To, że oszustwa stają się poważnym problemem potwierdzają m.in. wyniki badań przeprowadzonych przez Centrum Antyfraudowe RSA w pierwszej połowie 2012 r., kiedy zanotowano ponad 195 tys. unikalnych ataków phishingowych, typowych elementów większości ataków fraudowych.

Optymizmem jednak napawa fakt, że pomimo rosnącej liczby ataków straty nimi spowodowane systematycznie maleją. Może to świadczyć o wzroście świadomości użytkowników serwisów e-commerce lub lepszych zabezpieczeniach po stronie usługodawców. Złośliwcy powiedzą zapewne, że równie dobrze możemy być świadkami mniejszych umiejętności atakujących, choć to raczej mało prawdopodobne.

Wektory ataków

Mówiąc o zagrożeniach i wektorach ataku musimy przyjąć dwa główne scenariusze, z którymi spotykamy się najczęściej. Pierwszy - tradycyjny, gdzie wszelkie operacje (w szczególności zlecanie transakcji) są prowadzone z poziomu komputera. Tutaj może, ale nie musi, pojawić się dodatkowo urządzenie mobilne. Jeśli się go użyje, to najczęściej w postaci dodatkowego, niezależnego źródła poświadczeń. Drugi scenariusz to wykorzystanie urządzenia mobilnego jako miejsca, z którego prowadzimy e-transakcje. Różnica w stosunku do pierwszego scenariusza to inna platforma, ale także to, że możemy mieć dwa w jednym - to samo urządzenie jest miejscem zlecania operacji oraz źródłem poświadczeń. Brak wówczas osobnego kanału autoryzacji.

Zastanawiając się nad wektorami ataków możemy myśleć o trzech głównych kierunkach: na serwis e-commerce, na komputer użytkownika oraz na jego smartfona.

Niezmiernie rzadko zdarza się, aby przedmiotem ataku był sam serwis e-commerce. Wymaga to sporo zachodu, a i ryzyko wykrycia jest większe. Znacznie łatwiej wziąć na celownik klienta usługi, czyli jego samego i jego urządzenie dostępowe. Oto kilka przykładów.

Z życia wzięte

Jednym z najgłośniejszych przypadków tego typu ataku był odkryty na początku 2011 r. ZitMo (Zeus in the mobile) - Zeus w wersji dla urządzeń mobilnych. Ten malware znany był już znacznie wcześniej, ale popularność przyniosły mu dopiero ataki na kilka dużych banków (w tym polskich). Celem ataku jest unieszkodliwienie metod uwierzytelniania dwu-elementowego, co pozwala z kolei na "ciche" wyprowadzenie środków z rachunków ofiary. Standardowa strategia ataku przy użyciu tego oprogramowania opiera się na wykorzystaniu ludzkiej łatwowierności i nieznajomości podstawowych zasad bezpieczeństwa - atakujący przeprowadza kampanie phishingowe i podejmuje działania z zakresu inżynierii społecznej. W rezultacie klient odwiedza stronę, do której "dostrzyknięto" trochę kodu, i tam jest proszony o podanie większej niż zazwyczaj ilości informacji, np. pełnego hasła, numeru i modelu telefonu. W uzasadnieniu pojawia się zwykle komunikat, że bank (oczywiście ze względów bezpieczeństwa) musi zainstalować certyfikat, który prześle SMS-em. Jeżeli klient bez chwili refleksji poda wszystkie dane, a następnie po otrzymaniu SMS-a kliknie w załączony link, zamiast rzeczonego certyfikatu pobierze spreparowaną dla jego modelu telefonu aplikację Zeusa. Jeden z zaatakowanych banków (ING Bank) wykazał się godną pochwały postawą, nie schował głowy w piasek i opublikował informacje zarówno o scenariuszu działania Zeusa, jak i sposobach pozbycia się go po infekcji.