W UE mamy średnio 26 kont online i tylko pięć haseł, to gratka dla hakerów

Eksperci nie byli natomiast w pełni zgodni, co do trendów ilościowych w atakach hakerskich na instytucje bankowe.

Debata ekspercka odbyła się w ramach Kongresu Ryzyka Bankowego organizowanego przez Biuro Informacji Kredytowej (BIK).

Pieter van Tienen, który w irlandzkiej spółce informatycznej Experian, zajmuje się oszustwami internetowymi, zauważył, że przybywa kradzionych na świecie danych. „Pewna liczby mówią, że skradziono więcej danych, niż jest ludzi na Ziemi. Możemy więc założyć, że wszystkie nasze dane zostały już kiedyś skradzione” - zaznaczył.

Według niego, przyczyniają się do tego sami konsumenci przez zbyt słabą ochronę sowich kont internetowych. Zwrócił uwagę, że średnio Europejczycy mają 26 różnych kont online, jednocześnie używając tylko pięć haseł do ich ochrony.

Zdaniem dyrektor zarządzającej w Biurze Informacji Kredytowej Agnieszki Szopy-Maziukiewicz, hakerzy w większości skupiają się na klientach banków, ponieważ same instytucje finansowe wydały dziesiątki milionów na ochronę przed atakami.

„Ponad 50 proc. ataków jest ukierunkowanych na użytkownika końcowego i na kradzież tożsamości. I to nie złośliwym oprogramowaniem, tylko metodami socjotechnicznymi, socjotechniką i manipulacją” - podkreśliła.

Według niej, hakerzy prowadzą swoją ofiarę w taki sposób, że niczego nieświadomy klient banku podaje im wszystkie dane, a bardzo częste są przypadki ataków i wyłudzeń tożsamości z zastosowaniem techniki podszywania się pod znajomych.

„Stosunkowo łatwo jest przejąć hasło do Facebooka i podszywając się pod znajomego wysyłać prostego maila: +kup mi proszę słuchawki na Allegro, ja dzisiaj nie mogę, a właśnie się kończy aukcja, tu jest link, pieniądze oddam ci jutro+” - wyjaśniła Szopa-Maziukiewicz.

Dodała, że link prowadzi do fałszywej strony pośrednika płatności, następnie wyświetla się strona bankowości elektronicznej, która też jest fałszywa.

„Podajemy login i hasło i haker ma wszystkie dane, żeby dostać się do bankowości elektronicznej. W przypadku sms-owych haseł z reguły nie czytamy całego komunikatu, wyłącznie kod i myśląc, że akceptujemy transakcję za te słuchawki, otwieramy drogę do wypływu środków” - powiedziała.

Dlatego, jej zdaniem, należy rozszerzyć ochronę użytkownika końcowego. „Potrzeba jest budowa dodatkowych metod uwierzytelniających (poza tradycyjnymi loginem i hasłem). Nie muszą być to metody, który utrudniają życie, ale np. identyfikacja urządzeń, w przypadku której przez bankowość elektroniczną zbierane są informacje o parametrach urządzenia. Prosty login i hasło nie wystarczą” - oceniła przedstawicielka BIK. 

Jarosław Mastalerz z mBanku przyznał, że kreatywność przestępców „czasem budzi podziw”. Odnosząc się do trendów w atakach, ocenił, że z reguły przeprowadzane są na klientów banków, bo same banki przypominają twierdze.

„Patrząc na ewolucje systemów bezpieczeństwa banków przez ostatnie 10 lat, mamy teraz wielkie, potężne twierdze, do których w ogóle się ciężko dostać, ale włamywać się do banków już nikt właściwie nie chce, bo łatwiej się włamać na urządzenie klienta” - ocenił.

Innego zdania jest wiceprezes BZ WBK SA Feliks Szyszkowiak, który uważa, że rosną zarówno skala jak i jakość ataków. „Patrząc po ilości spraw, które wykrywamy, to ich też przybywa. Chyba jednak w większości banków to rośnie, ale musimy mieć wzgląd na jedną sprawę - rośnie bardzo mocno ilość transakcji” - zaznaczył.

Zwrócił uwagę na coraz sprawniejsze działania hakerów. „Jeszcze niedawno strony używane do prób phishingu (pozyskania poufnej informacji osobistej) miały w sobie zawarty dziwny język polski, albo wręcz chińskie znaczki, dzisiaj to wygląda jak normalna, profesjonalna strona danej instytucji” - zauważył.

Według pełnomocnika zarządu ds. Bankowego Centrum Cyberbezpieczeństwa Związku Banków Polskich Piotra Balcerzaka, ataki na infrastrukturę banków odnotowywane są niemal każdego dnia, natomiast o skutecznym atakach możemy mówić rzadko, licząc je na palcach jednej ręki, a może nawet rzadziej.

„Te ataki na pewno będą się nasilać, natomiast trzeba wyraźnie powiedzieć, że bank - jako podmioty profesjonalne - wydają ogromne środki na to, żeby te pieniądze były zdeponowane bezpiecznie, bo najgorszym scenariuszem, który może dosięgnąć bank, to ryzyko utraty reputacji. I do tego na pewno banki nie dopuszczą” - uznał Balcerzak.

XII Kongres Ryzyka Bankowego jest największym, corocznym spotkaniem finansistów i bankowców poświęconym nowym wyzwaniom w zarządzaniu ryzykiem w sektorze bankowym. Organizatorem kongresu, który w tym roku odbywa się po raz 12, jest Biuro Informacji Kredytowej, a jego gospodarzem - prezes BIK dr Mariusz Cholewa.