Bezpieczeństwo transakcji elektronicznych

Ochroniarz z żyłką do biznesu pilnie potrzebny

Ochroniarz z żyłką do biznesu pilnie potrzebny

Stosowane dotychczas przez banki metody zapobiegania nadużyciom w dziedzinie transakcji przestają być skuteczne. Atakujący nie tylko zwiększyli intensywność prób nadużyć, ale podnieśli ich jakość. Dowodem tego są poczynania wykrytej niedawno międzynarodowej grupy przestępczej, której udało się oszukać ponad 100 banków w 30 krajach na łączną kwotę sięgającą miliarda dolarów. Jeśli zdeterminowanym przestępcom niestraszne są nowoczesne systemy zabezpieczeń i kompetentne zespoły specjalistów, pomocy należy szukać nie w technologii, lecz w regułach biznesowych oraz modelach analitycznych operujących na systematycznie gromadzonych danych o klientach, transakcjach, pracownikach, uprawnieniach, profilach ryzyka itd. Metody tego rodzaju sprawdziły się już w przypadku monitorowania transakcji pod kątem prania brudnych pieniędzy, nadużyć wewnętrznych i kredytowych. Mamy doświadczenia dowodzące, że analogiczne metody sprawdzają się także w przypadku zapobiegania nadużyciom w obszarze transakcji elektronicznych, w tym webowych.

 
Statystyki nie pozostawiają złudzeń. Przestępstwa w sektorze bankowym stają się zjawiskiem powszechnym. ACFE – Association of Certified Fraud Examiners, czyli Stowarzyszenie Ekspertów Ds. Przeciwdziałania Oszustwom, Nadużyciom Gospodarczym i Korupcji, opublikowało wiosną br. raport za 2014 r. Raport, który powstał na podstawie ponad 1400 ankiet wypełnionych przez członków stowarzyszenia z całego świata, wskazuje bankowość jako sektor z największą liczbą przypadków nadużyć. W innym globalnym badaniu wykonanym na zlecenie firmy ACI w 2014 r. (badanie objęło 6100 ankietowanych) 18% respondentów z Polski podało, że w ciągu ostatnich 5 lat byli obiektem nadużycia związanego z kartą kredytową.

Liczba rozpoznanych przypadków nie oddaje skali zagrożenia. Osoby z branży przyznają nieoficjalnie, że ujawniana jest tylko niewielka część przypadków nadużyć – i dotyczy to instytucji na całym świecie. O tym, że ataki są skuteczne banki dowiadują się pośrednio – od klientów lub poprzez rozbieżności w saldach rachunków. Dopóki poziom strat mieści się w przewidzianych rezerwach, można trzymać się dotychczasowej strategii. Jak długo jeszcze? Poziom złożoności i pomysłowość ataków rośnie. Wykryte niedawno ataki na banki pokazują nieprawdopodobną wręcz skuteczność łączenia różnych technik informatycznych i socjotechnicznych, a także ostrożność i brak schematyczności w działaniu włamywaczy.

Lekcja z tego taka, że jeżeli włamywacze działają niestandardowo, standaryzacja zabezpieczeń nie jest raczej dobrą strategią. Inny wniosek płynący z analizy tych ataków to to, że podział na ataki zewnętrzne i wewnętrzne nie przystaje już zupełnie do realiów. Przestępcy nie forsują na siłę bankowych systemów zabezpieczeń, lecz omijają je, działając w białych rękawiczkach. Włamania coraz częściej mają charakter wieloetapowy, adaptacyjny i wykorzystują sprytne techniki podszywania się pod klientów lub pracowników banku. Oznacza to ostatecznie, że dotychczasowe strategie walki z nadużyciami w bankowości wymagają pilnego przeglądu.


