PARTNER PORTALU partner portalu wnp.pl
Menu

wnp.pl - portal gospodarczy

Szukaj

Systemy bankowe i klienci pod ostrzałem cyberprzestępców

Autor: wnp.pl (WGK)
22-08-2014 08:31

W ubiegłym roku zidentyfikowano prawie milion złośliwych programów atakujących użytkowników systemów bankowych. Większość ataków udało się odeprzeć, ale przestępcy wciąż wymyślają nowe rozwiązania.

Według raportu Trend Micro, Finding Holes: Operation Emmental, internetowa przestępczość rozpracowała zabezpieczenia procesu logowania się użytkowników przy pomocy dwuetapowej weryfikacji z wykorzystaniem żetonów sesji (rodzaj certyfikatu bezpieczeństwa). Raport pokazuje złożony, ale skuteczny sposób na poradzenie sobie z najnowszymi zabezpieczeniami. Wykorzystując otwartą architekturę platformy Android, pozwalająca na instalację aplikacji firm trzecich, cyberprzestępcy zdołali połączyć tradycyjne ataki phishingowe, aby zdobyć nazwę i hasło użytkownika, ze złośliwymi aplikacjami mobilnymi. Dzięki przejmowaniu żetonów sesji uwiarygodniają swoje działania. – Ta działalność cyberprzestępców ma obecnie ograniczony zasięg, nie wróży ona nic dobrego na przyszłość. Ataki na internetowe systemy bankowe z wykorzystaniem złośliwego oprogramowania są już poważnym problemem – mówi Aleksander Łapiński z Trend Micro.
Nowe sposoby działania cyberprzestępców pokazuję, że zaawansowane zabezpieczenia są podatne na nowe techniki łamania. – Oznacza to również, że ochrona użytkowników bankowości online jest zadaniem dla całej branży i konieczne jest wypracowanie nowych metod radzenia sobie z tym zagrożeniem – dodaje Aleksander Łapiński.

Jak to działa? Do klienta, potencjalnej ofiary, trafia spam przypominający oficjalną korespondencję znanych banków. Otworzenie załącznika lub kliknięcie we wskazany link prowadzi do infekcji złośliwym oprogramowaniem. To program do rekonfiguracji systemu użytkownika, przygotowujący go do następnej fazy ataku. W dalszej kolejności użytkownik chcąc połączyć się z serwisem bankowym online zostaje przekierowana na stronę phishingową, która zbiera prywatne dane: nazwę i hasło użytkownika. Dalsze informacje zachęcają do pobrania złośliwej aplikacji udającej program do dwustopniowej weryfikacji tożsamości.

Jeśli użytkownik zainstaluje złośliwą aplikację i otrzyma wiadomość SMS z kodem do dwuetapowej weryfikacji podczas kolejnego logowania się na prawdziwej stronie banku, złośliwa aplikacja automatycznie i w tajemnicy prześle go dalej do cyberprzestępców. Atak zostaje zakończony, gdy cyberprzestępcy wykorzystują nazwę i hasło zdobyte przy użyciu strony phishingowej wraz z tokenem sesji, aby uzyskać całkowity dostęp do konta bankowego ofiary.

Ochrona przed atakami to przede wszystkim profilaktyka i prewencja. Przede wszystkim aplikacje bankowości mobilnej powinny być rozprowadzone przez wiarygodne kanały jak Google Play czy Apple App Store. Z drugiej strony, ważna jest edukacja klientów, jak pobierać legalne programy. Banki powinny również wprowadzić procedury weryfikacji transakcji, jako uzupełnienie procesu weryfikacji tożsamości użytkownika.

KOMENTARZE (0)

Artykuł nie posiada jeszcze komentarzy! Twój może być pierwszy. Wypowiedz się!



SUBSKRYBUJ WNP.PL

NEWSLETTER

Najważniejsze informacje portalu wnp.pl prosto do Twojej skrzynki pocztowej

Wnp.pl: polub nas na Facebooku


Wnp.pl: dołącz do nas na Google+


53 745 ofert w bazie

POLECANE OFERTY

1 048 524 ofert w bazie

POLECANE OFERTY

5 763 ofert w bazie

2 782 331 ofert w bazie


397 664 ofert w bazie

GORĄCE KOMUNIKATY

Wyszukiwanie zaawansowane
  • parking
  • bankiet
  • catering
  • spa
  • klub
  • usługi
  • rekreacja
  • restauracja
467 ofert w bazie

POLECAMY W SERWISACH GRUPY PTWP