Iz banaka nam sve češće stižu obavijesti o tome kako bilježe sve veći broj lažnih SMS/e-mail poruka i poziva upućenih poslovnim korisnicima. Klijente pri tome upozoravaju da ni u kojem slučaju ne otvaraju poveznice sadržane u takvim SMS/e-mail porukama te da ne upisuju svoje osobne i ostale osjetljive podatke (podaci o broju kartice, CVV i sl.), jer banka takvo što nikada neće tražiti putem e-maila/SMS-a ili telefonskoga poziva.
Iz jedne od banka navode kako prepoznati pokušaj prijevare. Zlonamjerni pošiljatelj šalje lažnu SMS/e-mail poruku u kojoj navodi razlog zbog kojeg je potrebno ažurirati podatke; ako korisnik upiše osnovne podatke (između ostaloga i kontakt broj) u lažnu formu korisnik zaprima poziv s lažiranog broja pozivatelja (pr. kontakt centar Banke); korisnika se putem lažnoga poziva traže dodatni osjetljivi podaci, pa se putem istih ostvaruje pristup usluzi digitalnoga bankarstva čime se omogućava krađa sredstava s korisničkog računa. Svaki sumnjivi napad, preporučuju, osim banci treba prijaviti i Nacionalnom CERT-u.
Iako su sve češći i hakerski napadi na banke, učestaliji su phishing napadi na klijente. Posljednji u nizu takvih napada dogodio se u RBA gdje su, kako su Lideru dojavili klijenti banke, mnogim poslovnim klijentima ‘očišćeni‘ računi – samo jednoj je od tvrtki s računa pokupljeno 100 tisuća eura!
Iz RBA poručuju kako su klijenti bili izloženi upravo phishing napadu.
- Sustav upravljanja informacijskom sigurnošću Raiffeisen banke usklađen je s važećim regulativama i najboljim sigurnosnim praksama. Banka koristi niz sigurnosnih alata kojima se omogućava pravovremena i efikasan detekcija sigurnosnih prijetnji te prevencija potencijalnih sigurnosnih incidenata. Zato u posljednjih nekoliko godina nismo imali sigurnosnih incidenata za koje bi postojala obveza izvješćivanja HNB-a i nadležnog CERT-a sukladno Zakonu o kibernetičkoj sigurnosti – tumače u banci dodajući da se u posljednje vrijeme primjećuje povećan broj phishing napada usmjerenih primarno na poslovne subjekte!
Phishing napadi odnose se na lažnu komunikaciju e-mailom, emailom ili SMS-om u kojoj se počinitelj predstavlja kao banka, a ima za cilj prikupiti podatke koji će omogućiti provođenje prijevarnih transakcija. Podaci koji se u pravilu traže su PIN kartice ili uređaja za autentifikaciju, CVV/CVC kreditne kartice, instalaciju nekog alata poslanog putem e-mail poruke ili SMS-a te datum, vrijeme i iznos transakcije ili pristupni kod za prijavu na internetsko bankarstvo što spada u informacije koje banka nikada neće tražiti svojeg klijenta. Naša je poslovna praksa brzo i efikasno reagirati prema korisnicima naših usluga i to odmah po saznanju da je neka od vrsta napada trenutno aktivna i potrebi za povećanim oprezom. Istovremeno poduzimamo sve moguće radnje kako bi se napad na klijente zaustavio i lažni sadržaj uklonio te obavještavamo MUP i nadležne institucije. Ozbiljno i odgovorno pristupamo svakom pokušaju prijevare te analiziramo svaku situaciju individualno i tražimo najbolje rješenje za sve uključene strane.
Kako je odgovornost klijenta čuvati svoje podatke od trećih strana vjerujemo da je upravo edukacija i podizanje svijesti klijenata najvažniji element kada je riječ o informacijskoj sigurnosti korisnika. Adekvatno informirani klijenti bit će u mogućnosti donijeti pravu odluku u ključnome trenutku. Zato su važni programi podizanja svijesti o kibernetičkoj sigurnosti. Tako smo i mi nedavno lansirali RBA SHIELD program. Tim programom želimo pomoći u podizanju svijesti o informacijskoj sigurnosti kako bi u konačnici ljudi primijenili odgovarajući odgovor na danu situaciju ili prijetnju, jer podizanjem razine pažnje na strani klijenata zajedno sa svim navedenim djelovanjima banke u najvećoj mogućoj mjeri doprinosimo prevenciji ovakvih kaznenih djela – poručuju iz Raiffeisen banke.
Lažni e-mailovi
U Erste banke, čiji su klijenti također sve češće na meti napada, kažu kako osim kontinuiranog informiranja klijenata o aktualnim napadima te potrebi opreza pri zaprimanju neočekivanih e-mailova ili poruka nepoznatih pošiljatelja, banka koristi brojne sustave za detekciju infekcije uređaja zlonamjernim programima i analizu ponašanja klijenata na digitalnim kanalima. Ako se uoči sumnjiva ili neuobičajena aktivnost, poduzimaju se preventivne aktivnosti u cilju sprječavanja prijevare. Sigurnost podataka i sustava usklađena je sa svim zakonima i regulativama te se ažurira u skladu s najboljim sigurnosnim praksama.
