BANK 2018/06

Temat numeru – Technologie mobilne: Drzwi dla hakerów

Marcin Podleśny
Temat numeru – Technologie mobilne: Drzwi dla hakerów
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Technologie mobilne są i będą w centrum uwagi hakerów z powodu ich postępującego upowszechnienia. Szacuje się, że w roku 2020 aż 80% globalnej populacji będzie korzystała ze smartfonów. Czy dlatego tak trudno chronić kanały mobilne przed atakami?

Marcin Podleśny

Cyfrowa rewolucja przenosi coraz to nowe sfery naszego życia do tych urządzeń. Jak informuje Michał Kurek, partner w dziale usług doradczych, szef zespołu cyberbezpieczeństwa w KPMG w Polsce, lider polskiego oddziału OWASP, pokolenie Z i millenialsi średnio zaglądają do swojego telefonu co 10 minut. Smartfony są dziś zbiorem niezwykle wrażliwych danych osobistych – prywatnych zdjęć i filmów, informacji o naszej lokalizacji, a często też o naszym stanie zdrowia. Są stale podłączone do sieci, a pod kontrolą hakera zmieniają się w groźne urządzenie szpiegujące, mogące nas podsłuchiwać, obserwować i lokalizować.

Smartfony coraz częściej wykorzystujemy też do wykonywania płatności oraz do zarządzania naszymi finansami. W naturalny więc sposób grupy przestępcze szukające możliwości łatwego wzbogacenia się, zaczynają intensywnie próbować przeróżnych sposobów, by wykorzystać tę technologię do przeprowadzenia skutecznych ataków.

Bankowość internetowa sprawiła, że transakcje są wygodniejsze i szybciej realizowane. Użytkownicy oszczędzają czas, a banki pieniądze, ponieważ nakłady na obsługę klienta się zmniejszają. Według badania „Płatności cyfrowe 2017”, przeprowadzonego na zlecenie Izby Gospodarki Elektronicznej, Polacy coraz chętniej korzystają z elektronicznych usług finansowych i transakcyjnych. W październiku 2017 r. aż 45% osób posiadało konto bankowe z aktywnym dostępem przez internet, a 29% korzystało z aplikacji płatniczych na urządzeniach mobilnych.

– Zazwyczaj jest tak, że jeśli coś staje się prostsze, cierpi na tym bezpieczeństwo. Klienci są bardzo zróżnicowani pod względem umiejętności obsługi bankowości oraz świadomości zagrożeń. Tym samym użytkownicy, którzy są mniej wyczuleni na zagrożenia mogą być bardziej podatni na cyberataki – przekonuje Leszek Tasiemski, wiceprezes ds. badań i rozwoju w firmie F-Secure.

Uniwersalna naiwność

W ślad za dynamicznym upowszechnieniem się technologii mobilnych w zawrotnym tempie rosną cyberzagrożenia charakterystyczne dla tego kanału. Według statystyk CERT Orange Polska w ubiegłym roku ponad trzykrotnie wzrosła liczba zagrożeń dotyczących urządzeń mobilnych. Obecnie już co czwarty cyberatak kierowany jest na nie.

Cyberprzestępcy śledzą trendy i szybko dostosowują się do nich. Wraz z rosnącą liczbą użytkowników smartfonów, wykorzystujących je do coraz rozmaitszych czynności, rośnie również liczba nowych rodzin złośliwego oprogramowania na urządzenia mobilne. Warto zauważyć, że niektóre ataki, takie jak phishing, są niezależne od systemu operacyjnego czy urządzenia – jeśli użytkownik korzysta z poczty oraz przeglądarki, to narażony jest na taki atak.

