Liczba ataków phishingowych wzrosła o 220 proc. w szczycie pandemii, w porównaniu do średniej rocznej. Phishingu jest o 15 proc. więcej rok do roku. Tak wynika z raportu z raportu amerykańskiej firmy informatycznej F5 Labs pt. "Raport o wyłudzeniu informacji i oszustwach 2020". Eksperci przewidują, że druga fala pandemii zwiększy ich liczbę.
- Ryzyko wyłudzenia informacji jest większe niż kiedykolwiek, a oszuści coraz częściej używają certyfikatów cyfrowych, aby ich witryny wyglądały na autentyczne – mówi Ireneusz Wiśniewski, dyrektor zarządzający F5 Poland. Problem dostrzega też Komisja Nadzoru Finansowego, która zwraca uwagę, że pandemia przyczyniła się też do rozwoju elektronicznych kanałów dostępu do usług bankowych - taki kontakt preferuje coraz więcej klientów. Tyle, że z informacji KNF uzyskanych z różnych źródeł wynika, że świadomość klientów co do zagrożeń związanych z korzystaniem z nowoczesnych technologii jest niedostateczna. - Nie znają oni podstawowych zasad bezpieczeństwa korzystania ze zdalnych kanałów dostępu do usług finansowych związanych z powierzonymi środkami pieniężnymi. To wymusza działania po stronie sektora - przypomina Jacek Jastrzębski, przewodniczący KNF w liście do sektora bankowego. Na co zwrócił uwagę i czego oczekuje?
Czytaj również: Cyberprzestępcy podszywają się pod Pocztę Polską, chcą wyłudzić dane lub pieniądze >>
Niebezpieczne działania
Nadzór oczekuje wdrożenia w systemie transakcyjnym funkcjonalności, która da klientowi możliwość ustawienia potwierdzenia silnym uwierzytelnieniem każdej płatności. - Dostawcy usług bankowych powinni mieć świadomość, że podejmowane przez nich indywidualne inicjatywy, które w ich ocenie nie wpływają negatywnie na poziom ryzyka w obszarze prowadzonej działalności biznesowej, mogą jednak generować ryzyko – przypomina KNF. Dlatego powinni konsekwentnie stosować paradygmat określany jako „security first”, czyli prowadzić pogłębione analizy ryzyka uwzględniające nie tylko kwestie bezpieczeństwa środowiska teleinformatycznego, ale również ryzyk związanych z korzystaniem z usług finansowych przez klientów.
Chodzi m.in. o to, że zgodnie z art. 18 rozporządzenia delegowanego Komisji (UE) 2018/389 z 27 listopada 2017 r. uzupełniającego dyrektywę Parlamentu Europejskiego i Rady (UE) 2015/2366 w odniesieniu do regulacyjnych standardów technicznych dotyczących silnego uwierzytelniania klienta i wspólnych i bezpiecznych otwartych standardów komunikacji (RTS), dopuszczalne jest wyłączenie stosowania silnego uwierzytelnienia w przypadku konkretnej płatności niskokwotowej, w oparciu o indywidualną ocenę ryzyka, z uwzględnieniem właściwych w tym zakresie przepisów RTS. Rozwiązania wpływające na bezpieczeństwo środków finansowych klientów powinny być wdrażane jedynie w sposób pozostawiający klientom celową i świadomą decyzję, podjętą w odpowiedni sposób.
Rezygnacja z linków jako ochrona przez phishingiem
Jak zaznacza KNF, źródłem problemów są kampanie phishingowe wykorzystujące SMS oraz wiadomości mailowe do rozsyłania linków internetowych kierujących do fałszywych stron bankowości elektronicznej, pośredników płatności lub też stron zawierających złośliwe oprogramowanie wykradające poświadczenia klientów do logowania do bankowości elektronicznej. Przykładowo ostatnio ich ofiarą padli klienci Poczty Polskiej. Jeden z ataków polegał na rozsyłaniu fałszywych wiadomości e-mail informujących o błędnie zaadresowanej przesyłce. Maile te mają załącznik zawierający złośliwe oprogramowanie, tzw. trojan. Inna metodą cyberprzestępców jest wysyłka fałszywych wiadomości dotyczących wygranej w konkursie najnowszego modelu smartphona. Cyberprzestępcy informują, że aby otrzymać nagrodę wystarczy kliknąć w podany link, który przekierowuje na spreparowaną stronę internetową w celu wyłudzenia danych oraz pieniędzy.
