MSP na celowniku hakerów

  • Jagoda Fryc
opublikowano: 16-12-2013, 00:00

Cyberprzestępcom nie wystarczają już ataki na prywatne rachunki bankowe i wzięli się za polskie przedsiębiorstwa. Eksperci ostrzegają, że to dopiero początek

Do niedawna cyberprzestępcy szukali ofiar wśród klientów indywidualnych, bo mechanizmy logowania i akceptacji przelewów były łatwiejsze w obejściu, a i sami użytkownicy przykładali mniejszą wagę do zabezpieczeń komputerów. Okazuje się jednak, że spać spokojnie nie mogą już także klienci korporacyjni, mimo że ich pieniądze są dużo lepiej strzeżone. Na początku października firma Prevenity, specjalizująca się w weryfikacji bezpieczeństwa systemów informatycznych, zidentyfikowała nowe złośliwe oprogramowanie, które umożliwiało kradzież oszczędności z rachunków krajowych przedsiębiorców.

PARADOKS: Polskie firmy chętnie
 korzystają z aplikacji internetowych, ale nie
 dbają o ich bezpieczeństwo. Z badań PwC
 wynika, że ich budżet na zabezpieczanie się
 przed cyberprzestępczością wynosi zaledwie
 2,7 proc. pieniędzy przeznaczanych na IT.
 [FOT. ISTOCK]
PARADOKS: Polskie firmy chętnie korzystają z aplikacji internetowych, ale nie dbają o ich bezpieczeństwo. Z badań PwC wynika, że ich budżet na zabezpieczanie się przed cyberprzestępczością wynosi zaledwie 2,7 proc. pieniędzy przeznaczanych na IT. [FOT. ISTOCK]
None
None

— To pierwszy tego typu przypadek w Polsce. Do tej pory większość oprogramowania złośliwego koncentrowała się na podsłuchiwaniu loginu i hasła oraz ewentualnym przejmowaniu haseł jednorazowych/SMS z urządzeń mobilnych. I tego typu ataki na bankowość można już uznać za „standard” rynkowy. Ten nowy atak pokazuje jednak, że nawet klienci biznesowi, autoryzujący transakcje z użyciem kart inteligentnych (smartcards) nie mogą się czuć bezpieczni. Intruzi z łatwością radzą sobie z tego typu zabezpieczeniem, jeżeli tylko karta inteligentna jest włożona do portu USB komputera — tłumaczy Artur Maj, specjalista ds. bezpieczeństwa informacji i prezes Prevenity.

Kosztowna infekcja

Atak hakerów nakierowany jest na aplikacje bankowości internetowej, które do uwierzytelniania i autoryzacji wykorzystują rozwiązania firmy Comarch. Z informacji „Pulsu Biznesu” wynika, że takowe używane są m.in. przez BNP Paribas, ING Bank Śląski, Raiffeisen Polbank, BPH, DZ Bank, DNB Nord i Pekao SA. Scenariusz ataku jest bardzo prosty.

— Intruz instaluje oprogramowanie do zapisywania uderzeń klawiszy i kliknięć myszy [tzw. keylogger — red.] oraz oddzielny program do zestawiania połączenia za pomocą zdalnego pulpitu typu VNC. Keylogger rejestruje dane uwierzytelniające, autoryzujące transakcje oraz hasło do klucza, którym podpisywane są transakcje finansowe — tłumaczy Mariusz Burdach, wiceprezes Prevenity.