„Podział na ataki zewnętrzne i wewnętrzne nie przystaje już zupełnie do realiów. Przestępcy nie forsują na siłę bankowych systemów zabezpieczeń, lecz omijają je, działając w białych rękawiczkach. Włamania coraz częściej mają charakter wieloetapowy, adaptacyjny i wykorzystują sprytne techniki podszywania się pod klientów lub pracowników banku. Oznacza to ostatecznie, że dotychczasowe strategie walki z nadużyciami w bankowości wymagają pilnego przeglądu”


Carbanak zmienia reguły gry

Według różnych szacunków roczna wartość wszystkich nadużyć związanych z bankowością i usługami finansowymi sięga 100 mld dolarów. Na tę kwotę składają się fałszerstwa i wyłudzenia czekowe, włamania na konta bankowe przez systemy bankowości elektronicznej, kradzieże numerów kart kredytowych i nieautoryzowane zakupy za ich pomocą. Najnowsze pomysły to hybrydowe włamania, polegające na infiltracji dużej części środowiska informatycznego i przejęciu kontroli nad kontami użytkowników posiadających duże uprawnienia w systemach będących celem ataku. Taka strategia daje zarówno swobodę działania, a więc i skuteczność, oraz relatywnie dobrą ochronę przed zdemaskowaniem.

W lutym 2015 r. firma Kaspersky wykryła międzynarodową sieć przestępczą, która w ciągu dwóch ostatnich lat pozyskała prawdopodobnie ok. 1 mld dolarów dzięki włamaniom do łącznie ok. 100 banków w 30 krajach. Dochodzenie wciąż trwa. Typowy poziom strat banku w wyniku ataków, którym nadano kryptonim Carbanak to 10 mln dolarów. Analizy ataków Carbanak ujawniły, że atakujący nie tylko posługują się zaawansowanymi narzędziami malware, ale potrafią poświęcić nawet kilka miesięcy na ciche obserwowanie pracowników banków w poszukiwaniu osób o właściwych uprawnieniach. Nie od razu trafią przecież na administratora systemu bankowości elektronicznej lub inżyniera zajmującego się zdalnym diagnozowaniem problemów z bankomatami.

Zaczyna się niewinnie, od zdobycia choćby minimalnego przyczółku w postaci dostępu do telefonu lub komputera prywatnego, np. przez sieć Wi-Fi. Następnie na urządzeniu ofiary instalowane jest oprogramowanie nagrywające zmiany na ekranie w formie filmu, na podstawie którego włamywacze oceniają kierunki i strategie dalszych działań.  Film jest nagrywany tylko wtedy, gdy użytkownik aktywnie pracuje z aplikacjami. Zastosowane kodeki wideo dodatkowo ograniczają wielkość pliku, ponieważ w celu obejrzenia filmy są przesłane na serwery działające poza bankiem. Do analizy filmów służy dedykowana aplikacja. Nic nie jest pozostawione przypadkowi.

Przeprowadzenie skutecznego ataku wymaga bardzo dobrej znajomości realiów funkcjonowania banków od strony operacyjnej i informatycznej. Takiej wiedzy nie da się zdobyć „na szybko”, ani też jednoosobowo. Jest pewne, że włamywacze współpracują z osobami mającymi wiedzę i doświadczenie wyniesione z długoletniej pracy w bankowości, albo też skutecznie pozyskują współpracowników wśród osób pracujących w bankach. Tylko tak można tłumaczyć fakt, że włamywacze stojący za atakami Carbanak poradzili sobie z zabezpieczeniami i służbami bezpieczeństwa w ok. 100 odrębnych instytucjach. Byli skuteczni pomimo dużej różnorodności systemów, platform i procedur oraz mechanizmów zabezpieczeń.


