Marcin Suś, PayU: Cyberprzestępcy mają coraz szersze pole do działania
Wraz z postępującą cyfryzacją, przed oszustami internetowymi otwierają się nowe możliwości na kradzież danych i pieniędzy. - Stworzyły się dla nich nowe scenariusze, które starają się wykorzystać - mówi Interii Marcin Suś, Chief Information Security Officer w PayU. I dodaje: Cyberprzestępcy starają się wykorzystać najprostsze środki. Od wielu lat prym wiodą ataki socjotechniczne, m.in. takie jak phishing, vishing, smishing.
Bartosz Bednarz, Interia: Tak źle chyba jeszcze nie było...
Marcin Suś, Chief Information Security Officer w PayU: Gdy spojrzeć na aktywność cyberprzestępców w ostatnich miesiącach, faktycznie można dojść do takich wniosków. Pandemia miała spory wpływ na to jak zmienił się sposób w jaki konsumenci korzystają z różnego rodzaju usług. Właściwie każda dziedzina życia w jakimś stopniu podlega dziś cyfryzacji, w związku z czym "krajobraz" bezpieczeństwa w sieci również się zmienia, a cyberprzestępcy mają coraz szersze pole do działania.
Stare zjawiska przybrały na sile?
- Proces cyfryzacji znacznie przyśpieszył; kolejne obszary życia przechodzą z tradycyjnego modelu do sfery online. E-commerce i płatności internetowe były dojrzałe w Polsce już przed pandemią, konsumenci w większości byli świadomi jak z tego korzystać. Ale są usługi, z których raczej zwykliśmy korzystać w sposób tradycyjny, są to np. usługi medyczne czy edukacyjne i szkoleniowe, a także administracyjne, związane z załatwianiem rozmaitych spraw urzędowych. W tym przypadku nastąpił ogromny przeskok w kierunku cyfryzacji. Z jednej strony jest to oczywiście korzystne, z drugiej natomiast otwiera wiele możliwości przed oszustami internetowymi. Stworzyły się dla nich nowe scenariusze, które starają się wykorzystać.
Kto daje się złapać?
- Do świata online weszło wiele osób, które w okresie przed pandemią nie korzystały bardzo aktywnie z internetu. Po części zostały do tego zmuszone, bo wielu rzeczy nie dało się zrealizować w świecie tradycyjnym. Są one mniej świadome, przechodzą przyspieszony kurs korzystania ze świata cyfrowego. Cyberprzestępcy próbują ten fakt wykorzystać i stąd pewnie ta teza, od której zaczęliśmy rozmowę, że ataków jest więcej. Te osoby muszą się nauczyć dostrzegać zagrożenia.
Firmy powinny robić więcej, by chronić takie osoby?
- W instytucjach finansowych dane klientów są zabezpieczone na bardzo wysokim poziomie. Te podmioty spełniają wiele rygorystycznych standardów bezpieczeństwa, by chronić użytkowników. Systemy antyfraudowe pozwalają wyłapywać transakcje oszukańcze. Z kolei narzędzia monitorujące sieć bardzo szybko wyłapują fałszywe strony (tworzone w celu przeprowadzenia np. phishingu, czyli przechwycenia danych w celach przestępczych), które są następnie skutecznie blokowane. Firmy, które odpowiadają za bezpieczeństwo danych i pieniędzy użytkowników muszą podejmować proaktywne działania. Dotyczy to również edukacji. Chodzi o to, by konsumenci wraz z większą świadomością na temat istniejących zagrożeń, byli w stanie je zidentyfikować i odpowiednio na nie zareagować.
Jaki jest czas życia takiej fałszywej strony?
- Po wykryciu fałszywej strony, a są one wyłapywane naprawdę szybko, jej zablokowanie nie zajmuje wiele czasu. Czasami możemy mówić o minutach. Maksymalnie jest to kilka godzin. Instytucje takie jak CERT także robią bardzo dużo na tym polu i na bieżąco reagują na zdarzenia naruszające bezpieczeństwo w sieci.
Wciąż jednak dajemy się łapać na te same metody.
