E-skok na bank
Stało się. Jeden z polskich banków stał się celem udanego ataku cyberprzestępcy-szantażysty. Po spenetrowaniu systemów i wykradnięciu około miliona złotych, włamywacz ujawnił naturę zdarzenia jednemu z polskich serwisów zajmujących się tematyką cyberbezpieczeństwa. Miał to zrobić dokładnie 10 kwietnia - czyli około trzy miesiące przed zdarzeniem.
Z relacji włamywacza wynika, że przez kilka tygodni dysponował on pełnym dostępem do głównej strony WWW banku i serwera, na którym znajdował się system bankowości elektronicznej. Dzięki temu umieścił na stronie banku odwołanie do skryptu JavaScript, umieszczonego na innym serwerze.
Postawiło go to w komfortowej sytuacji, w której otworem stanął przed nim bardzo szeroki wachlarz możliwości - od wyprowadzenia danych osobowych klientów oraz wykorzystywanych przez nich kart płatniczych, po wykonywanie operacji na poszczególnych kontach bez konieczności ich autoryzowania (poprzez podmianę adresatów przelewów zdefiniowanych), łącznie z możliwością automatycznego modyfikowania numerów docelowych rachunków w trakcie wykonywania transferów. Jeśli rzeczywiście dysponował takim dostępem do bankowego serwera, o jakim poinformował, można uznać, że sytuacja pozwalała mu na dokonanie opisanych kradzieży.
Bank, który padł ofiarą hakera, przyznał, że zarejestrował kilka prób włamania, ale żadna nie zakończyła się sukcesem. Włamywacz przedstawił jednak dowód w postaci zestawu pełnych danych kart płatniczych banku, danych osobowych z numerami telefonów komórkowych klientów banku, działających loginów i haseł wraz z saldami przypisanych rachunków. Koronnym dowodem była jednak przesłana serwisowi kopia bankowego serwera wraz z elementami systemu bankowości elektronicznej.
Koszmar banku nie skończył się jednak po ujawnieniu wydarzenia. Z informacji, które otrzymał serwis zaufanatrzeciastrona.pl wynika, że abstrahując od szkód wyrządzonych w trakcie włamania, cyberprzestępca postanowił także szantażować bank, grożąc ujawnieniem skradzionych danych.
Jak przyznał sam włamywacz, dostał się do bankowego serwera m.in. dzięki luce powstałej w wyniku braku regularnych aktualizacji oprogramowania. To nie jedyne rzekome zaniedbanie banku. Włamywacz przyznał, że jeszcze w lutym wykonał przelew na bardzo wysoką kwotę z konta jednego z klientów banku. Transfer został ponoć odnotowany i zareklamowany.
Bank miał jednak sugerować, że wina leży po stronie klienta, który nie dochował ostrożności. Gdyby eksperci instytucji przyjrzeli się sprawie uważnie, być może zauważyliby jakiekolwiek oznaki włamania. W marcu cyberprzestępca miał rzekomo prawie opróżnić konto jednego z nadmorskich hoteli. Transfery zostały na czas zareklamowane, zablokowane i skorygowane. Znów jednak zabrakło tej kluczowej dozy dociekliwości i dojścia do źródła nadużyć.
Jak chronić się przed tego typu zdarzeniami? Niestety, w przypadku, w którym cyberprzestępca uzyskuje bezpośredni dostęp do systemów banku, klienci instytucji są kompletnie bezradni. Nawet weryfikacja numerów rachunków do przelewów ani wertowanie historii transferów nic nie dają, ponieważ włamywacz dysponuje środkami, które umożliwiają mu działanie bez pozostawiania widocznych śladów. Inaczej wyglądałaby sytuacja, gdyby kradzież środków następowała po stronie klienta, np. poprzez zainstalowany w laptopie malware. W takim wypadku klient banku miałby pewne możliwości działania, aby ustrzec się eskalacji oszustwa.
Paradoksalnie w tym włamaniu nie chodzi o pieniądze, a jeśli nawet, to nie grają one znaczącej roli z perspektywy banku. Wykradzione środki da się bowiem "odtworzyć". Straty najprawdopodobniej pokryje ubezpieczenie. Włamywacz grozi jednak czymś znacznie gorszym - cyklicznym ujawnianiem danych klientów banku. A jak wynagrodzić ludziom stratę w postaci upublicznienia ich tajemnic?
Zarząd zaatakowanego banku stoi więc przed dylematem, który może zaważyć na jego dalszym być albo nie być. Jeśli zapłaci okup, zachowa się nieetycznie, ale wyśle sygnał do klientów, że instytucja, której zawierzyli, robi wszystko, by nie dopuścić do obrotu ich danymi osobowymi i finansowymi. Przyzna jednak przy tym całemu światu, że ma w zwyczaju płacić szantażystom. Jeśli szybko nie wyciągnie odpowiednich wniosków, może się spodziewać, że niebawem próby ataków się powtórzą.
Paweł Jakub Dawidek
Autor jest dyrektorem ds. technicznych Wheel Systems