„Przeprowadzenie skutecznego ataku wymaga bardzo dobrej znajomości realiów funkcjonowania banków od strony operacyjnej i informatycznej. Takiej wiedzy nie da się zdobyć „na szybko”, ani też jednoosobowo. Jest pewne, że włamywacze współpracują z osobami mającymi wiedzę i doświadczenie wyniesione z długoletniej pracy w bankowości, albo też skutecznie pozyskują współpracowników wśród osób pracujących w bankach”


Klienci ostrzelani z automatu

Równolegle nasila się fala ataków zautomatyzowanych, których celem są klienci banków. Włamywacze podszywają się pod routery Wi-Fi a nawet stacje bazowe GSM, co umożliwia im podsłuchiwanie komunikacji, łamanie lub obchodzenie zabezpieczeń, wreszcie pozyskiwanie loginów i haseł do bankowości elektronicznej. Jeżeli potencjalna ofiara okaże się zasobna, złamanie dodatkowych zabezpieczeń umożliwiających przelewy na większe kwoty, jest tylko kwestią czasu. Jeśli ofiara zostanie dobrze rozpracowana, wystarczy poczekać aż sama autoryzuje taką transakcję. Sprytny włamywacz mający dostęp np. do domowego routera Wi-Fi jest w stanie podmienić w locie numery rachunków i uzyskać spore kwoty zanim ofiara się zorientuje.

Plagą stają się ataki na systemy bankowości elektronicznej, w ramach których defraudowane są środki znacznie większe, niż w przypadku konsumenckiej bankowości internetowej. Kontrasygnaty, certyfikaty cyfrowe i limity transakcji na niewiele się zdają, gdy sieć firmy lub instytucji jest pod kontrolą atakujących. Aby zainfekować, a następnie przejąć kontrolę nad komputerem włamywacze potrafią wykorzystywać słabości ludzi, błędy funkcji kryptograficznych przeglądarek, luki w systemach operacyjnych, a nawet obchodzić zabezpieczenia protokołów sygnalizacji w sieciach telekomunikacyjnych.

Dyskusja nie toczy się już na poziomie „czy”, ale „kiedy”, oraz jakie kwoty zostaną skradzione z powodu niedostatecznej ochrony systemów transakcyjnych. Nawet jeżeli fakt włamania zostanie wykryty, utraconych środków zwykle nie daje się odzyskać. Włamywacze wykonują przelewy błyskawiczne i natychmiast podejmują pieniądze w gotówce w bankomacie, albo wysyłają je przekazem pieniężnym do kraju, z którym Polska nie prowadzi współpracy w sprawie przestępstw gospodarczych. W ten sposób kilka polskich gmin w ciągu ostatniego roku pozbyło się kwot rzędu kilkuset tysięcy do ponad pół miliona złotych. Techniki wykorzystane podczas włamań do systemów bankowości elektronicznej samorządów były na tyle skuteczne, że bardzo łatwo mogły skończyć się stratami większymi o jedno zero.

Nawet jeżeli „wina” w formie takiego czy innego niedopatrzenia leżała po stronie samorządów, banki nie mogą pozostać bierne wobec takich przypadków. Sprawa ochrony systemów transakcyjnych jest obecnie piląca. Na wielu tegorocznych konferencjach dotyczących bezpieczeństwa prezentowane były liczne techniki omijania funkcji zabezpieczeń uważanych do niedawna za bardzo skuteczne. Wygląda na to, że tradycyjne hasła jednorazowe, hasła przesyłane SMS-em, ani nawet hasła generowane przez kieszonkowe tokeny, nie chronią już przed kradzieżą środków z konta. Co gorsza, nie są to zagrożenia teoretyczne, ale sprawdzone w działaniu i w dużej mierze zautomatyzowane. Upowszechnienie się nowych technik ataków, jak w przypadku wielu innych w latach poprzednich, jest tylko kwestią czasu. Krótkiego, niestety.


