Jak wynika z dowodów, jeden z polskich banków stał się celem udanego ataku cyberprzestępcy-szantażysty. Po spenetrowaniu systemów i - jak sam twierdzi - wykradnięciu około miliona złotych, włamywacz sam ujawnił naturę zdarzenia jednemu z polskich serwisów zajmujących się tematyką cyberbezpieczeństwa. Miał to zrobić dokładnie 10 kwietnia, czyli około trzy miesiące po wydarzeniu.

Z relacji włamywacza wynika, że przez kilka tygodni dysponował on pełnym dostępem do głównej strony WWW banku i serwera, na którym znajdował się system bankowości elektronicznej. Dzięki temu, umieścił na stronie banku odwołanie do skryptu Java Script, umieszczonego na innym serwerze. Postawiło go to w komfortowej sytuacji, w której otworem stanął przed nim bardzo szeroki wachlarz możliwości - od wyprowadzenia danych osobowych klientów oraz wykorzystywanych przez nich kart płatniczych, po wykonywanie operacji na poszczególnych kontach bez konieczności ich autoryzowania (poprzez podmianę adresatów przelewów zdefiniowanych), włącznie z możliwością automatycznego modyfikowania numerów docelowych rachunków w trakcie wykonywania transferów. Jeśli rzeczywiście dysponował takim dostępem do bankowego serwera, o jakim poinformował, można uznać, że sytuacja pozwalała mu na dokonanie opisanych kradzieży.

Bank, który padł ofiarą włamania przyznał, że zarejestrował kilka prób włamania, ale żadna się zakończyła się sukcesem. Włamywacz przedstawił jednak dowód w postaci zestawu pełnych danych kart płatniczych banku, danych osobowych z numerami telefonów komórkowych klientów banku, działających loginów i haseł wraz z saldami przypisanych rachunków. Koronnym dowodem była jednak przesłana serwisowi kopia bankowego serwera wraz z elementami systemu bankowości elektronicznej. Koszmar banku nie skończył się jednak po ujawnieniu wydarzenia. Z informacji, które otrzymał serwis zaufanatrzeciastrona.pl wynika, że abstrahując szkód wyrządzonych w trakcie włamania, cyberprzestępca postanowił także szantażować bank, grożąc ujawnieniem skradzionych danych.

Jak przyznał sam włamywacz, dostał się bankowego serwera m.in. dzięki luce, powstałej w wyniku braku regularnych aktualizacji oprogramowania. To jednak nie jedyne rzekome zaniedbanie banku. Włamywacz przyznał, że jeszcze w lutym wykonał przelew na bardzo wysoką kwotę z konta jednego z klientów banku. Transfer został ponoć odnotowany i zareklamowany. Bank miał jednak sugerować, że wina leży po stornie klienta, który nie dochował ostrożności. Gdyby eksperci instytucji przyjżeli się sprawie bardziej uważnie, być może zauważyliby jakiekolwiek oznaki włamania. W marcu cyberprzestępca miał rzekomo prawie opróżnić konto jednego z nadmorskich hoteli. Transfery zostały na czas zareklamowane, zablokowane i skorygowane. Znów jednak zabrakło tej kluczowej dozy dociekliwości i dojścia do źródła nadużyć.

Jak chronić się przed tego typu zdarzeniami? Niestety, w przypadku, w którym cyberprzestępca uzyskuje bezpośredni dostęp do systemów banku, klienci instytucji są kompletnie bezradni. Nawet weryfikacja numerów rachunków do przelewów ani wertowanie historii transferów nic nie da, ponieważ włamywacz dysponuje środkami, które umożliwiają mu działanie bez pozostawiania widocznych śladów. Inaczej wyglądałaby sytuacja, gdyby kradzież środków następowała po stronie klienta, np. poprzez zainstalowany w laptopie malware. W takim wypadku klient banku miałby pewne możliwości działania, aby ustrzec się eskalacji oszustwa.

Paradoksalnie, w tym włamaniu nie chodzi o pieniądze, a jeśli nawet, to nie grają one znaczącej roli z perspektywy banku. Wykradzione środki da się bowiem „odtworzyć”. Straty najprawdopodobniej pokryje ubezpieczenie. Włamywacz grozi jednak czymś znacznie gorszym – ujawnieniem danych klientów banku. A jak wynagrodzić ludziom stratę w postaci upublicznienia ich tajemnic?

Zarząd zaatakowanego banku stoi więc przed dylematem, który może zaważyć na jego dalszym „być albo nie być”. Jeśli zapłaci okup, zachowa się nieetycznie, ale wyśle sygnał do klientów, że instytucja, której zawierzyli, robi wszystko, by nie dopuścić do obrotu ich danymi osobowymi i finansowymi. Powie przy tym całemu światu, że ma w zwyczaju płacić szantażystom. Jeśli zatem szybko nie wyciągnie odpowiednich wniosków może się spodziewać, że niebawem próby ataków się powtórzą.

Jeśli natomiast nie wpłaci okupu, a włamywacz zdecyduje się opublikować wykradzione dane, niewykluczone, że w bliskiej perspektywie czasowej bank przypłaci to utratą zawiedzionych klientów i w efekcie plajtą lub wręcz interwencją odpowiednich instytucji, które doprowadzą do jego zamknięcia.

Mówi Paweł Jakub Dawidek, dyrektor ds. technicznych, Wheel Systems