– W ostatnich miesiącach informowaliśmy o kilku fałszywych aplikacjach, dostępnych w Google Play, które atakowały użytkowników polskich banków. Jedną z nich była „Bankowość uniwersalna Polska”, tylko pozornie agregująca formularze logowania do 21 polskich banków. Nieświadomi użytkownicy, podając swoje prawdziwe loginy oraz hasła, mogli sądzić, że logują się do swoich rachunków. Niestety aplikacja została tak skonstruowana, by służyła do kradzieży danych logowania do rachunków bankowych, a następnie do wyprowadzania z nich pieniędzy – informuje Kamil Sadkowski, analityk zagrożeń w ESET.

Mobile na celowników hakerów

W roku 2017 w sklepie GooglePlay pojawiły się dwie aplikacje. Pierwsza – CryptoMonitor, teoretycznie miała służyć do obserwacji kursów kryptowalut, zaś druga – StorySaver, miała pobierać stories z Instagrama. Obydwie poza swoimi podstawowymi funkcjami wyświetlały komunikaty do złudzenia przypominające bankowe i formularze do logowania. Obydwie mogły przechwytywać komunikacje bankowości elektronicznej. Ofiarami padli klienci aż czternastu banków w Polsce. Nieco inna historia dotknęła w 2016 r. Tesco Bank w Wielkiej Brytanii. Hakerzy wykorzystali luki w zabezpieczeniach i dzięki nim pobierali drobne kwoty z kont klientów. Bank był wcześniej informowany o lukach, ale zignorował ostrzeżenia ekspertów. Straty sięgnęły 2,5 mln funtów.

Źródło: Cybercom Poland

Dlaczego kanały mobilne trudniej chronić przed cyberzagrożeniami? Wydaje się, że główną rolę odgrywa brak świadomości zagrożeń wśród użytkowników, bo sama technologia mobilna może być bezpieczniejsza od rozwiązań stosowanych w domowych pecetach.

Leszek Tasiemski twierdzi, że ze względu na izolację aplikacji na platformach mobilnych są one generalnie bardziej bezpieczne niż tradycyjne systemy operacyjne z aplikacjami przeglądarkowymi. W przypadku platform mobilnych za każdą czynność najczęściej odpowiada inna aplikacja – np. bankowa, związana z konkretnym portalem społecznościowym czy aukcyjnym. Przepływ danych między tymi aplikacjami jest z reguły całkowicie zablokowany albo przynajmniej znacząco ograniczony, co również ma wpływ na bezpieczeństwo.

Kanały mobilne będą coraz częściej wykorzystywane do prób kradzieży danych lub środków finansowych użytkowników smartfonów. Jednym z powodów jest rosnąca liczba osób korzystających z tych technologii. Przestępcy mogą także liczyć na pomyłki użytkowników, związane ze sposobem korzystania z urządzeń mobilnych.

 

Przed instalacją należy jednak zwrócić uwagę czy aplikacja jest oficjalna i pochodzi od rzeczywistego dostawcy. Zdarzają się przypadki przejęcia danych logowania do konta bankowego za pomocą sfałszowanych aplikacji. Cyberprzestępcy nazywają je podobnie do tych oficjalnych oraz próbują odzwierciedlić znaną użytkownikom szatę graficzną, co w praktyce ma na celu przejęcie hasła. Dobrze jest również upewnić się czy strona internetowa banku prowadzi do tej samej aplikacji, którą mamy zamiar pobrać ze sklepu, spojrzeć na opinie użytkowników i pamiętać, że należy zaprzestać logowania się i zgłosić problem do banku, jeżeli tylko coś wyda nam się podejrzane. Warto przede wszystkim zainstalować na urządzeniu mobilnym oprogramowanie ochronne, które nie tylko strzeże przed wirusami, ale blokuje szkodliwe strony internetowe czy uniemożliwia nawiązanie połączenia z innymi witrynami w czasie transakcji bankowych. Oczywiście podstawowym środkiem bezpieczeństwa jest stosowanie skomplikowanych haseł – innych do każdego z odwiedzanych serwisów.

