Bezpieczeństwo transakcji elektronicznych
- 16.04.2015
Oszustwo zawsze w cenie
Oprócz ataków technologicznych przeprowadzanych z użyciem malware'u złodzieje korzystają z socjotechniki. Jednym z najgłośniejszych takich oszustw było wysłanie w czerwcu 2013 r. sfałszowanego dokumentu informującego o rzekomej zmianie numeru bankowego firmy odpowiedzialnej za sprzątanie w warszawskimi metrze. Miesiąc później spółka Metro Warszawskie przelała ponad 0,5 mln zł na rachunek należący do przestępców. Nie była to jedyna organizacja oszukana w ten sposób. Jak informowała we wrześniu 2013 r. Małgorzata Klaus, rzecznik prasowy wrocławskiej prokuratury, w podobny sposób oszukano także szpitale we Wrocławiu i w Bolesławcu.
Złodzieje dokonują oszustw niezależnie od stosowanej technologii, ale w przypadku przelewów elektronicznych jest to o wiele prostsze – czasami wystarczy wysłanie odpowiednio spreparowanego e-maila.
Zobacz również:
Obrona:
- Wdrożyć i ścisłe przestrzegać procedury sprawdzania informacji dotyczących płatności firmowych.
- Dyspozycja zmiany rachunku powinna się odbywać tylko razem z fakturą.
- Każdą zmianę należy potwierdzić – np. zadzwonić do działu księgowości pod numer telefonu podany w oficjalnym spisie.
Czy można się obronić przed atakiem?
Przypomnijmy, że dzisiejsze organizacje muszą bronić się przed atakami cyberprzestępczości zorganizowanej. Dużą akcję przeciw botnetom ZeuS prowadziła amerykańska agencja FBI już w 2010 r., a dwa lata później ujęto i skazano kolejnego sprawcę kierowania wieloma atakami z użyciem malware'u. Obrona jest trudna, ale można minimalizować ryzyko.
Przedstawiamy porady, które mogą przyczynić się do obrony organizacji przed atakiem:
- Zabezpieczyć komputery przed infekcją, zapewniając niezwłoczne wprowadzanie poprawek bezpieczeństwa, właściwy poziom uprawnień użytkownika oraz aktualną ochronę antywirusową.
- Zablokować uruchamianie aplikacji z zewnątrz. Środowisko Microsoft Windows ma taką możliwość za pomocą narzędzia AppLocker (biblioteka Microsoft Technet, dokumenty dd723678 oraz ee424357).
- Zarządzać wszystkimi smartfonami i tabletami dołączanymi do firmowej sieci. Jeśli to możliwe, wprowadzić zasadę separacji zasobów prywatnych od firmowych. Wprowadzić osobną „podsieć dla gości”.
- Wykorzystywać narzędzia do wykrywania złośliwego oprogramowania. Taką opcję ma wiele urządzeń sieciowych klasy UTM oraz IPS. Logi z tych urządzeń należy na bieżąco kontrolować i wyciągać wnioski. Należy przy tym zadbać o aktualizację sygnatur.
- Tam gdzie to możliwe zablokować wtyczki Flash, Silverlight oraz Java. Podatności wtyczek są wykorzystywane częściej niż luki w samych przeglądarkach. Pracownicy muszą mieć także świadomość zagrożenia, by nie instalować fałszywych wersji wtyczki Flash.
- Przeszkolić pracowników, ucząc poprawnych zachowań związanych z wiadomościami e-mail. Wiele ataków rozpoczyna się od fałszywych e-maili rozsyłanych przez złodziei. Oszustwa można także zrealizować za pomocą faksu, przez telefon, a nawet listownie.
- Przeszkolić pracowników, by zwracali uwagę na używane hasła jednorazowe w bankowości elektronicznej, zwłaszcza by kontrolowali potwierdzane nimi operacje. Nie używać do tego celu smartfonów, gdyż jest złośliwe oprogramowanie, które przejmuje hasła SMS.
- Wpoić zasadę ograniczonego zaufania do informacji wyświetlanych przez przeglądarkę internetową.
- Sprawdzać nośniki wymienne USB przed dołączaniem do firmowych komputerów i wyłączyć automatyczne uruchamianie aplikacji.