#zostanwdomuzgbs: Wywiad z Adamem Haertle na temat cyberbezpieczeństwa banków spółdzielczych
W ramach cyklu #zostanwdomuzgbs udostępniamy wywiad z Adamem Haertle opublikowany w numerze 6/2019 "Głosu Banków Spółdzielczych".
„Duże banki spółdzielcze są dziś tak samo atrakcyjne dla cyberprzestępców jak małe banki komercyjne”
O tym, na ile banki spółdzielcze i ich klienci są celem cyberprzestępców oraz jak ustrzec się przed ich atakami z Adamem Haertle z serwisu internetowego ZaufanaTrzeciaStrona.pl, rozmawia Aleksandra Rączkiewicz.
- O atakach hakerskich na sektor banków spółdzielczych w zasadzie słychać niewiele. Czy banki spółdzielcze są na celowniku cyberprzestępców? Czy na razie skupiają się oni głównie na dużych bankach komercyjnych?
Jeszcze 5-6 lat temu mógłbym powiedzieć, że przestępcy kradną głównie w bankach komercyjnych. Wówczas nie miały one jeszcze dojrzałych systemów antyfraudowych ani czynnych całą dobę dedykowanych infolinii dla klientów. Dzisiaj natomiast banki komercyjne inwestują w systemy poprawiające bezpieczeństwo użytkowników bankowości elektronicznej oraz intensywnie szkolą swoich pracowników. W największych bankach komercyjnych dedykowane klientom infolinie działają całodobowo, a wyspecjalizowane zespoły antyfraudowe stale szukają podejrzanych transakcji. Banki te posiadają też specjalne systemy, które wysyłają alerty i w razie potrzeby blokują konta. Ich pracownicy są też bardzo dobrze przeszkoleni w zakresie ataków przestępców, a przy wykonywaniu przelewów muszą przestrzegać złożonych procedur. Cyberprzestępcy zaczynają więc szukać kolejnych celów. Szybko orientują się, że duże banki spółdzielcze są tak samo atrakcyjne pod kątem potencjalnego łupu, jak małe banki komercyjne. Na ten poziom atrakcyjności wpływa poziom zabezpieczeń oraz poziom wyszkolenia kadry pracowniczej. Wybór kierunku ataków na banki spółdzielcze jest więc oczywisty – złodziej zawsze wybiera łatwiejszy cel. Jeśli stwierdzi, że atak ma sens, to jest w stanie poświęcić czas w nauczenie się systemu banku spółdzielczego, jeśli dotychczas go nie znał, bo koncentrował się głównie na bankach komercyjnych.
- Na jakie w takim razie formy wyłudzeń pieniędzy mogą być narażeni pracownicy banków spółdzielczych i ich zarządy?
Kreatywność cyberprzestępców nie zna granic. Klasycznym przypadkiem może być np. e-mail od osoby podającej się za prezesa, zlecający wykonanie dużego przelewu oraz zawierający prośbę o zachowanie poufności przy realizacji tej transakcji. Przestępca w tym celu podszywa się pod adres e-mailowy prezesa, ale zdradzić go może np. słaba ortografia e-maila lub sam adres e-mail. Zdarza się też, że pracownicy banków otrzymują telefony od osoby, która podaje się za pośrednika znanych usług finansowych. Osoba ta świetnie zna kolejne kroki wykonywania przelewów i instruuje, jak wykonać płatność deklarując, że jest to jedynie test systemu.
Warto uważać też na załączniki e-maili. Ich otwarcie może spowodować zainstalowanie szkodliwego oprogramowania, dzięki któremu przestępcy będą mogli obserwować, jakie operacje są dokonywane na komputerze. Szczególnie istotne jest to w przypadku osób zatwierdzających wykonywanie paczki przelewów, które zostały odpowiednio wcześniej przygotowane. Przestępcy – jeśli będą mieli wystarczającą ilość czasu i dostęp do komputera – mogą podmienić numer konta, na który zostanie wykonany docelowy przelew.
- Czy klienci banków spółdzielczych również są coraz atrakcyjniejszym celem ataków hakerskich?
