów społecznościowych do innych serwisów itp. W ten sposób bezwiednie zostawiają swoje ślady w miejscach słabo strzeżonych, gdzie łatwo do nich dotrzeć i je przejąć - twierdzi Michał Jarski. - Mówimy tu o odwiecznym problemie: bezpieczeństwo kontra wygoda. Z definicji te dwa zagadnienia nie idą ze sobą w parze. Jeżeli bank decyduje się na dodatkową formę zabezpieczeń, warto wybrać rozwiązanie, które powstało od podstaw z myślą o bankach i ich klientach, dzięki czemu zmniejszenie komfortu klientów w wyniku dodatkowej ochrony jest minimalne - podpowiada Maciej Ziarek.

Niska kultura bezpieczeństwa klientów rodzi pokusę zastosowania rozwiązań, które w pewien sposób wymuszałyby na nich stosowanie dodatkowego zabezpieczenia. Czy jednak klienci zgodzą się na nie, a banki powinny pójść tą drogą? - Moim zdaniem nie tyle muszą (a jest to jak najbardziej możliwe i już stosowane), co zdecydowanie powinny - twierdzi Marcin Spychała, ekspert ds. bezpieczeństwa IT w IBM Polska. - Edukacja klientów jest konieczna, ale zawsze będzie ona ograniczona do generalnych zasad bezpiecznego korzystania z internetu. To w żaden sposób nie ochroni klientów banków przed atakami celowanymi, socjotechniką czy chociażby atakami typu Watering Hole czy Drive-by - żeby wspomnieć tylko o najpopularniejszych. Nikt nie kwestionuje potrzeby ochrony systemów bankowych przed atakami. Z tego samego powodu nie powinniśmy kwestionować potrzeby ochrony zdalnej końcówki tych systemów, jaką są urządzenia klientów. Problemy z implementacją tego typu rozwiązań wiążą się nie tyle z wątpliwościami technologicznymi, ile dotyczącymi odpowiedzialności prawnej i niewątpliwie zwiększonymi kosztami obsługi takich systemów. Sądzę, że będzie się to zmieniać wraz ze zmianą modelu bankowości w Polsce. Na całym świecie obserwuje się odejście od tradycyjnej bankowości uniwersalnej na rzecz usług finansowych technologicznie opartych na API, udostępnianych przez wyspecjalizowane podmioty (jak np. PayPal). W takim przypadku ochrona stacji końcowych będzie standardem i banki będą również bardziej chętnie akceptować tego typu odpowiedzialność - dodaje Spychała.

Metadane coraz bardziej pożądane Coraz większego znaczenie nabiera dziś kradzież danych. Także i w tym przypadku zmieniają się priorytety cybermafii. Kiedyś najważniejsze było przejmowanie danych kart kredytowych, obecnie jest ich tak dużo, że ich wartość dla samych grup jest bardzo niewielka. Ocenia się, że za rekord z imieniem i nazwiskiem, adresem i datą urodzenia, w 2015 r. płacono jedynie dolara.

- W dalszym ciągu najczęściej wykradane są wszelkiego rodzaju dane osobowe. Ale wynika to głównie ze skali ich wykorzystania - podkreśla Marcin Spychała. - Dane osobowe są gromadzone praktycznie przez każdą stronę WWW oraz większość serwisów w niej działających. Tym samym w skali całego świata są to dane najczęściej kradzione. Ale pojawił się ostatnio ciekawy trend, polegający na alternatywnym wykorzystaniu wykradzionych danych. Historycznie cyberprzestępcy dążyli albo do spowodowania szkód w infrastrukturze atakowanej firmy, albo do przeprowadzenia ataku z wykorzystaniem pozyskanych danych. Obecnie pojawił się również aspekt okupu za nieujawnianie wykradzionych danych (przypadki Sony czy Ashley Madison). Oczekuje się również, że pojawią się ataki mające na celu nie tyle wykradzenie lub zniszczenie danych, co ich skrytą modyfikację w celu sabotowania pracy firmy lub kraju w przyszłości - dodaje.

Istotne jest także to, że zmieniła się optyka postrzegania informacji i tego, co naprawdę jest cenne dla przestępców. To metadane. Dzisiaj nie jest ważne, że pan X czy pani Y są klientami danego banku, nawet nie jest istotne, gdzie mieszkają. Interesujące są informacje, jaki jest stan ich konta, na co wydają pieniądze, płacąc np. kartą kredytową. Zdobycie tych informacji służy do planowania ciężkich przestępstw typu porwania dla okupu, szantaż, wymuszenia, budowanie fałszywych tożsamości do wyłudzania np. kredytów bankowych i wielu innych. Dużo informacji o nas samych i o naszym trybie życia podajemy na profilach społecznościowych, przyjmujemy na swoje profile osoby, których nie znamy. Dążenie do szybkiej i łatwej komunikacji ułatwia wyciek informacji. Niestety, ulubione smartfony i coraz bardziej popularna usługa płatności zbliżeniowych to również pułapka i łatwa możliwość klonowania kart przez złodziei. Przyczynia się do tego instalowany w telefonach moduł NFC.

Co można więc zrobić, aby zaradzić złu? Edukacja jest bardzo ważnym czynnikiem wzrostu bezpieczeństwa klientów banku. Trzeba bezustannie ją prowadzić. - Niestety, akcje prowadzone przez banki w celach edukacyjnych nie do końca są zrozumiałe dla ich adresatów. Klienci reprezentują różny poziom kultury zachowania się w sieci - uważa Michał Jarski. - Zatem bardzo trudne jest wyedukowanie tysięcy klientów sektora bankowego o różnym poziomie wiedzy i doświadczeniu o sposobach działania przestępców - tym bardziej że oni bardzo dużo wiedzą o swoich ofiarach, ich nawykach, przyzwyczajeniach, ich słabych punktach etc. Zawsze są o krok do przodu przed ofiarami. Tę sytuację można porównać do wojny ślepego z widzącym, gdzie ślepymi są właśnie ofiary nieświadome niebezpieczeństw i nieprzewidujące, gdzie i kiedy może nastąpić atak. - Edukacja jest bardzo istotna. W przypadku pracowników dobrze jest zainwestować w szkolenia, które uświadamiają, jak wyglądają różnego rodzaju ataki - dodaje Maciej Ziarek. - W ten sposób zmniejszamy ryzyko, że dojdzie np. do otwarcia szkodliwego załącznika z e-maila. Jeżeli chodzi o klientów indywidualnych, to z pewnością pomocne są kampanie ostrzegające przed atakami, a także informowanie ich o nowej fali ataków phishingowych.

 

Udostępnij artykuł: