Ataki cyberprzestępców na instytucje finansowe i ich klientów nasilają się podczas dużych zmian w systemach transakcyjnych. A taka się zdarzyła w miniony weekend
Arkadiusz Krawczyk Intel Security Poland / Dziennik Gazeta Prawna
PKO BP przeprowadził ostatni etap przejęcia byłego Nordea Banku. Fuzja operacyjna polegała na przeniesieniu wszystkich użytkowników rachunków rozliczeniowych zakładanych w Nordei na systemy informatyczne PKO BP. – Jeżeli po przeprowadzeniu tej operacji właściciel konta w byłym Nordea Banku zechce zalogować się do systemu transakcyjnego, zostanie poproszony o przejście jednorazowej procedury aktywującej dostęp do systemu iPKO – powiedział Jarosław Orlikowski, dyrektor pionu wsparcia biznesu w PKO BP.
Klient będzie musiał zalogować się do starego serwisu (np. podając hasło ze starej listy haseł jednorazowych) i nadać hasło logowania do nowego iPKO. Zostanie przekierowany do iPKO, gdzie wybierze nowe narzędzie autoryzacyjne. Wybór należy potwierdzić, wpisując kod z wybranego przez siebie nowego narzędzia, a więc np. z SMS-a.
Przedstawiciele PKO BP deklarują, że dzięki przejściu na iPKO klienci byłej Nordei zyskają nowe możliwości, choćby funkcję autoryzacji transakcji hasłami SMS-owymi czy dostęp do aplikacji mobilnej IKO. Ale specjaliści ostrzegają, że takie zmiany sprzyjają cyberprzestępcom. Klienci nie znają nowego serwisu, więc łatwiej ich przekonać, by ujawnili dane potrzebne do logowania na stronie przypominającej oryginalną witrynę banku.
To więc nie przypadek, że pod koniec ubiegłego tygodnia skrzynki użytkowników internetu zalane zostały spamem phishingowym: oprócz podróbek stron PKO BP były także te Banku Śląskiego, Aliora czy mBanku.
W rozsyłanych masowo do przypadkowych osób e-mailach cyberprzestępcy informowali, że ich konto zostało zablokowane, a żeby je ponownie aktywować, należy kliknąć w załączony link i tam podać login i hasło do rachunku. Link kierował na fałszywą stronę, do złudzenia przypominającą witrynę banku. – Normalnie w takiej sytuacji służby bezpieczeństwa szybko są w stanie zablokować fałszywe strony. Tym razem było to trudniejsze, gdyż przestępcy bez przerwy zmieniali adresy, pod którymi te strony się znajdowały – tłumaczył Piotr Utrata, rzecznik ING Banku Śląskiego. Jak jednak zapewnia ostatecznie to się udało i już w piątek nie odnotowano żadnych nowych przypadków phishingu.
Tymczasem wcześniej Komisja Nadzoru Finansowego wystosowała do banków ostrzeżenie o tym, że mogą paść ofiarą ataku na systemy informatyczne. Chodzi np. o atak DDoS, polegający na sztucznym zwiększeniu ruchu na stronie, prowadzącym ostatecznie do jej zablokowania. Dla banków i ich klientów to szczególnie niebezpieczne, zwłaszcza gdy atak DDoS połączony jest z phishingiem. Gdy klienci nie mogą dostać się na stronę swojego banku, a jednocześnie otrzymują informację pocztą elektroniczną, że ich rachunek został zablokowany, mają większą skłonność do tego, by podawać loginy i hasła na przypadkowych stronach.
ROZMOWA
Czy phishing, w szczególności finansowy, w sytuacji gdy sporo się o nim mówi i wydaje się, że jest łatwy do zidentyfikowania, wciąż jest niebezpieczny?
Jest, ponieważ ludzie są wciąż zbyt mało czujni podczas odczytywania wiadomości e-mailowych. Badania McAfee Labs pokazały, że aż 80 proc. osób w firmach nie potrafi wykryć e-maila typu phishing. Najsłabsze w tej kwestii okazały się osoby z działów HR i zajmujących się finansami, czyli takich, które posiadają najbardziej poufne dane firm. Mimo, że coraz więcej się o problemie phishingu mówi, wiadomości tego typu są coraz lepiej konstruowane i często sprawiają wrażenie autentycznych.
Czy można mówić o nasileniu się tego zjawiska w ostatnim czasie? Skąd to się bierze?
Problem phishingu jest coraz poważniejszy. W minionym roku powstało łącznie niemal milion phishingowych adresów. Problemem jest zarówno duża dynamika powstawania nowych ataków phishingowych, jak również ich zaawansowanie i wyrafinowanie. Cyberprzestępcy w swoich strategiach stosują phishing masowy, ale również ukierunkowany oraz spersonalizowany.
Czy są jakieś uniwersalne zasady, których przestrzeganie może uchronić przed skutkami phishingu?
Przede wszystkim należy aktualizować oprogramowanie zabezpieczające i przeglądarki internetowe. I każdorazowo przed kliknięciem w link upewnić się, że łącze przeniesie nas do strony, na którą wskazuje. Aby to zrobić, należy umieścić kursor nad hiperłączem, a adres docelowej strony ukaże się w odpowiednim okienku. Z uwagą należy też sprawdzać, czy wiadomość nie zawiera znaków, które mogą sugerować, że to phishing, np. literówki, nieprawidłowe domeny URL, nieprofesjonalne i podejrzane elementy graficzne czy nierozpoznawalni nadawcy. Zamiast klikać łącze przesłane w e-mailu, warto najpierw odwiedzić stronę firmy, będącej domniemanym nadawcą, i sprawdzić, czy informacje o proponowanej ofercie znajdują się również na jego WWW.
Nigdy nie należy klikać w hiperłącza w jakiejkolwiek wiadomości e-mailowej z nieznanego lub podejrzanego źródła.