Bankowość i Finanse | Technologie – NASK | Czy walka z oszustwami na zdalny pulpit to walka z wiatrakami?
Andrzej Sikora
adiunkt w NASK PIB, współautor systemu BotSense
Przemysław Jaskóła
analityk w NASK PIB
Przestępca, podając się najczęściej za pracownika banku, podczas rozmowy telefonicznej przekonuje ofiarę ataku, że jej oszczędności są zagrożone, mogą być pomnożone lub wymagają innej interwencji ze strony fałszywego opiekuna. Po instalacji wskazanego oprogramowania udział ofiary sprowadza się do autoryzacji dostępu do konta i dokonywanych przez przestępcę operacji mających na celu wyprowadzenie aktywów.
Szeroko prowadzone w mediach akcje informacyjne na temat tego oszustwa oraz liczne ostrzeżenia podczas instalacji oprogramowania przekazującego dostęp do naszego komputera/smartfonu osobom trzecim przynoszą pozytywne rezultaty. Mimo wszystko przedstawiony scenariusz ataku ciągle jest bardzo popularny i skuteczny.
Skuteczne rozwiązanie
Walka z oszustwem na zdalny pulpit wymaga od instytucji finansowej wykrywania operacji realizowanych w mobilnej i webowej aplikacji bankowej przez oprogramowanie do zdalnego dostępu, a następnie dodatkowego weryfikowania i ostatecznie blokowania transakcji, jeżeli zajdzie podejrzenie kradzieży. Nie jest to zadanie łatwe, ponieważ wykorzystywane w ataku oprogramowanie narzędziowe nie udostępnia mechanizmów (np. API), które pozwoliłyby na potwierdzenie aktywnej sesji zdalnej na urządzeniu. Wdrożenie środków technicznych, które w sposób w pełni automatyczny mogłyby zapobiec atakom, jest niemożliwe, gdyż scenariusze użycia z obecnością zdalnego pulpitu spotykane są również w trakcie normalnego użytkowania systemu.
Skutecznym rozwiązaniem, które pozwala na wykrywanie sesji bankowości elektronicznej realizowanych z wykorzystaniem zdalnego pulpitu, jest dedykowany moduł systemu BotSense o nazwie Remote Checker. System BotSense jako platforma zabezpieczająca kanał webowy i mobilny bankowości elektronicznej działa aktualnie w 12 dużych polskich bankach, kilkunastu bankach spółdzielczych, a dodatkowo w wersji mobilnej chroni kilka milionów użytkowników aplikacji dostarczanej przez instytucję rządową. Do jego głównych funkcjonalności należą: wykrywanie ataków MiTB, trojanów bankowych, malware mobilnego, zbieranie informacji na temat urządzenia należącego do użytkownika, weryfikacja integralności tego urządzenia i aplikacji bankowej. Istotne cechy systemu BotSense to też graficzny interfejs użytkownika pozwalający na dynamiczne zarządzanie systemem, prosty proces wdrożenia i zarządzania, stała aktualizacja bazy sygnatur dla zagrożeń oraz przezroczystość dla użytkownika końcowego. System BotSense jest produktem NASK-PIB rozwijanym przy współpracy z bankami oraz firmami dostarczającymi usługi bankowości spółdzielczej, jak Grupa SGB i firmy technologiczne, jak I-BS oraz innymi.
Moduł Remote Checker analizuje na bieżąco aktywną sesję bankowości elektronicznej po stronie przeglądarki lub aplikacji mobilnej i w przypadku wykrycia symptomów sterowania sesją w sposób zdalny, przekazuje odpowiedni alarm do systemu BotSense, a następnie wewnętrznych systemów bankowych typu SIEM/Antyfraud. Otrzymany alarm pozwala na podjęcie działań, które wynikają z przyjętej przez instytucję polityki reagowania, np. skontaktowanie się z użytkownikiem realizującym transakcję i potwierdzenie jej legalności. Istotne jest w tym przypadku, że oprogramowanie do realizacji zdalnego pulpitu jest oprogramowaniem legalnym i dodatkowo w czasie pandemii stało się rozwiązaniem bardzo popularnym. Istnieje również grupa użytkowników, którzy regularnie korzystają z pomocy przy realizowaniu transakcji w bankowości elektronicznej, np. osoby starsze, niepełnosprawne. W tych przypadkach po stronie instytucji finansowej leży konieczność identyfikacji osób, które świadomie korzystają ze zdalnego dostępu do aplikacji bankowej, a następnie odpowiedniego oznaczenia kont użytkowników, dla których dostęp zdalny jest powtarzalny i dopuszczony.
Detekcja sesji zdalnej nie jest zadaniem prostym, dlatego w systemie BotSense zastosowano kombinację różnych metod skutecznych na różnych platformach, a dodatkowo trwają prace nad nowymi metodami wykorzystującymi potencjał algorytmów sztucznej inteligencji.
Profilowanie behawioralne
Innym rozwiązaniem, które może pomóc w ograniczeniu ataków wykorzystujących oprogramowanie do zdalnego pulpitu, jest zastosowanie profilowania behawioralnego użytkowników. Rozwiązanie to wymaga zgody ze strony użytkownika, a nakład pracy związany z wdrożeniem metod behawioralnych jest istotnie większy niż w przypadku algorytmów wymienionych poprzednio. Algorytmy behawioralne pozwalają z pewnym prawdopodobieństwem ocenić, czy osoba realizująca transakcję w bankowości elektronicznej jest osobą uprawnioną. Wykorzystywane są w tym celu zbierane wcześniej wzorce korzystania z klawiatury i urządzenia wskazującego przez użytkownika uprawnionego. Analizowane na bieżąco dane z wybranej sesji pozwalają na wygenerowanie alarmu, gdy odbiegają od znanej normy oraz zapisanego wzorca. Alarm nie informuje bezpośrednio o wykorzystaniu oprogramowania do realizacji zdalnego pulpitu, ale jest istotną przesłanką do dodatkowej weryfikacji oraz ewentualnego zablokowania transakcji, w tym również tych wynikających z ataku na „zdalny pulpit”.
Należy pamiętać, że wszystkie wymienione rozwiązania opierają się na detekcji różnych cech charakterystycznych i anomalii, które z większym lub mniejszym prawdopodobieństwem świadczą o wykryciu sesji bankowości z aktywnym zdalnym dostępem. Są to, jak dotąd, przesłanki, które nie dają stuprocentowej pewności. Dodatkowo dostęp zdalny może być udzielony przez użytkownika świadomie lub wręcz przez niego wymagany, jak w przypadku osób z niepełnosprawnościami. Dlatego tak istotny jest aspekt edukacji użytkowników w obszarze bezpiecznego korzystania z serwisów bankowości elektronicznej oraz przystępna w odbiorze prezentacja scenariuszy ataków i ich możliwych wariantów. Wypracowana podejrzliwość użytkowników jest w tym przypadku naszym sprzymierzeńcem i prowadzi do zwiększenia ich świadomości, a w konsekwencji bezpieczeństwa.
Wydaje się, że ważne jest też oczekiwanie od wydawców oprogramowania narzędziowego wykorzystywanego w scenariuszach przestępców, że uzupełnią funkcjonalność dostarczanych produktów o dostępne w przeglądarce internetowej automatyczne mechanizmy informujące o aktywnej sesji zdalnej. Nie będzie to jednak proste zadanie, ponieważ firm przygotowujących tego typu oprogramowanie jest wiele i konkurują one o duży rynek, aktywowany rosnącą popularnością pracy zdalnej.