Raport Specjalny. Horyzonty Bankowości 2020. Bezpieczeństwo: Lawina złych wiadomości
Istotnym zagrożeniem – przynajmniej na początku 2020 r. – wydaje się zakończone w styczniu wsparcie dla systemu operacyjnego Windows 7. Ten – będący następcą krytykowanego przez część użytkowników Windowsa Vista – był oceniany jako udany. Pokłosiem dobrej opinii jest fakt, że obecnie, ponad dekadę po premierze, pod kontrolą tego systemu wciąż pracuje około jedna czwarta komputerów i laptopów. Dzieje się to, mimo że Microsoft informował o zakończeniu wsparcia z dużym wyprzedzeniem, a jednocześnie umożliwił prywatnym użytkownikom darmową aktualizację do aktualnej wersji systemu.
Zakończenie wsparcia dla Windows 7 oznacza, że system ten w przypadku rynku konsumenckiego nie tylko nie będzie rozwijany, ale – przede wszystkim – traci cykliczne uaktualnienia, dotyczące wykrytych luk bezpieczeństwa. I choć znane są przypadki, że nawet po oficjalnym zakończeniu wsparcia Microsoft publikował krytyczne dla bezpieczeństwa aktualizacje, dalsze korzystanie z Windows 7 przypomina beztroski spacer wśród tykających bomb zegarowych.
Przestrzegają przed tym wszyscy – Microsoft, eksperci od cyberbezpieczeństwa, a także banki. Na razie bez wielkiego skutku, bo choć rynkowe udziały niewspieranego systemu spadają, dzieje się to bardzo wolno. Jeśli dynamika tego procesu nie zmieni się, rok 2020 będzie upływał pod znakiem sporego udziału w rynku systemu, który nie jest bezpieczny. Gdy połączymy to z faktem masowego korzystania z bankowości internetowej, otrzymamy tykającą bombę, która może wybuchnąć za kilka dni, miesięcy albo… wcale.
Ransomware: nowe zasady
Dotychczasowa praktyka związana z atakami ransomware dotyczyła zazwyczaj szyfrowania danych. Wykorzystując różnego rodzaju luki w zabezpieczeniach, a przede wszystkim socjotechnikę, cyberprzestępcy uzyskiwali dostęp do danych użytkowników, które były następnie szyfrowane. Odzyskanie dostępu do danych bywało możliwe dzięki wpłaceniu okupu, uiszczanego zazwyczaj z wykorzystaniem kryptowalut.
Nowe formy działalności cyberprzestępców w tym zakresie dotyczą nie tyle szyfrowania, co uzyskania dostępu do wrażliwych danych, a następnie wymuszania okupu w zamian za ich nieupublicznianie. Przykładem takiego działania jest niedawny atak na brytyjską sieć kantorów Travelex. Na wzrost zainteresowania cyberprzestępców wrażliwymi danymi zwracają uwagę m.in. eksperci z Kaspersky Lab, firmy zajmującej się tworzeniem oprogramowania antywirusowego.
Poprzeczka została podniesiona i w 2020 r. cyberprzestępcy pójdą dalej, polując na jeszcze bardziej wrażliwe dane upublicznione w wyniku wycieków, takie jak informacje biometryczne.
Luki w popularnych aplikacjach
Co istotne, ułatwieniem w takiej działalności mogą być także niezwykle popularne i powszechnie uznawane za bezpieczne aplikacje. Przykładem niedawno ujawnionego zagrożenia jest choćby luka bezpieczeństwa w popularnej aplikacji WhatsApp. Luka znana pod nazwą CVE-2019-18426 została już wprawdzie załatana, jednak – co warto podkreślić – dotyczyła usługi używanej przez 1,5 mld osób! Dzięki niej i podesłaniu odpowiednio spreparowanego linku cyberprzestępca mógł uzyskać dostęp do plików ofiary i przeglądać zgromadzone lokalnie dane.
Innym, wyjątkowo spektakularnym przykładem zagrożenia ze strony WhatsApp okazało się włamanie na smartfon najbogatszego człowieka na świecie, Jeffa Bezosa, którego sprawcą miał być jeden z saudyjskich arystokratów. W tym przypadku do włamania posłużył przesłany przez WhatsApp, specjalnie preparowany plik wideo. Co warto podkreślić, twórcy aplikacji próbują wykazać, że słabym ogniwem była nie ona, a system iOS, pod którego kontrolą działają iPhone’y.
