Obiektem zainteresowań cyberprzestępców w coraz większym stopniu stają urządzenia mobilnie, z których każdego dnia korzystają miliony osób. Luki w zabezpieczeniach systemów instalowanych na smartfonach i tabletach zainteresowały nawet Komisję Nadzoru Finansowego, która wydała orzeczenie stwierdzające, że mobilni użytkownicy kont bankowych są o wiele bardziej narażeni na ataki, niż internauci korzystający z laptopów czy komputerów stacjonarnych.
W październiku ubiegłego roku klienci jednego z polskich banków otrzymali informację, że ze względów bezpieczeństwa dostęp do serwisu bankowego został ograniczony. Komunikat informował o konieczności przeprowadzenia weryfikacji. Strona logowania nie budziła podejrzeń – zawierała nawet ostrzeżenie o fałszywych komunikatach i informację o konieczności przestrzegania zasad bezpieczeństwa w bankowości elektronicznej. Wnikliwy użytkownik mógł zauważyć, że adres serwisu wcale nie należy do banku. Ile osób tego adresu jednak nie zauważyło i podało dane cyberprzestępcom, nie wiadomo. Przykład pani Anny, która pewnego dnia chciała zrealizować kilka przelewów za pośrednictwem e-bankowości pokazuje, że wbrew pozorom takich sytuacji wcale nie brakuje.
Po zalogowaniu do serwisu bankowego pojawił się komunikat o zmianie formuły konta. Wyglądał bardzo prawdziwie. Komunikat wymagał zatwierdzenia kodem SMS.
– Wpisałam kod SMS, który przysłany został z banku. Następnie, podczas tej samej sesji, wykonałam swoje przelewy – również z użyciem kodów SMS. Po kilku godzinach zaczęłam dostawać SMS-y o zmianach salda na moich kontach. Po kwotach zorientowałam się, że dzieje się coś dziwnego. Szybko zalogowałam się na swój rachunek i zobaczyłam, że nie ma moich pieniędzy. W pierwszym momencie myślałam, że to jakiś błąd w banku. Z trzech rachunków zniknęło ponad 46000 zł. Po kilku dniach zadzwonił do mnie pan z banku i powiedział, że miałam na swoim komputerze wirusa i że kodem SMS ustaliłam złodzieja jako odbiorcę zdefiniowanego. Wyczułam z rozmowy, że tego typu przypadek nie jest dla tego pana nowością -relacjonuje pani Anna.
Technologia niedoskonała
W coraz większym stopniu na niebezpieczeństwo narażeni są użytkownicy bankowości mobilnej. Telefon z systemem Android może być zaatakowany już za pośrednictwem jednej odpowiednio spreparowanej wiadomości tekstowej. „Bug” o nazwie Stagefright skrywający się w jednej z multimedialnych bibliotek tego systemu operacyjnego czyni 95% wykorzystujących go urządzeń otwartymi na cyberataki. Zainstalowanie na takim urządzeniu oprogramowania typu malware i przejęcie przez hakera całkowitej kontroli nad nim odbywa się bez najmniejszego udziału posiadacza telefonu. W przeciwieństwie do większości przypadków „phishingu”, tutaj nie jest wymagane ani otwarcie korespondencji w postaci maila czy smsa, ani ściągnięcie zasugerowanej pirackiej aplikacji ze strony udającej oficjalny sklep. Atakujący wysyła jedynie wiadomość na wskazany numer telefonu i zaczyna eksplorować jego zawartość, pozostawiając użytkownika w całkowitej nieświadomości. W sieci nie brakuje poradników wyjaśniających, w jaki sposób przeprowadzić atak oparty na tym modelu. O tym, że jest to możliwe do wykonania nie tylko przez specjalistów, świadczą ich tytuły, zazwyczaj brzmiące „Kilka prostych kroków do..”.
Przy okazji zanotowanego w minionym (2015) roku znaczącego przyrostu liczby ataków DDoS, o których donosił raport firmy Akamai, zwrócono uwagę na pewną dość niepokojącą zmianę crackerskich trendów. Ataki dokonywane w ten sposób zaczęły wraz z nadejściem 2015 roku obierać za cel urządzenia mobilne – 20% wszystkich ataków DDoS w I kw. 2015 dotyczyło właśnie smartfonów i tabletów – stwierdza Ewelina Hryszkiewicz z Atmana, operatora ogólnopolskiej sieci światłowodowej. Wszystko za sprawą protokołu SSDP, który wykorzystują urządzenia komunikujące się w zakresie Internet of Things. Większość użytkowników nie konfiguruje go prawidłowo, przez co tworzy on łatwy do wykrycia dla wyspecjalizowanych crackerów kanał dostępowy. Ten rodzaj ataku również jest niemożliwy do wykrycia, gdyż w jego przypadku narzędzie mobilne działa na zasadzie odblasku, pozostawiając atakującego zupełnie anonimowym.
