Temat numeru – Technologie mobilne: Na celowniku cyberprzestępców

BANK 2018/06

Tak jak społeczeństwa przystosowują się do zmian w sposobie korzystania z usług w świecie cyfrowym, komunikacji z innymi, regulowania płatności, korzystania z urządzeń mobilnych oraz globalizacji gospodarki, tak też zmieniają się sposoby działania przestępców. Szybki postęp technologiczny to niestety również nowe możliwości oszustw i wyłudzeń.

Tak jak społeczeństwa przystosowują się do zmian w sposobie korzystania z usług w świecie cyfrowym, komunikacji z innymi, regulowania płatności, korzystania z urządzeń mobilnych oraz globalizacji gospodarki, tak też zmieniają się sposoby działania przestępców. Szybki postęp technologiczny to niestety również nowe możliwości oszustw i wyłudzeń.

Jerzy Krokusiewicz

Od kilku lat obserwuje się postępujący proces profesjonalizacji grup przestępczych działających w cyberprzestrzeni. Organizacje przestępcze funkcjonują zgodnie z prawami rynku, upodobniając się do organizacji biznesowych. Szukają efektywnych sposobów maksymalizacji zysku i ograniczania niebezpieczeństw związanych z działaniem organów ochrony prawa. Budują struktury, w których jest miejsce dla resellerów i franczyzy, kupuje się narzędzia informatyczne, prowadzi szkolenia i outsoursuje część nielegalnych działań. Cyberprzestępczość to obecnie w skali świata ogromna machina „zatrudniająca” duże międzynarodowe zespoły specjalistów.

Zajmująca się bezpieczeństwem w sieci firma RSA w opracowaniu dotyczącym cyberprzestępczości w 2018 r. podaje, że utworzył się np. nowy nielegalny rynek sprzedaży danych pochodzących z kradzieży i ataków typu phishing, w trakcie których zdobywa się miliardy nazw użytkowników i ich haseł. Wykorzystując fakt, że wiele osób używa tej samej kombinacji nazwy użytkownika i hasła na wielu kontach, cyberprzestępcy zarabiają, sprzedając skradzione dane uwierzytelniające. Rozwija się nawet usługa ich testowania. Te, pochodzące z bardziej wiarygodnych źródeł, które można wykorzystać do hakowania portfeli z kryptowalutami lub związane z kartami kredytowymi osiągają dużo wyższe ceny.

Jak podaje RSA, sprawdzone dane uwierzytelniające w zależności od ich przydatności dla przestępców mogą osiągać ceny od 20 centów do nawet 15 dolarów. Zautomatyzowane narzędzia, takie jak Sentry MBA, umożliwiają cyberprzestępcom przeprowadzanie szybkich ataków na nazwy użytkownika i hasła. Narzędzia te są dostępne po niskich lub zerowych kosztach lub jako usługi w ramach oszustwa. Wskaźnik skuteczności przejęcia konta może osiągnąć nawet 5% i zapewnić cyberprzestępcom akceptowalną wydajność pozyskiwania ważnych aktualnych danych uwierzytelniających.

Dlaczego mobilne?

Specjaliści RSA twierdzą, że obecnie oszustwa z wykorzystaniem urządzeń mobilnych wyprzedzają już te internetowe. Jest to zmiana naturalna, ponieważ wiele banków i sprzedawców detalicznych rozszerza zakres usług oferowanych przez ich aplikacje mobilne. Według danych firmy, w ten sposób inicjowanych jest już ponad 60% oszustw. Dawniej wykorzystywano do tego zmodyfikowane mobilne przeglądarki internetowe. Dziś w 80% są to aplikacje mobilne. Gdy cyberprzestępca przejmie aplikację do bankowości mobilnej danej osoby, może przeprowadzać takie działania, jak zakładanie nowych odbiorców przelewów i inicjowanie transferów środków.

W Polsce, według raportu PRNews przygotowanego na podstawie danych z 14 banków uniwersalnych, liczba klientów bankowości mobilnej na koniec I kw. 2018 r. przekroczyła 9,3 mln osób. Mogą one w ten sposób wykonać większość podstawowych operacji. Przy czym ponad 2,5 mln osób korzysta obecnie wyłącznie z aplikacji mobilnej. W biuletynie firmy Kaspersky Lab, w prognozach dotyczących cyberzagrożeń dla sektora finansowego w 2018 r., zwrócono uwagę na szybki rozwój sektora w pełni cyfrowych banków integrujących się z fintechami, jak ma to np. miejsce w Brazylii i Meksyku. Ich cechą jest całkowite odejście od oddziałów i tradycyjnej obsługi klientów, zaś komunikacja pomiędzy bankiem i klientami odbywa się wyłącznie za pośrednictwem aplikacji mobilnej. Wydaje się, że trend ten będzie zmieniał sektor finansowy w skali globalnej, szczególnie na rynkach wschodzących.

Specjaliści zajmujący się bezpieczeństwem zwracają uwagę, że zapobieganie oszustwom wymaga dziś rozszerzenia działalności na środowiska mobilne i chmurę obliczeniową. Przy analizie zagrożeń trzeba wykorzystywać analizy behawioralne i integrować wiele funkcji.

Specjaliści z Kaspersky Lab są pewni, że cyberprzestępcy będą coraz częściej atakowali tego typu banki i ich klientów. I to na różne sposoby. Po pierwsze może zmniejszyć się liczba trojanów atakujących system operacyjny Windows, mających na celu kradzież pieniędzy z tradycyjnej bankowości internetowej, zwiększyć za to tych uderzających w technologie mobilne. Po drugie, rosnąca liczba cyfrowych instytucji finansowych to wzrost liczby użytkowników, często osób bez doświadczenia z bankowością mobilną, ale z aplikacjami bankowymi zainstalowanymi na urządzeniach mobilnych. To one będą głównym celem ataków złośliwego oprogramowania, takich jak Svpeng, a także programów zbudowanych na inżynierii społecznej. W tym drugim przypadku łatwiej jest np. przekonać niedoświadczonego klienta, żeby przelał pieniądze za pośrednictwem aplikacji mobilnej, niż by osobiście udał się do oddziału banku i wykonał transakcję.