- U bankarskoj industriji, phishing se napadi najčešće manifestiraju kroz lažne e-mailove u kojima napadači šalju poveznice na lažne (phishing) stranice. Na tim se stranicama predstavljaju kao banka ili često kao državne institucije te pokušavaju doći do osjetljivih podataka klijenata kao što su prijavni podaci ili aktivacijski kodovi za novi mToken. Sve češće vidimo i slučajeve gdje prevaranti kombiniraju kartične podatke i podatke za prijavu na digitalne kanale, te tako na višestruke načine pokušavaju otuđiti sredstva klijenata. Uz te napade, važno je spomenuti i investicijske prijevare u kombinaciji s aplikacijama za udaljeno upravljanje uređajima.
U takvim slučajevima klijent komunicira s napadačem koji stekne njegovo povjerenje i nagovori ga da instalira aplikacije za udaljeno upravljanje uređajima kako bi mu navodno pomogao u investiranju. Zapravo, napadač nakon toga može bez klijentovog znanja izvršavati transakcije i otuđiti dostupna sredstva. Meta phishing napada i tehnika socijalnog inženjeringa često su klijenti banaka – kažu u Erste opisujući kako izgleda stvarni slučaj takvog napada: napadač šalje e-mail klijentu lažno se predstavljajući kao njegova banka, tražeći ažuriranje podataka kako bi klijent nastavio koristiti usluge online bankarstva.
E-mail sadrži link koji vodi na lažnu stranicu za prijavu u online bankarstvo, gdje se traži unos podataka i aktivacijskih kodova za novi mToken. Kada klijent unese podatke, napadač ih koristi za pristup klijentovim računima i izvršavanje transakcija. Dodaju da banka kontinuirano radi na mitigaciji rizika povezanog s phishingom, preventivno kroz niz edukativnih materijala za klijente i internih edukacija za zaposlenike te reaktivno kroz niz implementiranih mjera zaštite.
Marko Gulan, stručnjak za kibernetičku sigurnost naglašava kako su ulozi u bankarskoj i financijskoj industriji visoki budući da su značajni financijski iznosi u opasnosti i potencijal za značajan ekonomski preokret ako banke i drugi financijski sustavi budu ugroženi.
- Raspored tehnologija, protokola i metoda koji se nazivaju ‘kiber sigurnost‘ namijenjen je zaštiti od napada, štete, zlonamjernog softvera, virusa, hakiranja, krađe podataka i neovlaštenog pristupa mrežama, uređajima, programima i podacima. Bankarska industrija kiber sigurnosti daje veliki prioritet. Povrede podataka uzrokovane lošim rješenjem kibernetičke sigurnosti mogu lako dovesti do toga da njihova baza potrošača preseli svoje poslovanje drugamo – pojašnjava Gulan navodeći glavne prijetnje kibernetičkoj sigurnosti s kojima se suočavaju banke.
Jedan su od najčešćih problema s kibernetičkom sigurnošću u bankarskom sektoru phishing napadi. Mogu se koristiti za ulazak u mrežu financijske institucije i izvođenje ozbiljnijega napada. To može dovesti do značajnih financijskih gubitaka, gubitaka podataka i reputacije.
Problem su i ‘trojanci‘ – taj se izraz koristi za označavanje nekoliko opasnih taktika koje hakeri koriste kako bi prijevarom došli do sigurnih podataka. Sve dok se ne instalira na računalo, trojan izgleda kao softver vrijedan povjerenja. Međutim, to je zlonamjerna računalna aplikacija stvorena za pristup privatnim podacima koje obrađuju ili čuvaju sustavi internetskog bankarstva. Ovakav računalni program ima backdoor koji omogućuje pristup računalu izvana.
Cyber prijetnja poznata kao ransomware šifrira važne ili čak sve podatke i onemogućuje vlasnicima da im pristupe dok ne plate visoku cijenu ili otkupninu. Budući da se velik broj bankarskih institucija suočilo s ransomwareom u posljednjih godinu dana, on im predstavlja ozbiljnu prijetnju.
Osnovna sigurnosna higijena
Tu je i prijevara - hakeri koriste klonirane stranice u ovoj vrsti cyber napada. Predstavljajući se kao legitimna stranica Internet bankarstva, izgledom i funkcionalnošću na prvu izgleda identično, a domene imaju vrlo male izmjene. Korisnik može pristupiti ovom web-mjestu putem usluge slanja poruka treće strane. Hakeri mogu pristupiti korisničkim podacima za prijavu kada osoba ne obraća pozornost. Besprijekorna autentifikacija s više faktora može riješiti mnoge od ovih problema.
