Deloitte: cyberprzestępcy bardziej innowacyjni, ataki na klientów banków coraz częściej także w sektorze MŚP
Tylko w tym roku zostanie sprzedanych 1,6 mld smartfonów, co wiąże się z dynamicznym rozwojem rynku mobilnych usług finansowych, który w naszym kraju obejmuje już ponad 5 mln osób. Przy wielokanałowym dostępie do bankowości elektronicznej klienci dysponują co najmniej 10 różnymi metodami, aby autoryzować swoje transakcje bankowe. Wszystkie te trendy powodują, że także cyberprzestępcy zyskują nowe możliwości nieuprawnionego dostępu do rachunków użytkowników bankowości internetowej i mobilnej - wynika z raportu Deloitte.
Wraz ze wzrostem poziomu wiedzy i świadomości klientów indywidualnych (którzy są tradycyjnie i niezmiennie na celowniku hakerów) cyberprzestępcy także poszukują nowych możliwości. Coraz bardziej atrakcyjnym i zyskownym łupem dla hakerów są małe i średnie przedsiębiorstwa niedostatecznie dbające o cyberbezpieczeństwo.
Klienci oczekują dostępu do swoich rachunków bankowych o każdej porze, w każdej lokalizacji oraz za pośrednictwem wszystkich dostępnych urządzeń elektronicznych, w tym również mobilnych. Według Związku Banków Polskich w IV kwartale 2015 roku liczba aktywnych klientów indywidualnych bankowości internetowej w Polsce przekroczyła 14,5 mln osób. W przypadku sektora małych i średnich przedsiębiorstw aktywnych klientów jest 1,3 mln. Średnia wartość transakcji dokonywanych przez nich za pośrednictwem bankowości internetowej wynosi już ok. 85 tys. zł miesięcznie, podczas gdy w przypadku klientów indywidualnych jest to nieco ponad 6 tys. zł.
Głównym celem przestępców jest kradzież środków finansowych oraz kradzież tożsamości umożliwiająca im m.in. zaciąganie kredytów przy użyciu danych ofiary, jak i pranie pieniędzy. Aby dostać się do środków finansowych hakerzy najczęściej wykorzystują różne kombinacje tzw. inżynierii społecznej (np. SPAM lub e-mail ze złośliwym załącznikiem, linkiem prowadzącym do strony www, która ma na celu zainfekowanie złośliwym oprogramowaniem) do instalacji oprogramowania złośliwego (trojany bankowe) na komputerze lub telefonie. Oprogramowanie to może przechwytywać dane potwierdzające tożsamość lub autoryzujące transakcje poprzez atak na poziomie przeglądarki (man in the browser, wstrzykiwanie kodu), np. wyświetlając z pozoru prawdziwy komunikat w celu przechwycenia danych autoryzujących, podmieniając wskazany przez nas numer konta bankowego na fałszywy. Inne sposoby mogą opierać się na atakowaniu komunikacji z serwerami (man in the middle, podsłuchu oraz modyfikacji danych). Ryzyko ataku może również wynikać z podatności, które generują niezabezpieczone sieci Wi-Fi lub usługi telekomunikacyjne umożliwiające dostęp do danych takich jak SMS, które mogą być wykorzystywane w procesie autoryzacji transakcji.
Zakres możliwości ataku na użytkowników bankowości elektronicznej jest szeroki. Jednocześnie coraz większa profesjonalizacja cyberprzestępców mających powiązania ze światem przestępczym sprawia, że nieustannie rośnie liczba sposobów dokonywania ataków. Z analizy ekspertów Deloitte wynika, że obecnie banki udostępniają średnio osiem kanałów umożliwiających dokonywanie transakcji (m.in. w oddziale, przez telefon, komputer czy aplikację mobilną na smartfonie i tablecie) przy dziesięciu dostępnych metodach autoryzacji. Są to m.in. kody SMS, podpis elektroniczny, tokeny sprzętowe, tokeny programowe, kody jednorazowe, kody PIN, pytania kontrolne czy parametry biometryczne (odcisk palca). W związku z wieloma kanałami dostępu i metodami autoryzacji istnieje kilkadziesiąt ścieżek, które stwarzają cyberprzestępcom możliwość ataku.
Zwłaszcza małe i średnie firmy, które często borykają się z brakami w zakresie organizacyjnym i technicznym, w tym z obszaru cyber, powinny być szczególnie ostrożne. Chcąc zabezpieczyć się przed atakami w sieci powinny zidentyfikować zagrożenia związane z dokonywaniem płatności i umiejętnie nimi zarządzać. Poprzez regularne uświadamianie, sesje i treningi istnieje możliwość przeszkolenia poszczególnych grup pracowników, które są szczególnie narażone na ryzyko ataków (np. księgowość). Podobnie jak w przypadku klientów indywidualnych, również osoby zatrudnione w sektorze MŚP powinny unikać wchodzenia na strony internetowe o niskiej reputacji przy użyciu urządzeń wykorzystywanych do dokonywania płatności. Niezbędne są również rozwiązania technologiczne do wykrywania i usuwania spamu, fałszywych maili oraz oprogramowania złośliwego. Wskazane zaś jest także porozumienie z bankiem, które gwarantuje bezpieczną metodę autoryzacji transakcji.
Jednocześnie eksperci Deloitte zaznaczają, że zwiększone zainteresowanie atakami na firmy nie powinno usypiać czujności klientów indywidualnych banków.
Dołącz do dyskusji: Deloitte: cyberprzestępcy bardziej innowacyjni, ataki na klientów banków coraz częściej także w sektorze MŚP