Najnowszy atak ma być największą tego typu akcją w historii polskiej bankowości elektronicznej. Ale zanim ze strachu zamkniecie dostęp do swojego rachunku przez internet, przeczytajcie ten tekst
O wykryciu programu GozNym poinformowała wczoraj firma IBM X-force. GozNym ma się instalować na komputerze ofiary i przejmować nad nim kontrolę. Jeżeli użytkownik zechce zalogować się na swoje konto w banku, GozNym nie pozwoli mu na to, tylko wyświetli wierną kopię strony bankowej. Podając na niej login i hasło właściciel rachunku faktycznie zdradzi je przestępcom.
Ale czy to oznacza, że od wczoraj klienci banków z Polski stali się bezbronni i najlepiej, aby już dziś zlikwidowali zdalny dostęp do swoich rachunków? Tego typu złośliwe oprogramowanie jak GozNym znane jest od dłuższego czasu. O skutkach zainfekowania nim komputera pisałem już kilka miesięcy temu w tekście, który znajdziecie tutaj. Atakujący GozNym nie odkryli Ameryki tworząc ten program, dzięki czemu wiadomo dość dobrze, jak się przed nim bronić.
Po pierwsze więc, aby przestępcy mogli zdobyć kontrolę nad Waszym komputerem, musicie ich sami do niego wpuścić. Zazwyczaj odbywa się to poprzez otworzenie pliku znajdującego się w mejlu od przypadkowego nadawcy albo w poczcie udającej tę z banku. Zachowajcie więc ostrożność zanim na przykład otworzycie załącznik z banku, który straszy Was podaniem do sądu za niespłacony kredyt. Czy na pewno pożyczaliście od niego pieniądze? Jeżeli macie wątpliwości, lepiej zadzwońcie na infolinię.
Po drugie, aby wyczyścić Wam rachunek z pieniędzy przestępcy potrzebują autoryzacji przelewu hasłem jednorazowym. To musicie podać sami. Zanim więc wpiszecie je w systemie transakcyjnym, sprawdźcie koniecznie, czy numer konta odbiorcy przelewu jaki widnieje w SMS-ie z hasłem jednorazowym zgadza się z numerem rachunku odbiorcy, do którego chcecie wysłać pieniądze. Jeżeli korzystacie jeszcze z haseł na papierowej liście, zmieńcie je na SMS-owe. Są bezpieczniejsze, choć narażają użytkownika na inne ryzyko. Znane są trojany, które potrafią przejąć kontrolę także nad telefonem. Ale w tym celu musicie im podać numer swojej komórki.
Nie oznacza to oczywiście, że GozNym należy zbagatelizować. Zwłaszcza, że skala tego ataku ma być duża. Cyberprzestępcom udało się ponoć skopiować strony 17 banków komercyjnych oraz ponad 200 banków spółdzielczych. Zachowajcie więc większą niż zwykle ostrożność przy korzystaniu z internetu oraz smartfona. Takiego diabelstwa jak GozNym w internecie jest więcej. Ostrzega przed nim Związek Banków Polskich, o czym możecie przeczytać tutaj.
Natomiast o najnowszym ataku rozmawiam z Marcinem Ludwiszewskim, liderem obszaru cyberbezpieczeństwa Deloitte w Polsce.
Od wczoraj media alarmują o ataku na kilkanaście banków komercyjnych i ponad 200 spółdzielczych przez nowe oprogramowanie o nazwie GozNym. Co to jest?
GozNym to złośliwe oprogramowanie zwane malware. Malware istnieje tak długo, jak istnieją komputery i w tym sensie GozNym nie jest niczym nowym. Ponadto malware, którego celem jest przechwycenie danych wrażliwych użytkowników, w tym umożliwiających przeprowadzenie nieautoryzowanej transakcji finansowej, rozwijany jest od wielu lat. Wcześniej mieliśmy do czynienia z takimi programami jak zeus, dyre, tinba, dridex i wiele innych. GozNym jest kolejnym przedstawicielem tego zjawiska.