JavaScript i płatności
Popularność płatnych usług online i handlu internetowego przekłada się na rosnące zainteresowanie cyberprzestępców internetowymi płatnościami. Zwraca na to uwagę m.in. Kaspersky Lab:
„W ciągu ostatnich kilku lat ogromną popularność wśród cyberprzestępców zyskał tzw. JS-skimming, czyli metoda kradzieży danych dotyczących kart płatniczych ze sklepów internetowych. Jak dotąd badacze z firmy Kaspersky zidentyfikowali przynajmniej 10 różnych ugrupowań cyberprzestępczych stosujących tego typu ataki i uważają, że ich liczba będzie nieustannie zwiększać się w kolejnym roku”.
Deepfake, czyli AI w służbie mistyfikacji
Spektakularny rozwój algorytmów, określanych potocznie mianem sztucznej inteligencji, przełożył się na powstanie nowego zagrożenia, określanego zbiorczo jako deepfake. Jest to mistyfikacja polegająca na fabrykowaniu treści wideo i audio. Choć sam pomysł nie jest nowy, w nieodległej przeszłości nastąpiła popularyzacja narzędzi, pozwalających na stosunkowo proste tworzenie filmów, do których można np. wkleić twarz postaci, niewystępującej w oryginalnym nagraniu.
W przypadku materiałów audio istnieje możliwość wygenerowania przekonującego nagrania zawierającego treści, których osoba, której próbki głosu zostały użyte, nigdy nie wypowiedziała. Zarejestrowano już przypadki połączeń telefonicznych, w których cyberprzestępcy podszywali się m.in. pod osoby z kierownictwa różnych firm, zarządzając przelewy środków.
Cel: fintech
Uwadze cyberprzestępców nie umknęły także fintechy. Związane z nimi zagrożenia są zazwyczaj kojarzone z bezpieczeństwem danych klientów – wykorzystywaniem i bezpieczeństwem zgromadzonych informacji. Lista zagrożeń na tym się jednak nie kończy.
Wynika to z faktu, że – zwłaszcza na początkowym etapie działalności – nakłady fintechów na bezpieczeństwo nie zawsze są wystarczające. Problemem może być także brak doświadczenia i, co szczególnie istotne w zestawieniu z sektorem bankowym, wypracowanych na podstawie wieloletniej praktyki procedur, związanych z bezpieczeństwem.
Zagrożone instytucje publiczne
Zagrożenie dotyczy także instytucji publicznych, gdzie słabym ogniwem może okazać się przestarzała lub niedostosowana do zadań infrastruktura IT. Przykładem związanych z tym zagrożeń są m.in. niedawne ataki na jednostki samorządu terytorialnego, a także na Klinikę Budzik, zapewniającą opiekę dla osób w śpiączce. Zagrożenia te i sposoby na przeciwdziałanie wskazuje raport „Cyberbezpieczeństwo 2020”, przygotowany przez twórcę oprogramowania do backupu danych, Xopero Software:
„Zarówno pozytywne doświadczenia przedsiębiorstw, jak i przykłady udanych realizacji koncepcji ‹państwa w chmurze› wpłyną na upowszechnienie jej również w sektorze publicznym. I całe szczęście, bo infrastruktura IT w wielu organizacjach publicznych pozostawia wiele do życzenia. Cloud w łatwy sposób rozwiązuje ten problem”.
Zmiany prawa
Nowe możliwości ataków pojawiają się także w związku ze zmianami prawa. Dotyczy to zwłaszcza niezmiennie popularnego phishingu – w 2020 r. cyberprzestępcy mają do dyspozycji kilka nowych, wiarygodnych pretekstów.
Należą do nich m.in. konieczność stosowania przez przedsiębiorców mikrorachunku podatkowego, rozliczenie PIT, a także planowana wypłata 13. emerytury. Każde z tych zagadnień stanowi dla cyberprzestępców wygodny pretekst do nadsyłania spreparowanych wiadomości, które w przypadku mniej ostrożnych użytkowników mogą posłużyć do zainfekowania smartfonów i komputerów, kradzieży danych czy ułatwienia nieautoryzowanego dostępu do konta bankowego.