Technologie: Zapobieganie fraudom webowym i kredytowym w bankowości

Karol Jerzy Mórawski

Te i wiele innych zagadnień były przedmiotem debaty eksperckiej poświęconej zapobieganiu fraudom webowym i kredytowym w bankach, zorganizowanej przez „Miesięcznik Finansowy BANK”. W panelu, prowadzonym przez redaktora czasopisma Karola Mórawskiego, udział wzięli: Sylwester Duda – dyrektor operacyjny w Biurze Rozwoju Kanałów Elektronicznych Banku Pekao S.A., Paulina Górecka-Gomoła – Head of Legal and Compliance Department w Industrial and Commercial Bank of China, Tomasz Imbiorowski – dyrektor Departamentu Bezpieczeństwa Banku Pocztowego, Adam Mańka – dyrektor Departamentu Rozwoju Aplikacji Banku Millennium, Tomasz Mosiński – Ekspert ds. Bezpieczeństwa Informacji w DNB Bank Polska, Maciej Musialski – kierownik Zespołu Zarządzania Ryzykiem Nadużyć Produktów Komercyjnych w Banku BPH oraz Artur Wach – dyrektor Departamentu Bezpieczeństwa Systemów Informatycznych w Citi Handlowy. Partnerem debaty była firma IMPAQ; w panelu uczestniczyli jej przedstawiciele: Dariusz Wojtas – Head of Project Management, oraz Andrzej Nowodworski – ekspert bezpieczeństwa w bankowości w zakresie systemów antyfraudowych współpracujący z IMPAQ.

Zaczęło się – niczym w prawdziwym filmie sensacyjnym – od ataku hakerskiego. Na szczęście tym razem była to tylko symulacja – przygotowana przez ekspertów partnera debaty. Modelowy system transakcyjny banku został zainfekowany przez „cyberprzestępców” złośliwym oprogramowaniem, mającym za cel wyłudzenie danych karty kredytowej klienta. Na pierwszy rzut oka nic nie wzbudzało podejrzeń – jednak po chwili zastanowienia pojawiało się pytanie: po co w dyspozycji przelewu internetowego należy podać numer karty płatniczej oraz jej kod CVC?

– Formatka przelewu jest to miejsce, które najczęściej – obok strony logowania – bywa atakowane przez złośliwe oprogramowanie – wyjaśnił Dariusz Wojtas z IMPAQ. – Zwykle albo coś się dzieje zaraz po zalogowaniu do systemu – wtedy strona bankowa jest ukrywana, pojawia się komunikat ze złośliwego oprogramowania zachęcający klienta zazwyczaj do podania kodu autoryzacyjnego transakcji – albo, tak jak to przygotowaliśmy w naszym scenariuszu – są dostrzykiwane różne dodatkowe pola do formularza przez malware – dodał przedstawiciel partnera debaty.

Jak w czasach, kiedy bankowe systemy transakcyjne korzystają z bezpiecznych protokołów szyfrujących, może w ogóle dojść do takiego ataku? Dariusz Wojtas wyjaśnił tę kwestię szczegółowo. – Przez lata uczono nas, że jeżeli aplikacja zabezpieczona jest poprzez SSL, czyli pomiędzy serwerem a przeglądarką mamy łącze szyfrowane, to nikt po drodze nie jest w stanie tego przeczytać ani ingerować w treść. To jest prawda – ale do pewnego momentu. Cała odległość między serwerem aplikacji a komputerem rzeczywiście jest szyfrowana SSL-em. We współczesnym świecie za rozszyfrowywanie komunikacji odpowiada jednak zwykle nie aplikacja – na przykład przeglądarka – tylko system. Aplikacja wywołuje funkcje systemowe, zna dokładnie protokół HTTP, ale prosi system o to, aby w jej imieniu tę komunikację obsługiwał. Samo wywołanie funkcji systemowej odbywa się „otwartym tekstem”. Oznacza to, że pomiędzy przeglądarką a warstwą systemową te dane są czytelne i podatne na modyfikacje przez złośliwe oprogramowanie zainstalowane w systemie klienta.

Możliwość pokonania bezpiecznej w odczuciu użytkowników bariery, jaką jest SSL, to nie jedyna przyczyna upowszechnienia się hakerskich ataków. Dariusz Wojtas, przedstawiciel IMPAQ, przypomniał, że obniżył się „próg wejścia” do hakerskiego światka; dziś udany cyberatak przeprowadzić może… średnio uzdolniony licealista. – Problemem tak naprawdę nie jest to, jak się włamywać do takiej aplikacji – ale jak dystrybuować ten malware. Stąd zalew e- -maili podobnych do normalnych faktur, e-maili biznesowych z załącznikami czy linkami do złośliwych stron. Rzecz w tym, żeby użytkownik kliknął, zainfekował swój komputer – zauważył.

Nie ma co ukrywać, iż banki mają w tej dziedzinie niełatwe zadanie do rozwiązania. Problemem nie są bowiem jedynie coraz lepiej zorganizowani i przygotowani cyberprzestępcy, ani nawet coraz bardziej restrykcyjne wymogi nadzorcze – co ujawnia się chociażby we wchodzących niebawem w życie rekomendacjach KNF. Zadania nie ułatwia przede wszystkim sam klient – coraz bardziej przyzwyczajony do „jednego kliknięcia”, frustrujący się na samą myśl o kolejnym PIN-ie, tokenie czy karcie kodów jednorazowych. – Dochodzi do tego kolejny czynnik – ocenia Maciej Musialski z banku BPH – nie wszystkim zagrożeniom jesteśmy w stanie z poziomu banku przeciwdziałać. Tak naprawdę musimy pozyskać do współpracy klienta – przekonać go, żeby dbał o bezpieczeństwo własnego sprzętu i aplikacji – tymczasem jest to znacznie trudniejsze, gdyż to klient zazwyczaj oczekuje czegoś od banku, a nie odwrotnie.

Wprawdzie najnowsza rekomendacja kładzie duży nacisk na informowanie klientów – to jednak te informacje mogą zginąć w zalewie innych informacji marketingowych, trafiających na skrzynkę e-mailową klienta.

Z kolei dyrektor IMPAQ Dariusz Wojtas przypomniał, że zagrożenie może pojawić się dosłownie wszędzie – nawet w dokumentach od z pozoru pewnych nadawców. – Dziś, kiedy za pośrednictwem e-maila otrzymujemy faktury w postaci załączników, czasami trudno rozróżnić, co stanowi malware. Ja sam niedawno, kiedy otrzymałem pocztą rachunek za telefon, nie byłem pewien, czy to rzeczywiście załącznik znanej mi firmy. Załączniki bywają preparowane tak, że nawet jeśli coś wygląda na dokument, to może w środku się czaić złośliwe oprogramowanie. Edukacja klientów jest tu niezmiernie istotna – niezależnie od tego, w jaki sposób się chronimy. Trzeba uczyć klientów krytycznego patrzenia na pocztę e-mailową.

Na kluczową rolę edukacji użytkowników zwrócił uwagę ...