Warto przypomnieć, że mobilny trojan Svpeng atakował w minionym roku również użytkowników w naszym kraju. Jego działanie polega m.in. na przechwytywaniu wprowadzanego tekstu, w tym danych uwierzytelniających transakcje bankowe. Wykorzystuje do tego usługi dostępności systemu Android. Wielu, jeśli nie większość użytkowników smartfonów, nie czyta informacji wyświetlanych przez system i nie zastanawia się, czy program, który uruchamiają, rzeczywiście do swojego działania potrzebuje zezwoleń i uprawnień, o które prosi. Trojan przeciwdziała również próbom odinstalowania. Jak się okazało, potrafi stać się domyślną aplikacją do obsługi wiadomości SMS, wysyłać je i otrzymywać oraz odczytywać kontakty, a aktualizowanie oprogramowania urządzenia nie zapewnia ochrony przed nim.

Winni nie tylko użytkownicy

Jak wynika z badań m.in. firmy Symantec, prawie 40% użytkowników uważa, że ma wystarczającą wiedzę o cyberbezpieczeństwie, a jedna trzecia jest przekonana o małym ryzyku ataku na własny komputer lub sprzęt mobilny. Co piąta osoba używa tego samego hasła lub PIN-u na wielu urządzeniach i do wielu celów w tym np. w serwisach społecznościowych. Ponad połowa współdzieli sprzęt elektroniczny i hasła z drugą osobą. Dlatego też hakerzy mogą pozyskiwać cenne dla nich informacje z wielu źródeł. Eksperci ostrzegają, że do działalności cyberprzestępczej coraz częściej będą wykorzystywane zaawansowane narzędzia z zakresu automatyzacji, sztucznej inteligencji i uczenia maszynowego. Ataków będzie znacznie więcej, przy czym będą one bardziej wyrafinowane.

Wzrost wydajności komputerów i urządzeń mobilnych spowodował, że pojawił się nowy trend instalowania na nich koparek kryptowalut bez wiedzy właściciela. Dla użytkownika objawia się to spowolnieniem pracy urządzenia i większym zużyciem energii. Dla programów antywirusowych wykrycie takiego działania jest problemem, bo aplikacja nie wykonuje w systemie operacyjnym żadnych niebezpiecznych działań.

Jak wspomniałem, coraz skuteczniej można pozyskiwać dane o użytkownikach, łącząc je z wielu źródeł, z czego nie do końca zdajemy sobie sprawę. Za część zagrożeń winę ponoszą producenci smartfonów i tabletów, zwłaszcza tych z systemem Android. Z góry zakładają krótki czas ich użytkowania i obecności na rynku. Dlatego, ograniczając koszty, wielu – zwłaszcza mniejszych – producentów rezygnuje z produkcji kolejnego modelu zaledwie po kilku miesiącach od wprowadzenia go na rynek. Nie aktualizuje systemu operacyjnego i nie udostępnia łatek bezpieczeństwa itp. Na rynku funkcjonuje zatem wiele urządzeń ze starszymi wersjami systemu i programów bez możliwości skutecznej ich ochrony. Google stara się temu przeciwdziałać. Google Play Protect to nowy element Usług Play (przeniesiono do niej wiele modułów Androida i mogą być one cały czas aktualizowane). Play Protect znajduje się na wszystkich urządzeniach z Androidem, począwszy od wersji Jelly Bean. Codziennie skanuje urządzenie w poszukiwaniu potencjalnie szkodliwych aplikacji, korzystając z bazy gier i programów. Jednak nadal niektóre komponenty systemu wymagają aktualizacji dostarczanych przez producentów sprzętu.

Użytkownicy wiedzą, że instalowanie programów spoza oficjalnego sklepu jest niebezpieczne, jak się jednak okazuje, system weryfikacji umieszczanego w nim oprogramowania nie jest w pełni skuteczny. Pod koniec minionego roku firma ESET informowała o niebezpiecznych programach do czyszczenia pamięci operacyjnej telefonu. Złośliwy program, po pobraniu oraz instalacji pierwszego elementu, ściągał kolejny z internetu, a po kilku minutach użytkownik był proszony o aktualizację aplikacji, która przedstawiała się jako jeden ze znanych i zaufanych programów, np. Adobe Flash Player i wymuszała przyznanie jej wszystkich możliwych uprawnień. Pojawiły się też rozwiązania mogące wyświetlać nakładkę na aplikację mobilną banków i udawać te programy. W Sklepie Google Play jest dziś ponad 3,5 mln aplikacji. Część z nich upodobniono do znanych programów np. Messengera, Facebooka itp. W większości wyświetlają niechciane reklamy, ale mogą być wykorzystane do działań w rodzaju inżynierii społecznej.

Specjaliści zajmujący się bezpieczeństwem zwracają uwagę, że zapobieganie oszustwom wymaga dziś rozszerzenia działalności na środowiska mobilne i chmurę obliczeniową. Przy analizie zagrożeń trzeba wykorzystywać analizy behawioralne i integrować wiele funkcji. Banki powinny też projektować swoje systemy z myślą o kliencie. Nie da się zatrzymać każdego ataku, ale wykrycie i adekwatna reakcja pozwolą zminimalizować potencjalne straty lub szkody.

Udostępnij artykuł: