Wyzwania informatyki bankowej 2016
wyzwania_informatyki_bankowej_0 wyzwania_informatyki_bankowej_0
i wewnętrznego nadzoru w poszczególnych bankach gromadzona jest wiedza o podejrzanych kontach i transakcjach, jednak zwykle ograniczona do konkretnej organizacji, podczas gdy cyberprzestępcy swobodnie mogą korzystać z kont w różnych bankach do prowadzenia swych operacji. Zasadniczo problemem w takich atakach jest osoba klienta i jego urządzenia – komputery czy urządzenia mobilne. Zgodnie z wynikami analizy ankiet zebranych w bankach przez KNF, łącznie ok. 40% incydentów jest powiązanych właśnie z infrastrukturą klientów. Ci ostatni są bowiem podatni na manipulacje i emocje, które skłaniają do nieostrożnych zachowań, a do tego same urządzenia są podatne na skompromitowanie poprzez zainfekowanie oprogramowaniem dystrybuowanym przez Internet (e-mail z niebezpiecznym kodem, złośliwe strony internetowe, serwisy pirackiego software’u) i niejednokrotnie nie wystarczy rekomendowana przez banki „higiena”: regularne łatanie oprogramowania, aktualne bazy oprogramowania antywirusowego i użycie firewalla. Ale nie można zapominać, że po drugiej stronie są ci, którzy to oprogramowanie dystrybuują oraz wykorzystują i to z nimi toczy się walka. Kolejnym zjawiskiem jest pojawienie się zaawansowanych ataków ukierunkowanych (APT, z ang. Advanced Persistent Threats) – są to jedne z najbardziej niebezpiecznych ataków i to na firmy, a nie na ich klientów. Rynek cyberprzestępczości, jeśli możemy mówić o rynku, profesjonalizuje się. Organizacje przestępcze zaczynają działać podobnie do organizacji IT – kupują pakiet oprogramowania od wyspecjalizowanych dostawców, do tego stosowne wsparcie, zatrudniają administratorów oraz specjalistów od inżynierii społecznej, inwestują w infrastrukturę licząc na zwrot z inwestycji przy niewielkim ryzyku. Zwykle na celowniku przestępców jest kilka banków, pod które parametryzują oprogramowanie pod kątem ich systemów, co widać po analizie malware’u. Ataki APT wymagają czasu, pieniędzy i wiedzy niezbędnej do przeprowadzenia ataku, co łącznie prowadzi do przekonania, że są możliwe do wykonania wyłącznie przez zorganizowaną przestępczość. Klienci tych organizacji już nie muszą takiej wiedzy posiadać – przykładem użytkownicy trojanów ZeuS czy SpyEye, którzy wykorzystują je do „zarabiania” pieniędzy nie mając większej wiedzy o sposobie budowy tego narzędzia. Emanacją ataku APT były również w ostatnich trzech latach narzędzia i metody znane pod nazwą Carbanak – spektakularny atak z uwagi na skalę skutecznego dokonania nadużyć (ponad 100 banków w 30 krajach!). Atak ten łączył użycie złośliwego oprogramowania z wypracowanymi praktykami, Bankowy CERT – nowa broń w walce z cyberprzestępczością 183
które łącznie pozwoliły wyprowadzić, jak się szacuje, 1 mld dolarów. Scenariusz ataku zakładał użycie złośliwego oprogramowania Carbanak dystrybuowanego przez e-mail. Od momentu infekcji stanowiska pracowników były monitorowane, włączając w to rejestrowanie wciśniętych klawiszy, zrzuty ekranu, nawet wideo. Atakujący udawał pracownika w celu wyprowadzenia pieniędzy; nie było zatem ważne, jakie oprogramowanie było wykorzystywane. Dokonywano również manipulacji saldami kont, więc właściciel konta nie widział żadnej różnicy. Atakującym udało się wręcz przeprogramować bankomaty tak, aby wydawały środki w określonym czasie, nawet bez fizycznej aktywności użytkownika. Mimo podobieństwa scenariusza ataku w każdym z banków, gdzie atak trwał od dwóch do czterech miesięcy, można przypuszczać, że w sytuacji tak rozproszonych geograficznie ataków poszczególne banki nie miały wiedzy o tym, co spotkało ich zagraniczną konkurencję. Kaspersky Lab doniósł niedawno, że robak ten zyskał w 2015 r. nową odsłonę – Carbanak 2.0; pojawiły się też inne zagrożenia o podobnym charakterze: Metel oraz GCMan, gdzie grupy przestępcze realizują podobny scenariusz, atakując organizacje finansowe poprzez ukradkowy rekonesans, wykorzystując dedykowane oprogramowanie, typowe narzędzia zdalnej administracji oraz nowe techniki mające na celu kradzież pieniędzy. Dzisiaj każdy z banków na własną rękę walczy z tym zagrożeniem, blokując w miarę możliwości podejrzany ruch oraz informując o prowadzonych kampaniach przestępczych swych klientów i pracowników, bo w zasadzie niewiele więcej może samodzielnie zrobić. Walka z przestępcami nieustanie trwa. Zorientowali się oni, że banki coraz sprawniej wychwytują transakcje mające znamiona anomalii – co dla transakcji przez konta-słupy miało do tej pory miejsce (długi okres uśpienia i kilka transakcji na dużą kwotę), w związku z czym wkładają więcej sił i energii w upodobnienie działania do charakterystyki ruchu klientów, np. poprzez zwiększenie liczby i zmniejszenie wartości przelewów lub chowanie ich wśród innych przelewów o podobnej charakterystyce. W takiej sytuacji wiedza o tym, że dany rachunek, mimo iż nie budzi podejrzeń w danym banku, w innym został uznany za podejrzany, ma istotne znaczenie dla minimalizacji strat. Powyższe obserwacje umożliwiają postawienie tezy, że gdyby organizacje bankowe mogły i współpracowały bliżej ze sobą, w skali krajowej i międzynarodowej, istnieje prawdopodobieństwo, iż przeciwdziałanie przestępczym operacjom byłoby skuteczniejsze. 184 Adam Marciniak, PKO BP
- Page 134 and 135: Płatności G2C oraz G2B W przyszł
- Page 136 and 137: Andrzej Kawiński, Giesecke & Devri
- Page 138 and 139: nia jest ograniczona, co ogranicza
- Page 140 and 141: W Polsce Państwowa Wytwórnia Papi
- Page 142 and 143: Europejskie standardy przechowywani
- Page 144 and 145: gotówka (często liczona, paczkowa
- Page 146 and 147: urządzeń zainstalowanych w sortow
- Page 148 and 149: Zagraniczne doświadczenia pokazuj
- Page 150 and 151: Andrzej Gibas, Microsoft, Karol Maz
- Page 152 and 153: • duża zmienność rynków i wra
- Page 154 and 155: Dominujące dzisiaj podejście do a
- Page 156 and 157: procesorów budowanych w oparciu o
- Page 158 and 159: SDC uzyskało oszczędności na poz
- Page 160 and 161: też zostanie przeprowadzony jednor
- Page 163 and 164: Aleksander P. Czarnowski Prezes AVE
- Page 165 and 166: z co najmniej 2-, a jeszcze lepiej
- Page 167 and 168: Ransomware czyli różne oblicza sz
- Page 169 and 170: system nigdy nie dostarcza pełnego
- Page 171 and 172: Rys 2. Przykład fałszywej wiadomo
- Page 173 and 174: IoT Internet of Things z pewności
- Page 175 and 176: Podatności w SSL/TLS oraz algorytm
- Page 177 and 178: instalacja i konfiguracja serwera S
- Page 179 and 180: w krótkim czasie. Dla niektórych
- Page 181 and 182: Adam Marciniak Dyrektor Pionu Rozwo
- Page 183: 50 tys. komputerów w tym samym cza
