Raport Specjalny | Cyberbezpieczeństwo – Cleafy | Oszustwa na urządzeniach: rosnące zagrożenie w bankowości internetowej
Matteo Bogana
CEO, Cleafy
Ewolucja technologii ma dobre i złe strony – powstają lepsze zabezpieczenia, ale równolegle także nowe formy ataków i metody wykorzystywane przez cyberoszustów. Chodzi o odkrycie słabszych punktów i naruszanie bezpieczeństwa osób fizycznych i firm. Coraz częściej zatem infekuje się urządzenia mobilne – zainstalowane w nich złośliwe programy mają służyć uzyskaniu nieautoryzowanego dostępu, kradzieży danych osobowych oraz przeprowadzeniu nieuczciwych transakcji. Banki muszą być na takie sytuacje gotowe, powinny zatem stosować odpowiednie strategie zapobiegawcze i wdrażać zaawansowane narzędzia, wzmacniając w ten sposób swoją obronę przed cyberprzestępcami.
Przyjrzyjmy się dokładniej tego typu oszustwom, poznajmy ich rodzaje i formy oraz to, jak mogą szkodzić osobom fizycznym, organizacjom i instytucjom. Wszystkim nam chodzi przecież o to, by banki jak najlepiej i jak najszerzej chroniły swych klientów przed takimi atakami.
Co to są oszustwa na urządzeniach i jak działają
Oszustwa on-device to nic innego jak działania przeprowadzane bezpośrednio na urządzeniu użytkownika bez konieczności przejmowania jego konta. Przestępcy wykorzystują tu wiarygodność urządzenia ofiary, omijając w ten sposób procedury rejestracji i utrudniając wykrycie oszustwa, co byłoby łatwiejsze, gdyby używali nowego urządzenia bądź łączyli się z nowej lokalizacji.
Aby przejąć kontrolę, stosują socjotechnikę bądź wykorzystują usługi dostępności w systemie operacyjnym Android. Dzięki manipulacji, a także za pośrednictwem fałszywych wiadomości e-mail lub fałszywych stron internetowych naśladujących legalne, nakłaniają użytkowników, by przekazali im takie poufne informacje, jak dane logowania lub dane bankowe. Wykorzystanie legalnych funkcji, takich jak Accessibility Service w systemie Android, może umożliwić atakującym uzyskanie pełnego dostępu do urządzenia ofiary, w tym przechwytywania wiadomości SMS. Do przejęcia urządzenia cyberprzestępcy coraz częściej wykorzystują złośliwe oprogramowanie, z reguły trojany zdalnego dostępu (RAT), zaprojektowane tak, by zdalnie manipulowały nimi poprzez wydawanie poleceń i pobieranie danych. Dzięki temu są w stanie odczytywać wiadomości OTP i autoryzować nielegalne płatności bez wiedzy właściciela konta bankowego.
System automatycznych przelewów
W przeciwieństwie do przejęcia konta, ataki za pośrednictwem systemu automatycznych przelewów (ATS) nie wymagają przejęcia kont. Po zainstalowaniu złośliwego oprogramowania na urządzeniu ofiary, cyberprzestępcy mogą dokonywać oszustw, choćby manipulować prawdziwą operacją, czego ofiara nawet nie zauważa. Wygląda to tak, jakby wszystkie działania wykonywał prawdziwy użytkownik za pomocą prawdziwego urządzenia, a nie cyberoprzestępcy korzystający ze złośliwego oprogramowania. W ten sposób omijają oni mechanizmy wykrywania oszustw, takie jak uwierzytelnianie dwuskładnikowe, biometria behawioralna lub analiza behawioralna.
Dodajmy, że ataki ATS są znacznie bardziej skalowalne niż ataki ATO, ponieważ są całkowicie zautomatyzowane i nie wymagają interwencji człowieka. Z drugiej zaś strony, korzystanie z tak zaawansowanego złośliwego oprogramowania jest jednak niezwykle kosztowne.
Najnowsze zagrożenie dla banków i instytucji finansowych
Jednym z ostatnio ujawnionych przykładów zagrożenia dla urządzeń jest Copybara. Umożliwia ona przeprowadzenie oszustwa na urządzeniu ofiary (ODF on-device fraud) i zainicjowania na nim nieautoryzowanych przelewów pieniężnych. Dzięki podejściu ODF przestępcy znacznie zwiększyli zdolność do przetwarzania oszukańczych transakcji, zatem konwencjonalne środki przeciwdziałania im stały się niewystarczająco skuteczne.
Twórcy Copybary zastosowali podejście hybrydowe, obejmujące techniki inżynierii społecznej (smishing/vishing) i komponenty złośliwego oprogramowania. Jego celem jest wykonywanie nieautoryzowanych przelewów bankowych (za pośrednictwem płatności natychmiastowych) do zorganizowanej sieci kont bankowych (money mule).
Erozja zaufania do banku i usług cyfrowych
Nie da się zaprzeczyć, że wykorzystywanie przez cyberprzestępców urządzeń mobilnych może przynieść bankom i instytucjom finansowym szereg szkód. O ich właścicielach już nie wspominając. Im bowiem kradzież tożsamości czy nieautoryzowane transakcje grożą nie tylko opróżnieniem konta bankowego i znacznego obciążenia finansowego, ale i sporym zakłóceniem codziennego życia.