– Z technicznego punktu widzenia zabezpieczenia zaszyte w nowoczesnych systemach operacyjnych urządzeń mobilnych w lepszym stopniu wymuszają separację danych pomiędzy poszczególnymi aplikacjami, w porównaniu z klasycznymi komputerami stacjonarnymi. Oczywiście dotyczy to urządzeń mobilnych, w których zabezpieczenia producenta nie zostały przez użytkownika (albo hakera) zdjęte – czyli gdzie nie została przeprowadzona procedura tzw. jail brake’u (iOS) lub rootowania (Android). Zdecydowanie odradzałbym wykorzystywanie tego typu zmodyfikowanych urządzeń do przetwarzania wrażliwych, osobistych informacji – wyjaśnia Michał Kurek.

W odróżnieniu od komputerów stacjonarnych, telefony są z kolei bardziej narażone na ataki z sieci bezprzewodowych oraz na kradzież i ingerencję fizyczną. Dlatego niezwykle istotne jest zabezpieczenie ich odpowiedniej jakości mechanizmem uwierzytelniającym, jak również rozwaga w nawiązywaniu połączeń z niezaufanymi sieciami i urządzeniami bezprzewodowymi.

Mobile na celowników hakerów

W roku 2017 w sklepie GooglePlay pojawiły się dwie aplikacje. Pierwsza – CryptoMonitor, teoretycznie miała służyć do obserwacji kursów kryptowalut, zaś druga – StorySaver, miała pobierać stories z Instagrama. Obydwie poza swoimi podstawowymi funkcjami wyświetlały komunikaty do złudzenia przypominające bankowe i formularze do logowania. Obydwie mogły przechwytywać komunikacje bankowości elektronicznej. Ofiarami padli klienci aż czternastu banków w Polsce. Nieco inna historia dotknęła w 2016 r. Tesco Bank w Wielkiej Brytanii. Hakerzy wykorzystali luki w zabezpieczeniach i dzięki nim pobierali drobne kwoty z kont klientów. Bank był wcześniej informowany o lukach, ale zignorował ostrzeżenia ekspertów. Straty sięgnęły 2,5 mln funtów.

Telegram nowym kanałem dla cyberprzestępczości

Dark web nie jest już jedynym ulem działań półświatka cyberprzestępczego. Jak odkrył zespół badawczy firmy Check Point Software Technologies, zamknięcie takich rynków dark webu, jak Hansa Market i Alpha Bay przez organy ścigania w USA i Europie doprowadziło do przeniesienia się przestępców na zupełnie inny, nowy kanał dystrybucji. Aby uniknąć interwencji organów ścigania, kontynuują swoją działalność, korzystając z szyfrowanej aplikacji mobilnej Telegram.

Grupy dyskusyjne hostowane przez Telegram, znane jako „kanały”, mogą być używane do rozsyłania wiadomości o w zasadzie nieograniczonej liczbie subskrybentów z jednoczesnym zachowaniem dużej dyskrecji dzięki odpowiedziom z pominięciem innych użytkowników oraz szyfrowaniu wiadomości.

W przeszłości należało wykonać kilka kroków, by połączyć się z darknetem za pośrednictwem platformy TOR. Dziś każdy użytkownik Telegrama może dołączyć do podejrzanych lub mówiąc wprost – nielegalnych kanałów, dzięki jednemu kliknięciu w telefonie, zachowując przy tym pełną anonimowość. Przykładami są np. kanały „Dark Jobs”, „Dark Work” oraz „Black Market”, choć, jak informuje Check Point, jest ich zdecydowanie więcej. Dla przykładu „Dark Jobes” oferuje płatne „prace” czy też zadania, które są uszeregowane kolorami – czarne związane są z wysokim ryzykiem prawnym; szare i białe są mniej niebezpieczne. Kanały te nie ograniczają się jednak wyłącznie do komunikacji między rekruterami a osobami poszukującymi zarobków. Można tu również znaleźć reklamy sprzedaży skradzionych dokumentów lub narzędzi hakerskich. Jest to szczególnie niepokojące, biorąc pod uwagę dostępność kanałów oraz częste obietnice wysokich wynagrodzeń. W rezultacie stwarza to ryzyko wzrostu wskaźnika cyberprzestępczości, ponieważ propozycje te są nie tylko otwarcie wprowadzane na rynek, ale również dostępne dla niedoświadczonych użytkowników, dzięki czemu niebezpieczne narzędzia są teraz w zasięgu niemal każdego.