- Page 187 and 188: skutkując izolacją kraju od reszt
- Page 189 and 190: tacji branżowych narodziła się k
- Page 191 and 192: Ciekawym przykładem z ojczyzny Int
- Page 193 and 194: Z inicjatywy Rady Bankowości Elekt
- Page 195: • Opracowanie ogólnobankowej, sp
- Page 198 and 199: Maciej Gawroński, Sławomir Szepie
- Page 200 and 201: • Sprecyzowanie katalogu wyłącz
- Page 202 and 203: • Płatnik (posiadacz rachunku ba
- Page 204 and 205: Zagraniczne podmioty profesjonalnie
- Page 206 and 207: gulacje odnośnie opłat interchang
- Page 208 and 209: nikacji między poszczególnymi pod
które łącznie pozwoliły wyprowadzić, jak się szacuje, 1 mld dolarów. Scenariusz<br />
ataku zakładał użycie złośliwego oprogramowania Carbanak dystrybuowanego<br />
przez e-mail. Od momentu infekcji stanowiska pracowników były<br />
monitorowane, włączając w to rejestrowanie wciśniętych klawiszy, zrzuty<br />
ekranu, nawet wideo. Atakujący udawał pracownika w celu wyprowadzenia<br />
pieniędzy; nie było zatem ważne, jakie oprogramowanie było wykorzystywane.<br />
Dokonywano również manipulacji saldami kont, więc właściciel konta nie<br />
widział żadnej różnicy. Atakującym udało się wręcz przeprogramować bankomaty<br />
tak, aby wydawały środki w określonym czasie, nawet bez fizycznej<br />
aktywności użytkownika. Mimo podobieństwa scenariusza ataku w każdym<br />
z banków, gdzie atak trwał od dwóch do czterech miesięcy, można przypuszczać,<br />
że w sytuacji tak rozproszonych geograficznie ataków poszczególne<br />
banki nie miały wiedzy o tym, co spotkało ich zagraniczną konkurencję. Kaspersky<br />
Lab doniósł niedawno, że robak ten zyskał w 2015 r. nową odsłonę<br />
– Carbanak 2.0; pojawiły się też inne zagrożenia o podobnym charakterze:<br />
Metel oraz GCMan, gdzie grupy przestępcze realizują podobny scenariusz,<br />
atakując organizacje finansowe poprzez ukradkowy rekonesans, wykorzystując<br />
dedykowane oprogramowanie, typowe narzędzia zdalnej administracji<br />
oraz nowe techniki mające na celu kradzież pieniędzy. Dzisiaj każdy z banków<br />
na własną rękę walczy z tym zagrożeniem, blokując w miarę możliwości<br />
podejrzany ruch oraz informując o prowadzonych kampaniach przestępczych<br />
swych klientów i pracowników, bo w zasadzie niewiele więcej może samodzielnie<br />
zrobić.<br />
Walka z przestępcami nieustanie trwa. Zorientowali się oni, że banki coraz<br />
sprawniej wychwytują transakcje mające znamiona anomalii – co dla transakcji<br />
przez konta-słupy miało do tej pory miejsce (długi okres uśpienia i kilka<br />
transakcji na dużą kwotę), w związku z czym wkładają więcej sił i energii<br />
w upodobnienie działania do charakterystyki ruchu klientów, np. poprzez<br />
zwiększenie liczby i zmniejszenie wartości przelewów lub chowanie ich wśród<br />
innych przelewów o podobnej charakterystyce. W takiej sytuacji wiedza o tym,<br />
że dany rachunek, mimo iż nie budzi podejrzeń w danym banku, w innym został<br />
uznany za podejrzany, ma istotne znaczenie dla minimalizacji strat.<br />
Powyższe obserwacje umożliwiają postawienie tezy, że gdyby organizacje<br />
bankowe mogły i współpracowały bliżej ze sobą, w skali krajowej i międzynarodowej,<br />
istnieje prawdopodobieństwo, iż przeciwdziałanie przestępczym<br />
operacjom byłoby skuteczniejsze.<br />
184 Adam Marciniak, PKO BP