Banki i instytucje finansowe muszą się w takim wypadku liczyć z dodatkowym obciążeniem wynikającym z naruszenia danych klientów. To nie tylko koszty związane z badaniem i usuwaniem nieuczciwych działań, ale także potencjalny uszczerbek reputacyjny.
Poza bezpośrednimi konsekwencjami finansowymi, oszustwa na urządzeniach stanowią poważne zagrożenie dla firm świadczących usługi cyfrowe, konkretnego banku lub dostawcy usług finansowych. W erze, w której bankowość internetowa, handel elektroniczny i płatności cyfrowe stały się integralną częścią codziennego życia, każde naruszenie bezpieczeństwa tych platform może podważyć zaufanie i wiarę klientów w bezpieczeństwo transakcji cyfrowych. To zaś może się przełożyć na sceptycyzm co do wiarygodności instytucji finansowych i dostawców technologii i zaowocować niechęcią do korzystania z innowacyjnych technologii finansowych.
Potencjalne konsekwencje prawne i regulacyjne
Rozprzestrzenianie się oszustw na urządzeniach, o czym nie wolno zapominać, niesie ze sobą również istotne konsekwencje prawne i regulacyjne dla banków i dostawców usług finansowych. Jako powiernicy poufnych informacji o klientach i strażnicy transakcji finansowych, banki podlegają przecież rygorystycznym wymogom prawnym i standardom regulacyjnym, celem których jest zabezpieczenie interesów konsumentów i zapewnienie ochrony danych.
Oszustwa na urządzeniach nie tylko ujawniają luki w istniejących ramach bezpieczeństwa, rodzą także pytania o adekwatność środków wdrożonych w celu zapobiegania nieuczciwym działaniom.
Nieodpowiednie zajęcie się tymi kwestiami może skutkować odpowiedzialnością prawną, stosownymi grzywnami regulacyjnymi i utratą reputacji przez te instytucje finansowe, które dopuściły się zaniedbań w kwestii ochrony aktywów klientów i prywatności danych.
Jak zapobiegać oszustwom związanym z urządzeniami mobilnymi
Wieloaspektowy charakter oszustw z użyciem urządzeń to dla banków złożone wyzwanie – tak finansowe, jak i prawne. Przeciwdziałanie temu zagrożeniu wymaga kompleksowego podejścia: zastosowania technologii zapewniających cyberbezpieczeństwo, skutecznych strategii zarządzania ryzykiem i empatycznego wsparcia dla ofiar.
Niebagatelną rolę w przeciwdziałaniu oszustwom odegrać może odpowiednia edukacja klientów. W większości przypadków cyberataki mogą być skuteczne dlatego, że konsumenci nie zwracają wystarczającej uwagi na to, jak zachowywać się online. Nie są świadomi wielu istniejących zagrożeń, nie wiedzą też, że powstały nowe formy cyberataków.
Rozwój technologii zapobiegających oszustwom poniekąd przyczynił się także do tego, że cyberprzestępcy zaczęli wykorzystywać techniki inżynierii społecznej. I właśnie o tym trzeba klientom stale przypominać, zachęcać do czujności, gdyż tylko wtedy nie wpadną w pułapki oszustów.
Środki bezpieczeństwa muszą być odpowiednio silne
Nie od dziś wiadomo, że złośliwe oprogramowanie odgrywa decydującą rolę przy popełnianiu oszustw na urządzeniach. W dzisiejszym cyfrowym świecie cyberprzestęstwa to już dobrze zorganizowana branża wspierana przez specjalnie w tym celu zbudowany ekosystem. Nielegalne organizacje inwestują olbrzymie środki w rozwój zaawansowanego złośliwego oprogramowania, a nawet proponują je jako usługę. Sztuczna inteligencja czyni ten proces jeszcze szybszym i łatwiejszym.
Banki i dostawcy usług finansowych muszą stale zabezpieczać swoje systemy, wykorzystywać rozwiązania do zarządzania oszustwami, które mogą wykrywać nawet najbardziej zaawansowane złośliwe oprogramowanie, również typu zero-day. Banki i dostawcy usług finansowych powinni korzystać z rozwiązań, które identyfikują w czasie rzeczywistym nowe wzorce zagrożeń mogących uderzyć w ich klientów.
Firma Cleafy, łącząc wiele opatentowanych technologii z bogatą bazą danych rodzin złośliwego oprogramowania umożliwiającą klasyfikację wszelkich wariantów cyberoszustw, jest niezwykle skuteczna, jeśli chodzi o wykrywanie nowych rodzin zagrożeń, zanim zostaną wykorzystane do ataku. To właśnie ona zidentyfikowała takie niebezpieczne złośliwe oprogramowanie, jak TeaBot, SharkBot i Copybara używane w cyberatakach na europejskie banki.
O Cleafy
Cleafy to zespół łowców oszustw, ekspertów ds. cyberbezpieczeństwa i naukowców zajmujących się danymi oraz inżynierów oprogramowania, którzy od 2014 r. mają to samo zadanie: uczynić technologię bezpieczniejszym miejscem. Dlatego zaprojektowali rozwiązanie, która identyfikuje i zapobiega oszustwom finansowym w czasie rzeczywistym, gwarantując jednocześnie bezpieczeństwo użytkownikom. Markę tę analitycy branżowi uznali za lidera rynku. Cleafy chroni dziś ponad 100 mln użytkowników najlepszych banków detalicznych i korporacyjnych przed oszustwami finansowymi online. Aby dowiedzieć się więcej, odwiedź www.cleafy.com.