„Wygląda na to, że tradycyjne hasła jednorazowe, hasła przesyłane SMS-em, ani nawet hasła generowane przez kieszonkowe tokeny, nie chronią już przed kradzieżą środków z konta. Co gorsza, nie są to zagrożenia teoretyczne, ale sprawdzone w działaniu i w dużej mierze zautomatyzowane. Upowszechnienie się nowych technik ataków, jak w przypadku wielu innych w latach poprzednich, jest tylko kwestią czasu. Krótkiego, niestety”


Logika biznesowa na pomoc technologii

Dopóki każdy obszar operacyjny w banku jest niezależną wyspą, z własnym zestawem reguł, systemów zabezpieczeń, administratorów i menedżerów, przestępcy mają przewagę. Mogą te same metody wykorzystywać wielokrotnie – bez ryzyka wykrycia w wyniku porównania ich działań z dokładnym lub uogólnionym wzorcem historycznym. Nie muszą też obawiać się, że ich celowo rozproszone poczynania zostaną ze sobą skojarzone jako elementy jednego, ukierunkowanego planu. Centralne monitorowanie zdarzeń transakcyjnych we wszystkich kanałach w czasie rzeczywistym to absolutne minimum, jakie banki muszą przedsięwziąć niezwłocznie.

W razie wątpliwości warto pamiętać, że włamywaczy, w przeciwieństwie do banków, nie ograniczają podziały departamentalne, zakresy odpowiedzialności za fragmenty biznesu, poszczególne systemy, warstwy infrastruktury, ani też biurowa polityka. Ich cele są jednoznaczne, a metody działania praktycznie dowolne. Carbanak zweryfikował pewną koncepcję. Pokazał także, że banki pomimo teoretycznie wyrafinowanych zabezpieczeń można przechytrzyć, i to na dużą skalę. Ujawnienie informacji o skutecznych atakach na banki może tylko skłonić kolejnych chętnych do podjęcia prób powtórzenia tych „sukcesów”.

Skoro zabezpieczenia na poziomie informatycznym, tj. w warstwie sieci, protokołów aplikacyjnych oraz uwierzytelniania i autoryzacji użytkowników systemów coraz częściej okazują się niewystarczające wobec zdeterminowanych atakujących, należy je rozszerzyć o zabezpieczenia oparte na logice biznesowej. Na takiej zasadzie działają (skutecznie) dedykowane systemy zapobiegania nadużyciom i praniu brudnych pieniędzy. Koncepcje i architektury stosowane w tych systemach można z powodzeniem wykorzystać także w obszarze bezpieczeństwa transakcji elektronicznych, w tym kartowych, transakcji elektronicznych realizowanych w Internecie, a także w przypadku ryzyka kredytowego.

Nasze doświadczenia w dziedzinie analityki związanej z nadużyciami sugerują, że w systemach służących do monitorowania transakcji kluczowe są następujące czynniki:

  • monitoring wszystkich dostępnych źródeł informacji
  • jakość bazy porównawczej obejmującej wzorce „surowe” i uogólnione
  • modele analityczne dopasowane do konkretnych obszarów ryzyka
  • parametryzacja modeli analitycznych zgodna z praktyką operacyjną konkretnej instytucji

Wszystkie te czynniki są ważne. Kluczem do skutecznego przeciwdziałania nadużyciom jest bowiem zdolność do błyskawicznego ustalenia, czy w tych określonych okolicznościach konkretna transakcja lub operacja jest dla konkretnego klienta lub pracownika typowa, czy też nie.


„Skoro zabezpieczenia na poziomie informatycznym, tj. w warstwie sieci, protokołów aplikacyjnych oraz uwierzytelniania i autoryzacji użytkowników systemów coraz częściej okazują się niewystarczające wobec zdeterminowanych atakujących, należy je rozszerzyć o zabezpieczenia oparte na logice biznesowej. Na takiej zasadzie działają (skutecznie) dedykowane systemy zapobiegania nadużyciom i praniu brudnych pieniędzy. Koncepcje i architektury stosowane w tych systemach można z powodzeniem wykorzystać także w obszarze bezpieczeństwa transakcji elektronicznych, w tym kartowych, transakcji elektronicznych realizowanych w Internecie, a także w przypadku ryzyka kredytowego”


