Bezpieczeństwo transakcji elektronicznych

Oszustwo zawsze w cenie

Oprócz ataków technologicznych przeprowadzanych z użyciem malware'u złodzieje korzystają z socjotechniki. Jednym z najgłośniejszych takich oszustw było wysłanie w czerwcu 2013 r. sfałszowanego dokumentu informującego o rzekomej zmianie numeru bankowego firmy odpowiedzialnej za sprzątanie w warszawskimi metrze. Miesiąc później spółka Metro Warszawskie przelała ponad 0,5 mln zł na rachunek należący do przestępców. Nie była to jedyna organizacja oszukana w ten sposób. Jak informowała we wrześniu 2013 r. Małgorzata Klaus, rzecznik prasowy wrocławskiej prokuratury, w podobny sposób oszukano także szpitale we Wrocławiu i w Bolesławcu.

Złodzieje dokonują oszustw niezależnie od stosowanej technologii, ale w przypadku przelewów elektronicznych jest to o wiele prostsze – czasami wystarczy wysłanie odpowiednio spreparowanego e-maila.

Zobacz również:

  • IBM oficjalnie gotowy na GDPR

Obrona:

  • Wdrożyć i ścisłe przestrzegać procedury sprawdzania informacji dotyczących płatności firmowych.
  • Dyspozycja zmiany rachunku powinna się odbywać tylko razem z fakturą.
  • Każdą zmianę należy potwierdzić – np. zadzwonić do działu księgowości pod numer telefonu podany w oficjalnym spisie.

Czy można się obronić przed atakiem?

Przypomnijmy, że dzisiejsze organizacje muszą bronić się przed atakami cyberprzestępczości zorganizowanej. Dużą akcję przeciw botnetom ZeuS prowadziła amerykańska agencja FBI już w 2010 r., a dwa lata później ujęto i skazano kolejnego sprawcę kierowania wieloma atakami z użyciem malware'u. Obrona jest trudna, ale można minimalizować ryzyko.

Przedstawiamy porady, które mogą przyczynić się do obrony organizacji przed atakiem:

  • Zabezpieczyć komputery przed infekcją, zapewniając niezwłoczne wprowadzanie poprawek bezpieczeństwa, właściwy poziom uprawnień użytkownika oraz aktualną ochronę antywirusową.
  • Zablokować uruchamianie aplikacji z zewnątrz. Środowisko Microsoft Windows ma taką możliwość za pomocą narzędzia AppLocker (biblioteka Microsoft Technet, dokumenty dd723678 oraz ee424357).
  • Zarządzać wszystkimi smartfonami i tabletami dołączanymi do firmowej sieci. Jeśli to możliwe, wprowadzić zasadę separacji zasobów prywatnych od firmowych. Wprowadzić osobną „podsieć dla gości”.
  • Wykorzystywać narzędzia do wykrywania złośliwego oprogramowania. Taką opcję ma wiele urządzeń sieciowych klasy UTM oraz IPS. Logi z tych urządzeń należy na bieżąco kontrolować i wyciągać wnioski. Należy przy tym zadbać o aktualizację sygnatur.
  • Tam gdzie to możliwe zablokować wtyczki Flash, Silverlight oraz Java. Podatności wtyczek są wykorzystywane częściej niż luki w samych przeglądarkach. Pracownicy muszą mieć także świadomość zagrożenia, by nie instalować fałszywych wersji wtyczki Flash.
  • Przeszkolić pracowników, ucząc poprawnych zachowań związanych z wiadomościami e-mail. Wiele ataków rozpoczyna się od fałszywych e-maili rozsyłanych przez złodziei. Oszustwa można także zrealizować za pomocą faksu, przez telefon, a nawet listownie.
  • Przeszkolić pracowników, by zwracali uwagę na używane hasła jednorazowe w bankowości elektronicznej, zwłaszcza by kontrolowali potwierdzane nimi operacje. Nie używać do tego celu smartfonów, gdyż jest złośliwe oprogramowanie, które przejmuje hasła SMS.
  • Wpoić zasadę ograniczonego zaufania do informacji wyświetlanych przez przeglądarkę internetową.
  • Sprawdzać nośniki wymienne USB przed dołączaniem do firmowych komputerów i wyłączyć automatyczne uruchamianie aplikacji.