Dotychczas nie słyszałem o dedykowanych, masowych atakach na klientów banków spółdzielczych, ale jeśli zdarzy się tak, że np. któryś z pracowników wyniesie bazę stu najbogatszych klientów, to szybko może ona wpaść w ręce cyberprzestępców, którzy następnie spróbują zainfekować ich komputery, a potem okraść. Złodzieje są w pewnym sensie biznesmenami, którzy liczą nakłady i zyski. Wybierają te miejsca, w których są w stanie możliwie jak najmniejszym kosztem ukraść jak najwięcej. Powoli ich celem staje się więc sektor banków spółdzielczych oraz jego klienci.
- Czy klienci banków mają w ogóle szansę, by ustrzec się przed atakami cyberprzestępców?
Złodzieje funkcjonujący na polskim rynku działają bardzo sprawnie. Niemalże do perfekcji opanowali zarówno technologiczne mechanizmy bankowości internetowej, jak i aspekty psychologii zachowań klienta, umożliwiające wprowadzenie go w błąd. Niestety, stosunkowo łatwo jest oszukać użytkownika przez internet, kiedy nie dysponuje on wiedzą o tym, w jaki sposób zweryfikować, czy dana strona faktycznie należy do banku lub gdy myśli, że jeśli jest na stronie kuriera i autoryzuje przelew natychmiastowy na stronie, która w jego opinii wygląda „jak zawsze”. Zwykły użytkownik internetu, posiadający bankowość elektroniczną nie wie o tym, że aby zalogować się do banku powinien sprawdzić, czy faktycznie znajduje się na stronie banku. Jeśli cokolwiek wzbudzi jego niepokój, to powinien natychmiast reagować, a nie tłumaczyć sobie, że zamiast jego banku przeleje pieniądze przez pośrednika i też wszystko będzie w porządku.
Przestępcy, bazując na niewiedzy lub strachu, są w stanie stosunkowo łatwo wyłudzić poświadczenia do logowania do banków od użytkowników, którzy nie są nauczeni zasad
bezpieczeństwa.
- Na jakie elementy klient powinien zwrócić uwagę, logując się do banku, aby nie zostać oszukanym? Czy ofiara ataku ma szansę zorientować się, że jest na fałszywej stronie banku?
Wszystko zależy od tego, czy dana osoba sprawdza odpowiednie elementy i jest wystarczająco czujna. I nie chodzi tu o sprawdzenie, czy na stronie internetowej przy pasku adresu pojawi się kłódka potwierdzająca certyfikat bezpieczeństwa. Dziś taką kłódkę bardzo łatwo otrzymać. Z naszej analizy wynika, że na 1000 stron złodziei aż 998 miało zielone kłódki. Tak naprawdę jedyne, czego można nauczyć klienta, aby potrafił odróżnić stronę fałszywą od prawdziwej, to to, aby dokładnie czytał on adres domeny i sprawdzał, co znajduje się między drugim a trzecim ukośnikiem w treści adresu. Jeśli znajdzie się tam chociażby dodatkowa kropka w stosunku do prawdziwej nazwy domeny banku, to może to świadczyć o tym, że jest to strona złodzieja.
Jednym z wielu sposobów złodziei mających na celu przechwycenie danych klienta jest wykupienie reklamy w wyszukiwarce. Jeśli wyszukując swój bank, wpiszemy jego nazwę w wyszukiwarce to może się zdarzyć tak, że pierwszy wyświetlony link będzie podstawiony przez hakera. Kiedy wpiszemy tam login i hasło, to może pojawić się kółeczko symbolizujące proces oczekiwania (to czas, kiedy złodziej otrzymuje informacje o tym, że ktoś próbuje się zalogować na podstawioną stronę banku). Następnie zostajemy poinformowani np. o błędnie wpisanym haśle oraz poproszeni o kod z SMS-a lub kod z karty kodów jednorazowych, dzięki którym złodziej będzie mógł zautoryzować przelew pieniędzy z rachunku. Po treści SMS-a możemy zorientować się, że nasze konto właśnie jest okradane, natomiast większość klientów nie czyta treści SMS-ów otrzymywanych od banku. Na koniec klientowi wyświetla się komunikat o pracach modernizacyjnych i prośba o kontakt z bankiem następnego dnia – chodzi oczywiście o to, aby klient nie zdążył zablokować nadużycia.