Ostatnie wersje

Jak każde oprogramowanie, systemy operacyjne urządzeń mobilnych nie są pozbawione błędów programistycznych. Niektóre z nich mogą zostać wykorzystane przez hakerów nawet do przejęcia pełnej kontroli nad naszym urządzeniem. Dlatego niezwykle ważne jest, aby na bieżąco aktualizować oprogramowanie systemu operacyjnego i zainstalowanych aplikacji. Jeśli korzystamy ze starego telefonu, dla którego nie można już pobrać i zainstalować aktualizacji – poważnie rozważmy jego wymianę, a na pewno zaprzestańmy wykorzystywania go do wrażliwych czynności (np. autoryzacji przelewów bankowych).

– Sposób ochrony smartfonów różni się od zabezpieczania komputerów stacjonarnych. Z jednej strony programy zabezpieczające system Windows mają nieco większe możliwości ochrony w porównaniu z Androidem – wynika to z różnic w architekturze obu systemów. Z drugiej strony, to właśnie dzięki tej innej architekturze wszelkie złośliwe aplikacje na Androida mają ograniczone pole manewru – odinstalowanie szkodliwej aplikacji zwykle wystarcza, aby całkowicie pozbyć się zagrożenia, nie ma więc konieczności reinstalacji całego systemu operacyjnego. Na pewno warto zauważyć, że wiele urządzeń z Androidem nie otrzymuje automatycznie aktualizacji systemu, a to zwiększa ryzyko skutecznych ataków z wykorzystaniem znanych luk w nim. Poza tym, korzystając z e-bankowości przez przeglądarkę na komputerze, możemy łatwo sprawdzić adres, pod którym logujemy się do naszego banku. Natomiast korzystając z aplikacji na urządzeniu mobilnym, użytkownikowi może być trudniej odróżnić fałszywe okno lub powiadomienie od prawdziwego – zauważa Kamil Sadkowski.

Kanały mobilne będą coraz częściej wykorzystywane do prób kradzieży danych lub środków finansowych użytkowników smartfonów. Z pewnością jednym z powodów jest rosnąca liczba osób korzystających z tych technologii, przez co atakujący mają szansę dotrzeć do znaczącej liczby potencjalnych ofiar. Jednocześnie przestępcy mogą także liczyć na pomyłki popełniane przez użytkowników, związane ze sposobem korzystania z urządzeń mobilnych. Przede wszystkim mam na myśli łatwość instalowania kolejnych aplikacji, nie zawsze dobrze sprawdzonych przez użytkownika np. pod kątem ich wiarygodności/opinii/liczby instalacji. Po drugie, warunki, w jakich korzysta się bardzo często ze smartfonów – np. śpiesząc się, jadąc komunikacją miejską czy choćby w trakcie rozmowy z innymi osobami – nie sprzyjają spokojnemu zastanowieniu się np. przed uruchomieniem linka, który otrzymaliśmy mailem, zaakceptowaniem komunikatu, który aplikacja wyświetliła, czy zdecydowaniem o podłączeniu do kolejnej znalezionej sieci bezprzewodowej.

– Stąd z jednej strony trzeba cały czas doskonalić zabezpieczenia bankowych aplikacji mobilnych, a z drugiej stale uświadamiać użytkowników technologii internetowych jako takich, przypominać dobre praktyki, ostrzegać przed bieżącymi zagrożeniami i pokazywać sposoby ograniczania ryzyka – podsumowuje Piotr Miernikiewicz, ekspert ds. bezpieczeństwa informacji w Banku Credit Agricole.