Niebezpieczne chodzenie na skróty

W toku współpracy z klientami mieliśmy okazję przyglądać się różnym rozwiązaniom zapobiegającym nadużyciom, wywodzącym się z rynków zagranicznych, głównie USA i Wielkiej Brytanii. Wdrażanie ich w realiach polskich jest technicznie możliwe, ale z punktu widzenia celu wdrożenia, a więc faktycznego podniesienia bezpieczeństwa transakcji bankowych – nie ma to raczej sensu. Sęk w tym, że założenia dla tych systemów, a ostatecznie także ich konstrukcje, są odbiciem tamtejszych realiów. Odzwierciedlają to, jak funkcjonuje rynek bankowy, jak wyglądają poszczególne etapy transakcji, jak przebiega proces kredytowy, jakie instytucje dostarczają informacji będących podstawą do wnioskowania, jaki jest zakres i poziom szczegółowości tych informacji itd. Wiele tych różnic można zniwelować, ale nie oszukujmy się, nie wszystkie, i niekoniecznie te najważniejsze.

Znaków zapytania jest w przypadku rozwiązań zagranicznych więcej. Przykładowo, niektóre z nich wysyłają dane do chmury dostawcy usługi. Sama filozofia jest dobra i świetnie odpowiada potrzebom przeróżnych biznesów, w tym np. sklepów internetowych. W przypadku banku korzyści niekoniecznie górują nad potencjalnymi zagrożeniami. Kto zbiera, jakie informacje, w jakim zakresie, jak bardzo anonimowo, gdzie je przetwarza i co dalej z nimi robi – tego nie można się już dowiedzieć, a już na pewno nie można tego zweryfikować. Ponadto, producent oprogramowania nie zwróci bankowi środków wydanych na pokrycie strat, ani też nie poniesie realnej odpowiedzialności, gdy dane o transakcjach dostaną się w niepowołane ręce.

Na Zachodzie dostępne są także rozwiązania wymagające świadomej instalacji dodatkowego oprogramowania na komputerze, którego zadaniem jest ochrona przed oszustwami. Klient ufa bankowi, ale czy może ufać firmie trzeciej? Zwłaszcza, że jej oprogramowanie umożliwia zbieranie i analizowanie informacji nie tylko podczas sesji z serwisem transakcyjnym banku, ale cały czas. Według nas takie rozwiązania są nieakceptowalne zarówno dla banków, jak i dla ich klientów.

Warto też podkreślić, że spełnianie przez jakieś rozwiązanie takich czy innych kryteriów czy też certyfikacja na zgodność z określonym standardem, nie oznacza automatycznie wysokiego bezpieczeństwa. W wykrywaniu nadużyć ponad wszystko liczy się wyobraźnia. Atakujący wiedzą, że banki dysponują rozwiązaniami zabezpieczającymi i kadrą specjalistów – i uwzględniają to w swoich kalkulacjach. Wiedzą, że każdy system obrony ma luki. Potrafią ich żmudnie szukać, a gdy znajdą, wykorzystać. Rozwiązania monitorujące transakcje na poziomie biznesowym służą właśnie temu, aby zapewnić ochronę pomimo przełamania zabezpieczeń technicznych.


„W toku współpracy z klientami mieliśmy okazję przyglądać się różnym rozwiązaniom zapobiegającym nadużyciom, wywodzącym się z rynków zagranicznych, głównie USA i Wielkiej Brytanii. Wdrażanie ich w realiach polskich jest technicznie możliwe, ale z punktu widzenia celu wdrożenia, a więc faktycznego podniesienia bezpieczeństwa transakcji bankowych – nie ma to raczej sensu. Sęk w tym, że założenia dla tych systemów, a ostatecznie także ich konstrukcje, są odbiciem tamtejszych realiów”