- Cyberprzestępcy starają się wykorzystać najprostsze środki. Nie będą wytaczać wielkich armat, by oszukać użytkownika. Starają się złamać najsłabsze ogniwo, którym niestety jest człowiek. Od wielu lat prym wiodą ataki socjotechniczne, m.in. takie jak phishing, vishing, smishing. Mechanizm działania jest tutaj stosunkowo prosty. Polega on na nakłonieniu użytkownika albo do wejścia na fałszywą stronę instytucji lub firmy, albo do instalacji jakiegoś oprogramowania, które de facto jest złośliwym. Docelowo chodzi o kradzież danych użytkownika, które mogą być później wykorzystane na przykład do przejęcia konta w banku.
A dalej to już kradzież oszczędności lub zaciąganie na pozyskane dane pożyczek.
- Przestępcom chodzi o to, aby w prosty sposób użytkownika oszukać. Te ataki są masowe. Grupy przestępcze tego typu działają na całym świecie. Większość z nas się na to nie nabiera, ale osoby mniej świadome zagrożenia, mniej obyte online, są bardziej podatne na takie próby. Świadomość konsumentów rośnie, a wraz z nią spada skuteczność takich ataków socjotechnicznych. Niemniej jednak problem istnieje.
- Dane są bardzo cenne dzisiaj. Pozyskując takie informacje jak PESEL i nr dowodu, przestępcy mogą wziąć na użytkownika np. pożyczkę. Ale przejęcia np. kont w bankach - to także cel tych ataków.
Kto kradnie?
- Jest wiele grup przestępczych tego typu. Z danych instytucji, które je zwalczają, można wnioskować, że wiele ataków płynie ze Wschodu: z Rosji i Ukrainy. W Polsce takie "organizacje" jednak również funkcjonowały lub nadal funkcjonują. Spora część z nich została już rozbita - służby i organy ścigania bardzo aktywnie działają na tym polu. My też staramy się z nimi współpracować, gdy tylko możemy pomóc.
Na czym ta współpraca polega?
- Jeśli zachodzi taka potrzeba przekazujemy niezbędne informacje do policji czy prokuratury. Cały czas obserwujemy co dzieje się online - musimy być na bieżąco, jeśli chodzi o techniki wykorzystywane przez cyberprzestępców. W ten sposób dostosowujemy swoje mechanizmy do aktualnych działań oszustów w sieci.
- Mamy mechanizmy, które w czasie rzeczywistym online monitorują wszystkie transakcje przechodzące przez nasz system. Są to rozwiązania antyfraudowe, które korzystają z najnowszych technologii opartych o machine learning i sztuczną inteligencję.
Dużo jest takich "wątpliwych" transakcji?
- Takich danych nie możemy pokazywać. Najważniejsze jednak jest to, że mamy narzędzia pozwalające je namierzyć i zablokować, dzięki czemu środki kupujących są bezpieczne, a ich zaufanie do płatności online rośnie. Według najnowszych danych ponad 80 proc. kupujących online nie ma żadnych obaw związanych z bezpieczeństwem płatności internetowych. Ludzie ufają takim rozwiązaniom - czują się bezpiecznie. Gdy system wykryje podejrzaną transakcję z reguły informowany jest sklep czy instytucja, dla której pośredniczymy przy danej płatności. Transakcja jest odrzucana i wszystko kończy się bezpiecznie dla klienta.
W 2019 r. złodzieje podszywali się pod PayU.
- To prawda, była cała grupa ataków nazywanych roboczo "na dopłaty". Ich mechanizm wykorzystywał metody socjotechniczne. Do użytkowników wysyłano głównie SMS-y, w których zamieszczano linki do fałszywych stron różnych instytucji: firm kurierskich, telekomunikacyjnych, banków, pośredników płatności, dostawców mediów tj. gaz czy prąd. Chodziło o pozyskanie danych do logowania i przejęcie konta.
Skąd dzisiaj taka popularność kradzieży na zdalny pulpit?
- Przestępcy ewoluują, zmieniają metody, dostosowują się do tego, co obecnie dzieje się w świecie cyfrowym. W szczycie pandemii mieliśmy ataki na kwarantannę, później na szczepienia. Kilka dni temu była kolejna próba podszywania się pod duży bank w Polsce. Instytucje te mocno się cyfrowo rozwinęły w ostatnich latach - bez wychodzenia z domu możemy zrobić już praktycznie wszystko: od prostej płatności, przez wzięcie kredytu do założenia firmy. Jest to wygodne, ale dla przestępców to kolejna furtka do ataku. Zdalny pulpit jest kolejnym narzędziem. Z czasem ludzie się tego nauczą i pojawi się pewnie coś nowego. To ciągły proces doskonalenia się zarówno przestępców, jak i konsumentów, firm czy instytucji.
