Cyberatak przez aplikację w smartfonie

opublikowano: 28-12-2017, 22:00

Oszuści coraz częściej uzyskują dostęp do pieniędzy firm, wykorzystując oprogramowanie instalowane przez przedsiębiorców na urządzeniach mobilnych

Niedawno firma ESET, sprzedająca rozwiązania antywirusowe, poinformowała o dwóch aplikacjach wykradających dostęp do rachunków bankowych i wyprowadzających z nich pieniądze: CryptoMonitor, rzekomo służącej do śledzenia cen kryptowalut, oraz StorySaver, obiecującej pobieranie z Instagrama krótkich historii użytkownika z ostatniej doby. Obie były dostępne w oficjalnym sklepie Google Play. Na ich celowniku znaleźli się użytkownicy aplikacji mobilnych aż 14 banków.

BEZPIECZNIE JAK W SAMOLOCIE: — Ryzyko ataku hakerskiego na nasze konto bankowe za pośrednictwem urządzenia mobilnego można porównać do latania samolotem — wiele osób obawia się tego środka transportu, choć statystycznie należy on do najbezpieczniejszych. Wypadki zdarzają się rzadko, ale jeśli już — to zwykle są spektakularne i szeroko nagłaśniane — mówi Adrian Latoszek, prawnik w kancelarii CMS.
Zobacz więcej

BEZPIECZNIE JAK W SAMOLOCIE: — Ryzyko ataku hakerskiego na nasze konto bankowe za pośrednictwem urządzenia mobilnego można porównać do latania samolotem — wiele osób obawia się tego środka transportu, choć statystycznie należy on do najbezpieczniejszych. Wypadki zdarzają się rzadko, ale jeśli już — to zwykle są spektakularne i szeroko nagłaśniane — mówi Adrian Latoszek, prawnik w kancelarii CMS. Fot. Marek Wiśniewski

Bez ochrony

Podobne przypadki pokazują, że ataki hakerskie na konta bankowe, z których coraz częściej korzystamy za pośrednictwem urządzeń mobilnych, to realne zagrożenie. Z ryzykiem muszą się liczyć przede wszystkim przedsiębiorcy, którzy obracają znacznymi kwotami. A mało który telefon czy tablet jest odpowiednio chroniony.

— Większe ryzyko ataku hakerskiego na urządzenia mobilne niż komputery wynika z faktu, że coraz częściej korzystamy z bankowości za ich pośrednictwem, ale nie zawsze zdajemy sobie sprawę, że powinny one być zabezpieczone w taki sam sposób jak komputery. Wystarczy zadać pytanie — kto stosuje tzw. antywirusa na swoim telefonie? Tymczasem osoby korzystające z bankowości na urządzeniach mobilnych narażone są na te same rodzaje ryzyka co przy korzystaniu z bankowości elektronicznej na komputerze — mówi Adrian Latoszek, prawnik w kancelarii CMS. — Urządzenia mobilne zarówno przez producentów oprogramowania, jak i jego użytkowników są traktowane trochę po macoszemu. Nie wytworzyła się jeszcze również odpowiednia świadomość użytkowników, którzy na smartfonach często przetwarzają więcej danych niż na swoich komputerach — wtóruje mu Kamil Gapiński, kierownik projektu w Fundacji Bezpieczna Cyberprzestrzeń.

Jak zadbać o urządzenia mobilne, żeby zmniejszyć ryzyko ataku hakerskiego? Przede wszystkim nie należy otwierać podejrzanych załączników w e-mailach ani korzystać z nielegalnego oprogramowania. Warto także sprawdzać, czy połączenia są szyfrowane (a więc np. czy adres strony internetowej banku zaczyna się od „https” a nie „http”), a co najważniejsze — aktualizować oprogramowanie naszego urządzenia mobilnego i stosować zabezpieczenia przed złośliwym oprogramowaniem,tak jak robimy to w przypadku komputerów. Warto też uważnie czytać aktualne komunikaty od swojego banku. Coraz więcej instytucji edukuje klientów w tym kierunku. Przykładem jest mBank, który ostatnio wystartował z kampanią społeczną na temat cyberzagrożeń, a na swojej stronie internetowej prezentuje zasady bezpiecznego korzystania z bankowości w sieci, zarówno na urządzeniach mobilnych, jak i za pośrednictwem komputerów.

Niewielkie ryzyko

Zdaniem ekspertów, nie należy się jednak obawiać, że haker przejmie naszą gotówkę z konta, atakując telefon czy tablet. Ryzyko nie jest duże.

— Można je porównać do latania samolotem — wiele osób obawia się tego środka transportu, choć statystycznie należy on do najbezpieczniejszych. Wypadki zdarzają się rzadko, ale jeśli już — to zwykle są spektakularne i szeroko nagłaśniane — mówi Adrian Latoszek. Według statystyki bardziej jesteśmy narażeni na atak hakerski za pośrednictwem komputera niż telefonu.