W jaki sposób przeprowadzany jest atak?
Kluczowym momentem jest zainfekowanie komputera. Z ogólnych informacji dostępnych o GozNym wynika, że oprogramowanie podkłada stronę użytkownikowi, która imituje prawdziwy bank (podobna treść strony, połączenie szyfrowane, nazwa banku oryginalna). Do ataku może dojść w różnych okolicznościach, ale w większości przypadków konieczne jest działanie samego użytkownika komputera, np. poprzez otwarcie załączonego do mejla pliku, w którym ukryty jest złośliwy program. Ogólnie, twórcy malware stosują różne socjotechniki mające do tego ofiarę nakłonić, np. podszywają się pod departament windykacji banku i grożą zablokowaniem rachunku. Dodają jednocześnie, że informacje mogące temu zapobiec znajdują się w załączonym pliku.
Do infekcji może dojść także w trakcie odwiedzania stron internetowych o niskiej reputacji. Zaliczamy do nich nie tylko witryny pornograficzne, ale też na przykład te oferujące gry hazardowe. Zdarza się, że do infekcji dochodzi także za pośrednictwem zaufanej witryny, która została wcześniej przejęta w celu wykorzystania jej do ataku.
Jak zatem bronić się przed tego rodzaju atakiem?
Przede wszystkim zachować czujność. Trzeba pamiętać, że twórcy złośliwego oprogramowania cały czas rozwijają swoje narzędzia do wykradania danych. Z punktu widzenia użytkownika indywidualnego nie można całej obrony przed nim powierzyć programowi antywirusowemu. Nie należy otwierać załączników z mejli od nieznanych nadawców i zastanowić się nad otwieraniem plików z niezaufanych źródeł, przesłanych przez nieznanego nadawcę, funkjconalnych exe oraz innych, o nienaturalnych rozszerzeniach.
Trzeba też starać się nie odwiedzać stron o niskiej reputacji z tego samego sprzętu, na którym odbywa się logowanie do banku a jeżeli nie ma takiej możliwości, to przynajmniej korzystać przy tym z innych przeglądarek. Przy autoryzacji transakcji zawsze sprawdzać, czy podana część numeru rachunku (zwykle kilka cyfr początkowych i końcowych) przesyłana w SMS-ie z banku wraz z hasłem jednorazowym zgadza się z numerem rachunku na jaki zamierza się wysłać pieniądze. W przypadku firm warto skupić się na uświadamianiu oraz usprawnieniu środków organizacyjnych i technicznych w celu ochrony przed atakami.
O GozNym mówi się jako ataku na banki. A z tego co Pan mówi wynika, że jest to bardziej atak na klientów banków a nie na same instytucje.
W tym wypadku tak, bo to klient jest postrzegany jako najsłabsze ogniwo. Przestępcy wykorzystują botnety, czyli ogromne sieci zainfekowanych komputerów do przeprowadzania ataków na wielką skalę, a także inną infrastrukturę i różne techniki ochrony (szyfrowanie komunikacji, dynamiczne generowanie domen, itp.), utrudniające organom ścigania walkę z nimi. Botnety wykorzystywane są do masowego wysyłania maili do tysięcy czy nawet milionów adresatów i zazwyczaj znajduje się ktoś nieostrożny, kto da się złapać w pułapkę i otworzy załączony plik z wirusem czy trojanem. Im więcej wysłanych mejli tym potencjalny zysk z takiego ataku większy. Są też ataki ukierunkowane na wąskie grupy użytkowników (tzw. spearphishing).
Ale nie należy zapominać o tym, że przedmiotem ataku może stać się także system bankowy. Źródłem infekcji może być na przykład komputer jednego z pracowników, który otworzy na nim zainfekowany plik. Zdarzają się również błędy w samej infrastrukturze sektora finansowego. Jak podają najświeższe źródła, w niedawno przeprowadzonym ataku na bank centralny Bangladeszu prawdopodobnie wykorzystano lukę w samym systemie Swift.
Dziękuję za rozmowę