Bezpieczeństwo z wiedzy o kliencie

Na podstawie wdrożeń rozwiązań zapobiegających nadużyciom w bankowości (wewnętrzne, zewnętrzne, webowe, kredytowe), realizowanych zarówno w kraju, jak i za granicą, potrafimy wskazać kluczowe zagrożenia w poszczególnych kategoriach i najskuteczniejsze metody obrony przed nimi. Przykładowo, w warunkach polskich jednym z kluczowych obszarów są wyłudzenia kredytowe lub transakcje pomiędzy osobami fikcyjnymi lub figurantami, zwanymi popularnie „słupami”. Dlatego ważne są czarne listy zawierające informacje o popełnionych przestępstwach, ale też o podejrzeniach takich przestępstw. Rozwiązaniem kompleksowo pokrywającym ten obszar jest platforma kdprevent, a dokładnie jej moduł BIZBCB – Baza Incydentów Zagrażających Bezpieczeństwu Czynności Bankowych.

BIZBCB to tylko jedno z istotnych źródeł danych. W kontekście zaawansowanych technik nadużyć, w których uczestnikami lub pomocnikami mogą być osoby pracujące w banku, konieczne jest posiadanie aktualnej listy pracowników wraz z opisem ich zakresów obowiązków i poziomem dostępu do systemów. Informacje o pracownikach mogą uwzględniać także poziom ich zadłużenia, historię zatrudnienia itp. Te i inne informacje łącznie dają pewien obraz, na podstawie którego (z uwzględnieniem danych o aktywności w systemach oraz danych na temat transakcji) można wyciągać przynajmniej wstępne wnioski.

W przypadku tradycyjnych transakcji elektronicznych decyzja o dopuszczeniu lub zablokowaniu ich musi być natychmiastowa. Sprawdzonym rozwiązaniem w tej dziedzinie jest IMPAQ Credit Fraud Detection. Parametry i okoliczności transakcji porównywane są automatycznie z odpowiednio przygotowaną historią transakcji klienta (m.in. różne perspektywy czasowe). Analiza odbywa się w wielu wymiarach, m.in. z uwzględnieniem wielkości kwot, częstości realizowania, kolejności w stosunku do innych transakcji, odległości społecznej między stronami transakcji, podobieństwa do analogicznych transakcji wykonywanych przez osoby z tego samego segmentu ryzyka – wszystko zależy od zastosowanych reguł.

W przypadku transakcji internetowych dodatkowo uwzględniana jest długa lista parametrów technicznych, których szczegółowe omawianie wykracza po za zakres niniejszego tekstu. W skrócie, chodzi o upewnienie się, czy klient jest osobą, za którą się podaje, czy w trakcie realizacji transakcji nie podszywa się pod niego inna osoba, lub też, czy komputer klienta nie został zainfekowany złośliwym oprogramowaniem. Dopiero jednak połączenie zabezpieczeń technicznych z metodami oceny ryzyka i zabezpieczeniami zdefiniowanym na poziomie biznesowym, pozwala stworzyć skuteczny system obrony banku i jego klientów przed nadużyciami.


„W przypadku transakcji internetowych dodatkowo uwzględniana jest długa lista parametrów technicznych (…). W skrócie, chodzi o upewnienie się, czy klient jest osobą, za którą się podaje, czy w trakcie realizacji transakcji nie podszywa się pod niego inna osoba, lub też, czy komputer klienta nie został zainfekowany złośliwym oprogramowaniem. Dopiero jednak połączenie zabezpieczeń technicznych z metodami oceny ryzyka i zabezpieczeniami zdefiniowanym na poziomie biznesowym, pozwala stworzyć skuteczny system obrony banku i jego klientów przed nadużyciami”


 
Ewa Pasewicz jest dyrektorem sprzedaży w sektorze bankowym w firmie IMPAQ. Można się z nią skontaktować pod adresem ewa kropka pasewicz w domenie impaqgroup kropka com.

Dariusz Wojtas jest kierownikiem rozwoju produktów i ekspertem w dziedzinie systemów zabezpieczeń transakcji bankowych w firmie IMPAQ. Można się z nim skontaktować pod adresem dariusz kropka wojtas w domenie impaqgroup kropka com.