Podsumowując, najlepiej adres wpisywać samodzielnie lub ustawić zakładkę ze stroną banku. Trzeba pamiętać, że kłódka nie oznacza bezpiecznej strony bankowej. Należy być również czujnym na pojawienie się nietypowych elementów na stronie.
Warto nauczyć swoich klientów tych zasad, a w przypadku kiedy podczas logowania wystąpi coś niestandardowego, to prosić o przekazanie tej informacji do banku – zgłoszenia od klientów to najcenniejsze źródło informacji. Niektóre banki o ok. 70-80% nadużyć dowiadują się od swoich klientów. Należy więc zachęcać klientów do tego, aby dzwonili, jeśli
cokolwiek wzbudzi ich niepokój.
- Ważnym elementem ochrony jest odpowiednie hasło. Wydawać by się mogło, że o tym, jak je stworzyć, wiemy całkiem sporo. Na niektórych stronach mamy nawet wskazówki, które mają pomóc nam je utworzyć. Najczęściej to minimum dziewięć znaków, duża i mała litera, cyfra i znak specjalny. Czy taki zestaw zapewni nam bezpieczeństwo? Jak to wygląda w praktyce? Czy dla hakerów nasze hasła stanowią jakąkolwiek barierę?
Temat haseł niewątpliwie jest bardzo ważny i dotyczy każdego z nas. Często nawet nie zdajemy sobie sprawy z tego, jak wiele mamy haseł i nie chodzi tu wyłącznie o hasła do poczty, banku czy komputera, ale też hasła w formie kodu do domofonu, walizki lub alarmu. Jakiś czas temu opracowałem zestawienie stu najpopularniejszych haseł w Polsce, które powstało na bazie 10 mln haseł, które wyciekły z polskich kont. Na pierwszym miejscu plasują się imiona (43 hasła), na drugim są tzw. wężyki z klawiatury (17), a na trzecim hasła złożone z cyfr (16). Na tej podstawie można by przygotować antyporadnik haseł, które warto stosować.
- Jak zatem powinno wyglądać mocne hasło?
Na pewno nie powinno to być słowo ze słownika. Powtórzenie go trzy razy też nie wpływa na bezpieczeństwo. Jak się okazuje, nie każde hasło, które ma dziewięć liter, w tym duże i małe litery oraz znaki specjalne, będzie hasłem mocnym. Dotyczy to również hasła złożonego z samych znaków specjalnych. Bardzo dobrym pomysłem jest za to stworzenie hasła z pierwszych liter lub całych słów zdania. Przy czym nie powinien to być tekst znanego wiersza czy piosenki – ten może znajdować się w słowniku, za pomocą którego przestępca będzie hasła odgadywał. Często wystarczy jednak, by hasło było odpowiednio długie, np. „kochamswojaprace”. W internecie można znaleźć strony pozwalające sprawdzić, czy hasło jest wystarczająco mocne. Przy czym nie weryfikujemy tam oczywiście prawdziwego hasła, tylko hasło, które jest analogiczne do naszego i możemy je dzięki temu porównać.
Nie wszędzie też trzeba mieć silne hasło. Warto za to zastosować je tam, gdzie zależy nam na danych, których to hasło ma bronić. Należy odróżnić dwa rodzaje kont w internecie. Konta, na których są nasze dane i konta, na których są cudze dane, np. forum, gdzie występujemy pod pseudonimem. Istotne z punktu widzenia zabezpieczenia danych jest konto na Facebooku, konto w banku i podstawowe konto do poczty. W pozostałych miejscach można stosować wszędzie to samo hasło, logować się przez Facebooka lub nawet zapisać hasło w przeglądarce. Hasła poufne natomiast warto zapisać w managerze haseł. Warto nie zmieniać ich też zbyt często, ponieważ częste ich zmienianie powoduje degradację ich jakości.