Dlatego KNF stoi na stanowisku, że wysyłanie aktywnych linków do stron internetowych w wiadomościach mailowych (włącznie z osadzaniem takich linków w grafikach) oraz wiadomościach SMS adresowanych do klientów powinno zostać wyeliminowane z praktyki na rzecz informacji statycznych, nie generujących wskazanego wyżej ryzyka oszustwa lub na rzecz przekazywania klientom informacji poprzez aplikacje mobilne oraz portale bankowości elektronicznej.
Ważny jest też sposób zabezpieczania komunikacji z klientem, prowadzonej z wykorzystaniem poczty elektronicznej. Stosowane przez dostawców praktyki polegające na zabezpieczaniu załączników przekazywanych w korespondencji mailowej prostymi hasłami, które są możliwe do odgadnięcia przy pomocy ogólnodostępnych narzędzi informatycznych w skończonym czasie, KNF uznaje za nieakceptowalne. Zdaniem nadzoru, korespondencja mailowa zawierająca załączniki, zwłaszcza z danymi osobowymi, powinna być szyfrowana w sposób zapewniający poufność informacji, a hasło niezbędne do jej odszyfrowania powinno być przekazywane osobnym kanałem komunikacji, np. przez portal bankowości elektronicznej, aplikacje mobilną lub SMS.
Czytaj również: Autoryzacja a uwierzytelnianie - spór o tłumaczenie nie ułatwia ochrony rachunków >>
Złodzieje wymyślają coraz lepsze metody
Tyle, że według raportu o phisingu, na horyzoncie widać już dwa główne trendy. W wyniku ulepszonych mechanizmów kontroli i rozwiązań bezpieczeństwa ruchu botnetowego, osoby atakujące zaczynają wykorzystywać farmy kliknięć. Co to znaczy? Otóż dziesiątki zdalnych „pracowników” systematycznie próbują zalogować się na docelowej stronie internetowej przy użyciu ostatnio zebranych danych uwierzytelniających. Połączenie pochodzi od człowieka korzystającego ze standardowej przeglądarki internetowej, co utrudnia wykrycie oszustwa.
Na przeanalizowanych 14 milionów logowań miesięcznie w organizacji świadczącej usługi finansowe odnotowano aż 0,4 proc. „manualnych” oszustw, czyli równowartość 56 000 nieuczciwych prób logowania przez wynajętych ludzi. Odnotowano również wzrost liczby serwerów RTTP (protokół transferu w czasie rzeczywistym), które mogą przechwytywać i wykorzystywać właśnie rekomendowane przez KNF kody uwierzytelniania wieloskładnikowego (MFA). RTPP działa jako „pośrednik” i przechwytuje transakcje ofiary z prawdziwą witryną internetową. Ponieważ atak następuje w czasie rzeczywistym, złośliwa witryna może zautomatyzować proces przechwytywania i odtwarzania uwierzytelniania opartego na czasie, takiego jak kody MFA. Może nawet kraść i ponownie wykorzystywać pliki cookie sesji.
Ostatnio używane aktywne serwery proxy do phishingu w czasie rzeczywistym to Modlishka2 i Evilginx23. Czy można im zaradzić? - Ataki phishingowe będą skuteczne, dopóki będzie istniał człowiek, którym można w jakiś sposób manipulować. Zarówno mechanizmy kontroli bezpieczeństwa, jak i przeglądarki internetowe muszą być sprawniejsze we wskazywaniu użytkownikom fałszywych witryn – uważa Ireneusz Wiśniewski.