IT@BANK 2012: Idzie nowe (zagrożenie)

Jacek Matwiejczyk

Agencja Bloomberg szacuje, że z rachunków w europejskich i amerykańskich banków z powodu ataków hakerskich ginie około miliarda dolarów rocznie. Z roku na rok coraz częściej ofiarą przestępców padają małe i średnie przedsiębiorstwa. „5,2 mln dolarów skradzione z konta spółki Experi-Metal, nieautoryzowane przelewy na sumę 56 tys. dolarów z rachunku Patco Construction, spółka Village View ze stratą ponad 465 tys. dolarów na firmowym koncie – to tylko kilka przykładów cyberkradzieży dokonanych w USA w ostatnich latach” – przypominają autorzy opracowania.

Za oceanem zaczyna to być poważny problem. Koszty spadają na klientów, czyli w tym wypadku firmy, fundacje i inne organizacje, bo 99,9 proc. amerykańskich banków nie oferuje ubezpieczeń od ataków hakerskich. Chlubnym wyjątkiem jest JP Morgan Chase. I nie ma znaczenia, że systemy informatyczne amerykańskich banków mają więcej dziur niż szwajcarski ser. Zasada jest prosta – chcesz odzyskać pieniądze, idź do sądu. Jakby tego było mało, banki robią, co mogą, by nie wydało się, że hakerzy dobrali się do ich rachunków, bo nagłośnienie sprawy niemal zawsze skutkuje odpływem klientów.

Zapobieganie wirtualnym kradzieżom w USA to w chwili obecnej jedna z największych bolączek FBI oraz Secret Service. Obie instytucje stale zwiększają liczbę agentów zajmujących się cyberprzestępstwami. W opublikowanym w lipcu raporcie Rada Bezpieczeństwa Narodowego wymieniała hakerów wśród głównych zagrożeń systemu finansowego, a w szczególności banków, rynków kapitałowych i usług związanych z kartami kredytowymi.

Hakerzy upatrują sobie za cel najczęściej rachunki firmowe w małych i średnich bankach. Sprawcami są głównie zorganizowane grupy ze Wschodniej Europy. Przestępcy bez wychodzenia z domu „zarabiają” na jednej kradzieży od paru tysięcy do bagatela kilku milionów dolarów.

Prinimałka już się czai

Niechlubny udział w atakach na banki, klientów indywidualnych i firmy mają też cyberprzestępcy z Polski. W połowie roku dwóch naszych rodaków wywołało w Belgii histerię, gdy się okazało, że trzy z pięciu dużych banków działających na tamtejszym rynku zgłosiły ataki na konta internetowe swoich klientów. Dwa poinformowały, że chodzi o ponad 12 tys. ataków na konta i o kradzieże na łączną sumę ponad 3 mln euro! Trzeci nie ujawnił skali ataków. Prokuratura belgijska podkreśla jednak, że proceder jest naprawdę niebezpieczny i banki wpadły w panikę. Belgijska policja przeprowadziła falę rewizji i w wyniku operacji przeciw hakerom zatrzymała cztery osoby, które okradały internetowe konta bankowe. Szajka operowała z Polski, Rosji i Ukrainy – informował dziennik „La Libre Belgique”.

Hakerzy zarażali komputery klientów banków wirusem, który uśpiony aktywizował się, gdy wykrywał, że są dokonywane operacje bankowe. Następnie wykorzystywał zebrane dane, by połączyć się z bankiem. Pieniądze z konta nieświadomych właścicieli były przelewane na konta należące do innych klientów banku, którzy zwabieni chęcią zarobku bez pracy godzili się przyjąć przelew w zamian za drobną prowizję. Następnie przekazywali ją przestępcom. Wspomniane przeszukania i zatrzymania objęły właśnie pomocników.

Niewykluczone, że przestępcy posługiwali się trojanem Gozi Prinimałka, stworzonym przez programistów mieszkających w Rosji, a wywodzących się z grup 76service i RBN (Russian Business Network).

– Wykrywaliśmy go za pomocą standardowych narzędzi detekcji i pozyskaliśmy wiele jego próbek. Analiza jego konfiguracji wskazuje, że celem może być co najmniej 26 różnych banków w Stanach Zjednoczonych – wyjaśnia Rik Ferguson, dyrektor ds. komunikacji i badań nad bezpieczeństwem w firmie Trend Micro.

Gozi Prinimałka o peruje w ewnątrz systemu operacyjnego i w przeglądarce. Kontrolując poprawnie uwierzytelnioną sesję, może skraść elektroniczną tożsamość ofiary i w jej imieniu wykonać nieautoryzowane transakcje finansowe. Narzędzia, którymi posługują się przestępcy, potrafią wyświetlać nieprawdziwy stan konta i zacierać ślady nieautoryzowanych transakcji, by utrudnić ich wykrycie.

W niektórych programach wprowadzono obliczanie dokładnej kwoty, którą można ukraść bez wywoływania alarmów lub wyzerowania konta. Szyfrowanie za pomocą SSL nie jest przeszkodą, podobnie jak klucz podawany przez token. Za każdym razem ofiara autoryzuje nie swoją transakcję. Trojan transferuje ...