Coraz popularniejszy staje się atak hakerski, który wykorzystuje kody QR. Pierwszym krokiem do przeprowadzenia ataku z wykorzystaniem kodu QR jest samo rozpowszechnienie kodu. W tym celu fałszywe kody QR są dołączane do wiadomości e-mail lub umieszczane na wiarygodnie wyglądających materiałach, np.: ulotkach, prezentacjach handlowych czy naklejkach przyklejonych do ogłoszeń na billboardach.
– Haczyk polega na złożeniu klientowi obietnicy, że po zeskanowaniu kodu QR uzyska on dostęp do bezpłatnej i atrakcyjnej aplikacji. Po instalacji atakujący może przekierowywać SMS-y z kodami do autoryzacji transakcji czy podsłuchiwać rozmowy – tłumaczy Ewelina Hryszkiewicz z Atmana.
KNF bije na alarm
Dyrektor jednego z urzędów Komisji Nadzoru Finansowego Tomasz Piwowarski przyznał, że stopień wykorzystania technologii informatycznych w bankowości przyrasta w nie mniejszym stopniu niż w pozostałych dziedzinach życia, zatem ważne jest, by dbać o odpowiednio wysokie standardy bezpieczeństwa. Komisja ma więc za zadanie doglądać, czy za dynamicznie następującym rozwojem technologii nadąża bankowa kontrola zagrożeń. Piwowarski zwrócił uwagę na fakt, że w ciągu minionych trzech i pół roku liczba klientów korzystających z bankowości mobilnej wzrosła o 250% do ok. 4,3 mln użytkowników. O ile jeszcze w 2013 roku procentowy udział posiadaczy smartfonów korzystających z mobilnej bankowości wynosił 12%, o tyle w 2015 wartość ta urosła do 43%.
KNF odniosło się także do autoryzacji dokonywanych transakcji – w przypadku tradycyjnych komputerów jest ona w większości przypadków realizowana przy pomocy telefonu, natomiast w przypadku urządzenia mobilnego i realizacja przelewu, i autoryzacja odbywa się za pośrednictwem jednego urządzenia. Komisja dodaje ponadto, że większość incydentów, za którymi stoją cyberprzestępcy, celuje w infrastrukturę klienta i to ona jest najsłabszym ogniwem usług internetowej bankowości, odpowiadając za 40% wszystkich przypadków włamań.
Banki także są zróżnicowane w kwestii oferowanych standardów bezpieczeństwa i ułatwiając swoim klientom obsługę przy pomocy najnowszych technologii, często idą „na skróty”, pomijając związane z tym zagrożenia. Jak dodaje Piwowarski, banki często niechętnie wdrażają kolejne procedury zwiększające bezpieczeństwo, gdyż mogą one ograniczać wygodę klientów i wydłużać czas dokonywanych operacji finansowych. Dyrektor nadmienił ponadto, że w przypadku gdy cyberatak skutecznie złamie luki w zabezpieczeniach czy to systemu bankowego, czy infrastruktury mobilnego klienta, straty zazwyczaj liczy się nie w setkach złotych, a dziesiątkach i setkach tysięcy złotych. W związku z tym KNF jest zobligowanie do bezwzględnej kontroli bankowości i narzucania rekomendacji podnoszących poziom bezpieczeństwa.
Smartfonowe barki desantowe
Przykład zajścia, jakie miało miejsce w Chinach pokazał, że urządzenia mobilne mogą nie tylko być infiltrowane przez crackerów, ale wykorzystywane jako portale atakujące obrany cel. Przeprowadzony we wrześniu minionego roku atak DDoS użył 650 tysięcy smartfonów do wygenerowania pod 4,5 mld odwiedzin atakowanej przez cyberprzestępców strony internetowej. Użytkownicy otrzymywali reklamowe powiadomienia, nie mając pojęcia, że aktywując je, stają się pośrednikami ataku dokonywanego na taką skalę.
– Przykład ten wskazał na narodziny nowego, bardzo niebezpiecznego zjawiska, gdyż obrona przed taką formą agresji jest bardzo trudna nawet dla dużych portali. Dla tych mniejszych może oznaczać całkowite zajęcie zasobów serwerowych -tłumaczy Ewelina Hryszkiewicz z Atmana.
Urządzeń mobilnych jest na rynku coraz więcej, co cieszy nie tylko producentów smartfonów, ale z pewnością także cyberprzestępców. Na listę noworocznych postanowień warto więc wpisać jeszcze jedno: daleko posuniętą ostrożność w Internecie, a w bankowości mobilnej w szczególności.
/ATM SA
Wojciech Boczoń
