Współczesny napad na bank: banki i ich klienci na celowniku

Data dodania: 21.04.2016

Według prognozy TMT Predictions firmy doradczej Deloitte, tylko w tym roku zostanie sprzedanych 1,6 mld smartfonów. Wiąże się to z dynamicznym rozwojem rynku mobilnych usług finansowych, który w naszym kraju obejmuje już ponad 5 mln osób. Przy wielokanałowym dostępie do bankowości elektronicznej klienci dysponują co najmniej 10 różnymi metodami, aby autoryzować swoje transakcje bankowe. Wszystkie te trendy powodują, że także cyberprzestępcy zyskują nowe możliwości nieuprawnionego dostępu do rachunków użytkowników bankowości internetowej i mobilnej. Wraz ze wzrostem poziomu wiedzy i świadomości klientów indywidualnych (którzy są tradycyjnie i niezmiennie na celowniku hakerów) cyberprzestępcy także poszukują nowych możliwości. Coraz bardziej atrakcyjnym i zyskownym łupem dla hakerów są małe i średnie przedsiębiorstwa niedostatecznie dbające o cyberbezpieczeństwo.

Klienci oczekują dostępu do swoich rachunków bankowych o każdej porze, w każdej lokalizacji oraz za pośrednictwem wszystkich dostępnych urządzeń elektronicznych, w tym również mobilnych. Według Związku Banków Polskich w IV kwartale 2015 roku liczba aktywnych klientów indywidualnych bankowości internetowej w Polsce przekroczyła 14,5 mln osób. W przypadku sektora małych i średnich przedsiębiorstw aktywnych klientów jest 1,3 mln. Średnia wartość transakcji dokonywanych przez nich za pośrednictwem bankowości internetowej wynosi już około 85 tys. zł miesięcznie, podczas gdy w przypadku klientów indywidualnych jest to nieco ponad 6 tys. zł.

„Duży zwrot z przestępczej inwestycji coraz częściej osiągany jest poprzez ataki ukierunkowane na MŚP z uwagi na relatywnie większy wolumen dokonywanych transakcji w porównaniu z klientami indywidualnymi, brak świadomości na temat zagrożeń, a także brak spójnego podejścia do ochrony na poziomie całej organizacji.” – wyjaśnia Marcin Ludwiszewski, Dyrektor, Lider obszaru cyberbezpieczeństwa Deloitte w Polsce.

Głównym celem przestępców jest kradzież środków finansowych oraz kradzież tożsamości umożliwiająca im m.in. zaciąganie kredytów przy użyciu danych ofiary, jak i pranie pieniędzy. Aby dostać się do środków finansowych hakerzy najczęściej wykorzystują różne kombinacje tzw. inżynierii społecznej (np. SPAM lub e-mail ze złośliwym załącznikiem, linkiem prowadzącym do strony www, która ma na celu zainfekowanie złośliwym oprogramowaniem) do instalacji oprogramowania złośliwego (trojany bankowe) na komputerze lub telefonie. Oprogramowanie to może przechwytywać dane potwierdzające tożsamość lub autoryzujące transakcje poprzez atak na poziomie przeglądarki (man in the browser, wstrzykiwanie kodu), np. wyświetlając z pozoru prawdziwy komunikat w celu przechwycenia danych autoryzujących, podmieniając wskazany przez nas numer konta bankowego na fałszywy. Inne sposoby mogą opierać się na atakowaniu komunikacji z serwerami (man in the middle, podsłuchu oraz modyfikacji danych). Ryzyko ataku może również wynikać z podatności, które generują niezabezpieczone sieci WiFi lub usługi telekomunikacyjne umożliwiające dostęp do danych takich jak SMS – które mogą być wykorzystywane w procesie autoryzacji transakcji.

Zakres możliwości ataku na użytkowników bankowości elektronicznej jest szeroki. Jednocześnie coraz większa profesjonalizacja cyberprzestępców mających powiązania ze światem przestępczym sprawia, że nieustannie rośnie liczba sposobów dokonywania ataków. Z analizy ekspertów Deloitte wynika, że obecnie banki udostępniają średnio osiem kanałów umożliwiających dokonywanie transakcji (m.in. w oddziale, przez telefon, komputer czy aplikację mobilną na smartfonie i tablecie) przy dziesięciu dostępnych metodach autoryzacji. Są to m.in.: kody SMS, podpis elektroniczny, tokeny sprzętowe, tokeny programowe, kody jednorazowe, kody PIN, pytania kontrolne czy parametry biometryczne (odcisk palca).

„W związku z wieloma kanałami dostępu i metodami autoryzacji istnieje kilkadziesiąt ścieżek, które stwarzają cyberprzestępcom możliwość ataku. Kierunki rozwoju zabezpieczeń takie jak biometryczne rozpoznawanie głosu czy odcisków palców daje nadzieję na skuteczniejszą walkę z cyberprzestępcami, ale nie należy się łudzić, że zagrożeń w cyfrowej rzeczywistości uda się uniknąć w stu procentach. Co więcej, naszym zdaniem ze względu na wysoką profesjonalizację grup przestępczych ich liczba będzie rosła” – mówi Marcin Lisiecki, Menadżer w dziale cyberbezpieczeństwa Deloitte.

Dlatego zwłaszcza małe i średnie firmy, które często borykają się z brakami w zakresie organizacyjnym i technicznym, w tym z obszaru cyber, powinny być szczególnie ostrożne. Chcąc zabezpieczyć się przed atakami w sieci powinny zidentyfikować zagrożenia związane z dokonywaniem płatności i umiejętnie nimi zarządzać. Poprzez regularne uświadamianie, sesje i treningi istnieje możliwość przeszkolenia poszczególnych grup pracowników, które są szczególnie narażone na ryzyko ataków (np. księgowość). Podobnie jak w przypadku klientów indywidualnych, również osoby zatrudnione w sektorze MŚP powinny unikać wchodzenia na strony internetowe o niskiej reputacji przy użyciu urządzeń wykorzystywanych do dokonywania płatności. Niezbędne są również rozwiązania technologiczne do wykrywania i usuwania spamu, fałszywych maili oraz oprogramowania złośliwego. Wskazane zaś jest także porozumienie z bankiem, które gwarantuje bezpieczną metodę autoryzacji transakcji.

Eksperci Deloitte zaznaczają jednak, że zwiększone zainteresowanie atakami na firmy nie powinno usypiać czujności klientów indywidualnych banków.

„Oczywiście duża odpowiedzialność za bezpieczeństwo spoczywa na bankach, które poza edukacją klientów powinny na bieżąco testować swoje środowisko i udostępniane aplikacje pod kątem bezpieczeństwa oraz wykrywać i reagować na nietypowe schematy płatności. Przede wszystkim jednak klienci indywidualni powinni wykazywać się zdrowym rozsądkiem i kierować się zasadą ograniczonego zaufania w odniesieniu do otrzymywanych wiadomości, załączników, stron www, jak również instalowanych aplikacji. Ważne jest również aby dostawcy usług telekomunikacyjnych przy wprowadzaniu nowych produktów, mieli na uwadze ryzyko nieuprawnionego dostępu do danych, które mogą być wykorzystywane przy autoryzacji transakcji” – podsumowuje Marcin Ludwiszewski.

 

Materiały powiązane

RaportyRośnie poczucie niepewności ekonomicznej wśród polskich dyrektorów finansowych
Rośnie poczucie niepewności ekonomicznej wśród polskich dyrektorów finansowych
05.06.2018
TechnologieInternet Rzeczy połączy kibica ze światem sportu
Internet Rzeczy połączy kibica ze światem sportu
22.08.2018
RaportyRaport KPMG International pt. „Growing pains – 2018 Global CEO Outlook”
Raport KPMG International pt. „Growing pains – 2018 Global CEO Outlook”
06.06.2018
Poprzedni
Specjaliści data science
Specjaliści data science
Następny
Przewodnik "Modern Office Standards Polska 2016"
Przewodnik "Modern Office Standards Polska 2016"

Newsletter

Kalendarium

  • Międzynarodowy Kongres Biogospodarki Łódź 201824.09.2018 Łódź
  • IT w Służbie Zdrowia GigaCon - Warszawa25.09.2018 Warszawa
  • How to prepare organization for automation? 25.09.2018
Zobacz inne

Oferty Pracy

  • Project ManagerAdaptive Group Sp. z o.o.
  • Project Leader / Process ConsultantAdaptive Group Sp. z o.o.Łódź
Zobacz inne
  • Adaptive Group Sp. z o.o.Shared Services Centers, Business Process Outosurcing, Nearshoring and Offshoring Support, Transformation Programs, Business Architecture, Process Design,Organisation Optimization & Improvements
Zobacz inne

Eksperci

Konrad Gałaj-Emiliańczyk
Konrad Gałaj-Emiliańczyk
zobacz innych

Bibliografia Outsourcingu

Mamy już 38826
pozycji w bazie

Outsourcing&More

Newsroom

  • „Cyfrowe biuro - droga do cyfrowej firmy”„Cyfrowe biuro - droga do cyfrowej firmy”21.09.2018
  • GPO: KAŻDY PROCES MA DWA KOŃCEGPO: KAŻDY PROCES MA DWA KOŃCE21.09.2018
  • Bydgoszcz na weekend 21 - 23 wrześniaBydgoszcz na weekend 21 - 23 września21.09.2018
  • Łódź na weekend 21 - 23 wrześniaŁódź na weekend 21 - 23 września21.09.2018
  • Poznań na weekend 21 - 23 wrześniaPoznań na weekend 21 - 23 września21.09.2018
Zobacz inne

Literatura

OUTSOURCING USŁUG TRANSPORTOWYCH W SIŁACH ZBROJNYCH RP
OUTSOURCING USŁUG TRANSPORTOWYCH W SIŁACH ZBROJNYCH RP Wyższa Szkoła Oficerska Wojsk Lądowych imienia generała Tadeusza Kościuszki
Zobacz inne

Blogi

  • Workplejsowe  ROI
    Workplejsowe ROIKarina Kreja
  • Sześć zasad osobistej efektywności w sprzedaży
    Sześć zasad osobistej efektywności w sprzedażyRobert Zych
  • Wellness: Twój idealny dzień pracy
    Wellness: Twój idealny dzień pracyKarina Kreja
  • Weekendowy KINT, czyli Krótko I Na Temat po raz 21
    Weekendowy KINT, czyli Krótko I Na Temat po raz 21Wiktor Doktór
  • Znaczeniowe pomyłki środowiskowe
    Znaczeniowe pomyłki środowiskoweKarina Kreja
Zobacz inne
  • Anna Sarnacka–Smith
    Anna Sarnacka–SmithDIAGNOZA KOMPETENCJI DISC D3, EFFECTIVENESS
  • Maciej Buś
    Maciej BuśEkspert Customer Contact Center, Klientomaniak, Konsultant
  • Rafał Jarosz
    Rafał JaroszEkspert branży Call Contact Center
  • Katarzyna Swatowska
    Katarzyna SwatowskaEkspert w działaniach Public Relations dla Call Contact Center oraz branży nowych technologii
  • Wiktor Doktór
    Wiktor DoktórEkspert branży outsourcingowej
Zobacz inne

Baza Firm

Bałtyckie Centrum Biznesu Sp. z o.o.
Bałtyckie Centrum Biznesu Sp. z o.o.
Zobacz inne