Napadi su različiti i bankama predstavljaju prilične izazove. - Jedan je svakako nedostatak znanja i izazovi povezani sa strelovitim razvojem tehnologije. Uz to je razumijevanje kibernetičke sigurnosti od strane korisnika usluga relativno nisko, a malo je poduzeća značajno uložilo u podizanje te svijesti korisnika i zaposlenika. Zbog niskog prioriteta koji se daje kibernetičkoj sigurnosti, ona često dobiva nedostatne budžete. Kibernetička sigurnost i dalje nema dovoljno pozornosti od strane managementa, a rizici su ozbiljni.
Ključna komponenta kibernetičke sigurnosti oduvijek je bila upravljanje identitetom i pristupom, osobito sada kada hakeri mogu pristupiti poslovnoj mreži sa samo jednom ranjivosti sustava. Iako je u upravljanju identitetima došlo do značajnog napretka, potrebno je još puno unaprjeđivati te sustave. Značajan rizik predstavljaju mobilni uređaji i mobilne aplikacije, a većina banaka sada posluje ponajprije putem mobilnih uređaja.
Zbog povećanih mobilnih transakcija, mobiteli su postali poželjna meta hakera. Društvene su platforme također postale značajni kanali za napade, pa su hakeri povećali iskorištavanje navedenih mreža. S jedne strane napadači koriste društvene mreže za lažno predstavljanje, a s druge strane korisnici su slabije upućeni u osobnu sigurnost te izlažu svoje podatke javnosti, što napadači zlorabe i relativno lako napade čine uspješnima – detaljizira Gulan dodajući kako je važno razlikovati napade na banke i centralne sustave banaka, te napade na korisnike.
Napadi na banke najčešće su organizirani i za posljedicu imaju narušavanje reputacije banaka, eksfiltraciju podataka kojima mogu banke natjerati na plaćanje otkupnina. Nedostatnim ulaganjem u kiber sigurnost banke mogu kontinuirano gubiti novac, ali i reputaciju. S obzirom na strogo regulirano tržište financijskog i osiguravajućeg sektora, u takvim slučajevima najčešće banke budu uz pretrpljenu štetu sankcionirane i od nadležnih agencija i regulatora, pojašnjava Gulan.
Značajno su češći napadi na korisnike i ti napadi imaju za cilj korisnike izmanipulirati kako bi napadaču ustupili podatke za pristup korisnikovom računu i sredstvima. Po pretrpljenom napadu korisnici žele vratiti izgubljena sredstva, no banke često bivaju nemoćne u takvim situacijama.
– Ako je do gubitka sredstava došlo neopreznim korištenjem osobnim i pristupnim podacima pitanje je treba li banka nadoknaditi štetu ili ne? Korisnici, ako postanu žrtve napada, u čim kraćem roku trebali bi blokirati svoje kartice i banci uputiti zahtjev za izdavanjem novih. Iako je udjel transakcija putem web trgovina sve veći, veći je i broj korisnika koji se odlučuju za posebne kartice koje koriste samo za internet plaćanja, dakle podatke s kreditnih i debitnih kartica koje koriste u fizičkom svijetu ne izlažu internetu. U poslovnome svijetu, gdje se najčešće koriste veća sredstva, odjeli banaka koji sprječavaju prevare, takozvani fraud odjeli promptno reagiraju na svaku transakciju koja nije uobičajena i pokušavaju je spriječiti – tumači Gulan.
Iz Erste preporučuju da klijenti, pogotovo u sezoni pojačane kupovine, trebaju pripaze na to da uvijek kupuju u provjerenim online trgovinama; da budu oprezni s promotivnim ponudama koje dolaze e-poštoma, pozivima ili društvenim mrežama; da ne nasjedaju na lažne poruke o dostavi pošiljke, posebno ako su vezane uz oglasnike; da se suzdrže od preuzimanja sumnjivih aplikacije te da razmisle prije nego kliknu na poveznicu u poruci koju ne očekuju.
- Važno je provoditi osnovnu sigurnosnu higijenu, odnosno redovito ažurirati i primjenjivati zaštitu podataka i sustava (lozinke, antivirus, backup, zakrpe…), zaključavati svoja računala i mobilne uređaje te suzdržavati se od slanja osjetljivih podataka preko otvorenih javnih wifi mreža. Ako se ipak dogodi slučaj nedvojbenog, dokazanog, neovlaštenog podizanja novca s računa klijenta, u najkraćem se roku pokreće procedura provjera i povrata sredstava na račun klijenta. Kada je riječ o phishingu, u takvim se situacijama također provodi detaljna i sveobuhvatna analiza u kojoj se procjenjuju sve okolnosti nastalog slučaja, a ako se u bilo kojem njegovom dijelu utvrdi odgovornost banke, klijent se u pravilu obeštećuje – zaključuju u Erste.
Dakle, ako su napadnuti klijenti banke i ispražnjeni su im računi banka će nadoknaditi krađu samo je riječ o dokazanoj odgovornosti/propustu banke. Stoga i banke i stručnjaci za kibernetičku sigurnost preporučuju edukaciju i – oprez!