Newsletter ICT
Nowości z firm IT z naciskiem na spółki giełdowe: przetargi, informacje z rynku, newsy kadrowe i inne.
ZAPISZ MNIE
×
Newsletter ICT
autor: Grzegorz Suteniec
Wysyłany raz w tygodniu
Grzegorz Suteniec
Nowości z firm IT z naciskiem na spółki giełdowe: przetargi, informacje z rynku, newsy kadrowe i inne.
ZAPISZ MNIE
Administratorem Pani/a danych osobowych będzie Bonnier Business (Polska) Sp. z o. o. (dalej: my). Adres: ul. Kijowska 1, 03-738 Warszawa. Administratorem Pani/a danych osobowych będzie Bonnier Business (Polska) Sp. z o. o. (dalej: my). Adres: ul. Kijowska 1, 03-738 Warszawa. Nasz telefon kontaktowy to: +48 22 333 99 99. Nasz adres e-mail to: rodo@bonnier.pl. W naszej spółce mamy powołanego Inspektora Ochrony Danych, adres korespondencyjny: ul. Ludwika Narbutta 22 lok. 23, 02-541 Warszawa, e-mail: iod@bonnier.pl. Będziemy przetwarzać Pani/a dane osobowe by wysyłać do Pani/a nasze newslettery. Podstawą prawną przetwarzania będzie wyrażona przez Panią/Pana zgoda oraz nasz „prawnie uzasadniony interes”, który mamy w tym by przedstawiać Pani/u, jako naszemu klientowi, inne nasze oferty. Jeśli to będzie konieczne byśmy mogli wykonywać nasze usługi, Pani/a dane osobowe będą mogły być przekazywane następującym grupom osób: 1) naszym pracownikom lub współpracownikom na podstawie odrębnego upoważnienia, 2) podmiotom, którym zlecimy wykonywanie czynności przetwarzania danych, 3) innym odbiorcom np. kurierom, spółkom z naszej grupy kapitałowej, urzędom skarbowym. Pani/a dane osobowe będą przetwarzane do czasu wycofania wyrażonej zgody. Ma Pani/Pan prawo do: 1) żądania dostępu do treści danych osobowych, 2) ich sprostowania, 3) usunięcia, 4) ograniczenia przetwarzania, 5) przenoszenia danych, 6) wniesienia sprzeciwu wobec przetwarzania oraz 7) cofnięcia zgody (w przypadku jej wcześniejszego wyrażenia) w dowolnym momencie, a także 8) wniesienia skargi do organu nadzorczego (Prezesa Urzędu Ochrony Danych Osobowych). Podanie danych osobowych warunkuje zapisanie się na newsletter. Jest dobrowolne, ale ich niepodanie wykluczy możliwość świadczenia usługi. Pani/Pana dane osobowe mogą być przetwarzane w sposób zautomatyzowany, w tym również w formie profilowania. Zautomatyzowane podejmowanie decyzji będzie się odbywało przy wykorzystaniu adekwatnych, statystycznych procedur. Celem takiego przetwarzania będzie wyłącznie optymalizacja kierowanej do Pani/Pana oferty naszych produktów lub usług.

W przypadku bankowości korporacyjnej transakcje podpisywane są zwykle kluczem prywatnym, przechowywanym na zewnętrznym nośniku, np. karcie inteligentnej lub w pliku na tym samym komputerze. Jeśli komputer jest włączony i nie została z niego wyjęta karta, intruz może w dowolnym momencie włamać się i wykonać przelew.

— Złośliwa aplikacja rejestruje wprowadzane dane do formularzy przeglądarek internetowych oraz formularzy innych aplikacji powiązanych z systemem bankowości internetowej, gdy na przykład wymagane jest podpisanie dyspozycji. Zidentyfikowana aplikacja może również podmieniać dane transakcji. Obecnie zanotowaliśmy ataki polegające na autoryzacji opartej wyłącznie na podpisie kluczem. Nie można jednak wykluczyć użycia w przyszłości innych mechanizmów autoryzacji — dodaje Mariusz Burdach.

Abecadło bezpieczeństwa

Specjaliści z Prevenity tłumaczą, że odpowiednia dawka ostrożności powinna zminimalizować ryzyko infekcji i kradzieży pieniędzy z konta firmowego. Przede wszystkim należy wyjmować kartę inteligentną po wylogowaniu się z systemu bankowości internetowej oraz na bieżąco aktualizować system operacyjny i oprogramowanie antywirusowe. — Najlepiej używać dedykowanego komputera i wyłącznie do celów łączenia się systemem bankowości internetowej. Jeśli to nie jest możliwe, nie wolno instalować/uruchamiać oprogramowania, którego pochodzenia nie jesteśmy pewni. Trzeba też weryfikować historię autoryzowanych transakcji, szczególnie tych wykonywanych w „paczkach” — tłumaczy Mariusz Burdach.

OKIEM EKSPERTA
Najsłabsze ogniwo: użytkownik

GRZEGORZ SOWA
dyrektor ds. bezpieczeństwa IT w Comarchu

Każdy system jest na tyle bezpieczny, na ile bezpieczne jest jego najsłabsze ogniwo. Karty kryptograficzne stanowią tak zwany element silnego uwierzytelnienia, bazującego na dwóch elementach: fakcie posiadania karty oraz wiedzy na temat PIN-u do karty. Haker może pozyskać pełną kontrolę nad komputerem za pomocą konia trojańskiego, w sytuacji, gdy karta była włożona na stałe do czytnika, co jest równoznaczne z posiadaniem karty przez hakera. Jednocześnie haker może znać PIN do karty, który często zapisywany jest przez użytkowników na pulpicie komputera. Sytuację tę można porównać do zostawienia karty w bankomacie z zapisanym hasłem na kartce papieru przyklejonej do bankomatu. Aby zapobiegać takim sytuacjom, należy edukować użytkowników, aby nie udostępniali ani nie zapisywali w formie dostępnej dla innych swoich haseł, kartę kryptograficzną wsuwali do czytnika tylko na moment autoryzacji transakcji oraz dbali o komputer, na którym pracują poprzez zainstalowanie oprogramowania antywirusowego, oraz nieużywania stron WWW, do których nie mamy zaufania.
© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Jagoda Fryc

Polecane