— W naszym laboratorium antywirusowym wykrywamy obecnie cztery razy więcej prób włamań na komputery niż na urządzenia mobilne. Warto jednak zaznaczyć, że liczba zagrożeń skierowanych do użytkowników smartfonów lub tabletów systematycznie rośnie. Z pewnością ten trend utrzyma się w przyszłości — twierdzi Kamil Sadkowski, ekspert do spraw analizy zagrożeń z Eset.

Ale nawet jeżeli atak się wydarzy, to jest duża szansa, że bank zwróci pieniądze poszkodowanemu.

— Jeśli naruszenie bezpieczeństwa użytkownika wynika jednoznacznie z winy instytucji finansowej, np. dojdzie do tego w wyniku krytycznej podatności w aplikacji mobilnej albo nastąpi wyciek danych osobowych klienta czy też zostanie zaatakowana strona banku, to najprawdopodobniej pieniądze zostaną zwrócone — mówi Cyprian Gutkowski, kierownik projektu w Fundacji Bezpieczna Cyberprzestrzeń.

Jednak w większości przypadków winę za atak hakerski ponosi klient banku. Użytkownicy komputerów najczęściej padają ofiarą phishingu, czyli wyłudzenia danych na stronach www imitujących prawdziwe serwisy banków. Cyberprzestępcy wysyłają fałszywe e-maile, które wyglądają coraz bardziej wiarygodnie.

— Jeśli chodzi o urządzenia mobilne, to największe ryzyko niesie ze sobą instalowanie aplikacji spoza oficjalnego sklepu Google Play lub takich, które cieszą się wątpliwą reputacjąwśród użytkowników. Jeśli widzimy aplikację o niskich lub średnich ocenach, lepiej zastanowić się dwa razy przed jej pobraniem. Zwłaszcza że na smartfonie może być nam znacznie trudniej odróżnić fałszywe okno logowania od prawdziwego — zwraca uwagę Kamil Sadkowski.

Jednak przykład CryptoMonitora i StorySavera dowodzi, że w oficjalnym sklepie Google Play również można znaleźć złośliwe oprogramowanie. „Aplikacje zgłaszane do naszego sklepu przed udostępnieniem ich użytkownikom są automatycznie skanowane pod kątem potencjalnie złośliwego kodu lub spamu. Niedawno wprowadziliśmy też proaktywny proces przeglądu, po to, żeby jeszcze wcześniej móc wychwytywać programy, które łamią naszą politykę. Wciąż polegamy na społeczności użytkowników i deweloperów, którzy mogą zgłaszać konkretne aplikacje i w ten sposób sygnalizować nam, że powinny zostać poddane dodatkowej ocenie. CryptoMonitor i StorySaver zostały usunięte ze Sklepu Play czwartego grudnia, zaraz po tym, jak zostały zgłoszone” — tłumaczy się Google, odpowiadając na nasze pytanie o to, co się stało, że złośliwe oprogramowanie trafiło do oficjalnego sklepu giganta.

Bank zwróci pieniądze

Na zwrot od banku pieniędzy utraconych w wyniku cyberataku można liczyć szczególnie w przypadku niewielkich kwot oraz sytuacji, w których mamy do czynienia z nieautoryzowaną transakcją płatniczą, czyli taką, na którą klient nie wyraził zgody. Banki często decydują się także na wypłatę, jeżeli potencjalne straty reputacyjne oraz koszty wewnętrzne przewyższałyby kwotę ewentualnego zwrotu, podobnie jak wejście na drogę sądową w celu wykazania, że odpowiedzialność leży po stronie klienta.

— W przypadku nieautoryzowanej transakcji dostawca usług płatniczych ma obowiązek niezwłocznego zwrotu pieniędzy. Przy tym ciężar dowodu w tym zakresie spoczywa także na nim, co ma daleko idące konsekwencje. Zdarza się bowiem, że nie jest w stanie wykazać, że jego klient dopuścił się rażącego niedbalstwa, którego wynikiem była właśnie nieautoryzowana transakcja płatnicza, np. gdy przechowywał dane do logowania do bankowości mobilnej w torebce, wraz z telefonem. W takim wypadku banki stają przed wyborem między kosztownym i długotrwałym procesem, który może wiązać się ze stratami refutacyjnymi, a zwrotem pieniędzy z tytułu nieautoryzowanej transakcji płatniczej. Jednocześnie nie mogą pozwolić sobie na brak dochodzenia tego typu roszczeń, gdyż mogłoby to prowadzić do nadużyć — tłumaczy Adrian Latoszek. Eksperci podkreślają, że generalnie korzystanie z bankowości w sieci za pośrednictwem komputerów i urządzeń mobilnych jest bezpieczne, o ile zachowujemy się zgodnie z zasadami wymaganymi w danych okolicznościach, nie naruszamy zapisów umowy zawartej z bankiem, a przestępstwo nie wynika z naszego rażącego niedbalstwa.

 

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Sylwia Wedziuk

Polecane

Inspiracje Pulsu Biznesu

Puls Biznesu

Puls Firmy / Cyberatak przez aplikację w smartfonie