- Klientom banków spółdzielczych dosyć dobrze znana jest biometria, ponieważ sektor ten jako pierwszym w Polsce wprowadził bankomaty biometryczne. Na ile biometria może być skuteczną formą zabezpieczenia transakcji?
Nie każda biometria jest tak samo skuteczna. Biometria oka jest na przykład bardzo dobra, ale jest to rozwiązanie dosyć drogie. Dobrym rozwiązaniem jest także biometria palca lub dłoni. Problemy zdarzają się natomiast w przypadku biometrii twarzy. Jeśli przy autoryzacji transakcji przez wideo zamiast twarzy podstawimy zdjęcie użytkownika telefonu, a mruganie powieki zastąpimy machaniem długopisu to można oszukać ten mechanizm. Mało skuteczna jest również biometria głosowa, ponieważ głos można stosunkowo łatwo sfałszować. Są już mechanizmy, dzięki którym na podstawie jednominutowej próbki głosu można odtworzyć dowolne zdanie danym głosem. Dobrym rozwiązaniem może być trójwymiarowa biometria twarzy stosowana w iPhonach.
Ciekawym rozwiązaniem na rynku jest również biometria myszki i klawiatury, stosowana w jednym z banków komercyjnych. Jest to model tzw. kroczący, analizujący ruchy myszki i sposób używania klawiatury oraz badający różnicę względem zachowań z kilku poprzednich logowań. Jeśli zachowanie jest diametralnie inne, to wtedy gwałtownie podnosi się wskaźnik ryzyka i bank otrzymuje sygnał, że warto się takiej sesji bliżej przyjrzeć. Kluczowy jest tu wskaźnik tożsamości klienta – tempo przesuwania palców po klawiaturze i naciskania liter, które jest dosyć unikatowe.
- Czy przy założeniu wdrożenia opisanego systemu przez banki na szeroką skalę można znacząco ograniczyć skalę cyberprzestępstw?
Wspomniane rozwiązanie oparte na biometrii behawioralnej faktycznie może być bardzo skuteczne. Kluczowa jest tu identyfikacja nie tyle konkretnego klienta, ale identyfikacja przypadku, gdy dzisiaj przy komputerze siada ktoś inny niż wczoraj. Nie jest ustalana zatem tożsamość klienta, lecz stopień rozbieżności pomiędzy wczorajszą sesją klienta a dzisiejszą sesją. Jeśli rozwiązanie to jest właściwie wyskalowane w systemach bankowych, to stanowi bardzo cenny sygnał dla zespołów zwalczających nadużycia. A jeżeli widać, że klient znacząco różni się zachowaniem od tego, który logował się chwilę wcześniej i dokonuje podejrzanej serii transakcji, to jest to dosyć jasny sygnał do interwencji i zablokowania takich prób oszustwa.
ADAM HAERTLE
ZAUFANATRZECIASTRONA.PL
Prelegent, trener i wykładowca. Od 2004 r. regularnie występuje na wszystkich dużych konferencjach poświęconych bezpieczeństwu w Polsce, gdzie zbiera najwyższe oceny w ankietach uczestników. Wykładowca studiów podyplomowych na SGH. W 2018 r. poprowadził ponad 100 prelekcji dla grup otwartych oraz zamkniętych w całej Polsce, poświęconych kwestiom bezpieczeństwa w sieci, zagrożeń związanych z korzystaniem z bankowości elektronicznej, prywatności oraz ochrony informacji w przedsiębiorstwie. W swoich prezentacjach prostym, przystępnym językiem i na prawdziwych przykładach opisuje realne zagrożenia czyhające na firmy i użytkowników. Bezpieczeństwem zawodowo zajmuje się od kilkunastu lat, najpierw w firmie Deloitte, a następnie w UPC, gdzie przez 12 lat odpowiadał za wszystkie kwestie związane z ochroną informacji w kraju oraz regionie. Od siedmiu lat prowadzi pod adresem ZaufanaTrzeciaStrona.pl jeden z najpopularniejszych polskojęzycznych serwisów internetowych poświęconych bezpieczeństwu informacji. Organizator jednej z największych konferencji branżowych What The H@ck (https://wthconf.pl)