To już nie takie proste jak kliknięcie w link. Trzeba dać się przekonać do instalacji oprogramowania, postępować zgodnie z tym, co mówią złodzieje przez telefon czy komunikator.
- Jeśli stajemy się wyczuleni na jedne rozwiązania, złodzieje muszą stosować bardziej wyrafinowane środki. Tak jak wcześniej wystarczyło wysłać kampanię phishingową do dużej grupy osób i ona w jakimś tam stopniu była skuteczna, tak dzisiaj konieczna jest interakcja telefoniczna. Wymaga to większych zasobów po stronie przestępców.
I szerokiej edukacji po stronie konsumenta.
- Edukacja jest kluczowa. My także dużo robimy w tym obszarze. Promujemy bezpieczne korzystanie z internetu. Regularnie staramy się przekazywać informacje o nowych metodach ataku, uświadamiać naszych użytkowników.
To jak wygląda dzisiaj odpowiedzialne bycie w sieci?
- Podzieliłbym to na dwa obszary. Po pierwsze, zabezpieczenie urządzeń, z których korzystamy. Po drugie, właściwe nasze zachowanie w internecie.
- Idąc tym pierwszym tropem - mamy tu na myśli zabezpieczenie komputera i smartfonu. Przede wszystkim system antywirusowy, który aktywnie działa i jest na bieżąco aktualizowany. Niech on skanuje komputer.
Chroni nas?
- Wiadomo, nie każdy system jest w 100 proc. odporny na wszystkie ataki, ale lepiej go mieć niż nie. Kolejną sprawą jest aktualizacja systemu operacyjnego, przeglądarki i oprogramowania, z którego korzystamy. Jeśli instalujemy aplikacje na urządzeniu mobilnym - korzystajmy tylko z zaufanych źródeł i unikajmy tych nieautoryzowanych przez dostawców. Warto robić kopie zapasowe z uwagi na ataki ransomware, by w razie, gdyby coś złego się stało, można było odtworzyć dane.
I nie traćmy czujności...
- Czujność użytkowników to absolutna podstawa. A zaczyna się ona już na etapie tworzenia haseł dostępowych do serwisów. Hasła powinny być odpowiednio silne i przede wszystkim różne dla każdego konta. Jeśli dostawcy usług umożliwiają nam uwierzytelnianie wieloskładnikowe należy z tego korzystać. Robiąc zakupy w internecie, zwłaszcza przed okresem świątecznym, a wcześniej w trakcie akcji Black Friday, trzeba szczególnie uważać, bo działania oszustów są w tym okresie bardziej intensywne. Należy unikać sklepów, które są mało znane i pojawiły się stosunkowo niedawno. Podczas płacenia warto zawsze dokładnie sprawdzić dane strony, np. gdy jesteśmy na nią przekierowywani podczas transakcji. Czy ten link, w który klikamy nie jest phishingowy. Uważnie czytajmy, co potwierdzamy w aplikacji mobilnej, kodem SMS lub BLIK-iem. Tam jest cała informacja: jaka kwota, jaki sklep, jaka transakcja. Jeśli dane nie będą się zgadzać, przerywamy cały proces. Dobrą praktyką jest ustawienie limitów na transakcjach np. kartowych.
A jeśli podaliśmy dane złodziejom, co robimy?
- Wszystko zależy, gdzie i jakie dane podaliśmy. Jeśli są to dane logowania do banku - należy niezwłocznie skontaktować się z infolinią i zmienić hasło, a także upewnić się czy w międzyczasie były podejmowane jakieś podejrzane próby logowania czy też dokonania transakcji. Jeśli natomiast rezultatem udanego ataku było wyłudzenie hasła dostępowego np. do sklepu, to należy również jak najszybciej zmienić hasło w tym sklepie oraz we wszystkich innych miejscach, w których go używaliśmy.
Skala ataków będzie spadać?
- Jestem optymistą. Obserwuję ten rynek od wielu lat i widzę, jak użytkownicy podnoszą swoją świadomość, jak coraz lepiej potrafią identyfikować zagrożenia. Zmusza to cyberprzestępców do tworzenia coraz bardziej wyrafinowanych metod. Poziom skomplikowania ataków rośnie, jest to więc dla nich także coraz bardziej pracochłonny proces.
Bartosz Bednarz