Carbanak – Zorganizowana przestępczość oparta na wiedzy

Niedawno pojawiła się wiadomość o największym jak do tej pory przestępstwie komputerowym. Z kliku banków wykradziono duże sumy, mówi się o łącznej kwocie między 300 a 1000 milionów dolarów. Do ataku wykorzystano mechanizm, który można uznać za konia trojańskiego wspieranego przez zespół analityków. W ataku niezwykła jest skala prowadzonej operacji, która trwała wiele miesięcy a nawet lat i dotknęła kilkudziesięciu banków.

O sprawie pisał NYT w walentynki (14.02.2015) i Reuters, skala operacji była (jest?) olbrzymia. Mechanizm działania był następujący:

  1. Pocztą elektroniczną rozsyłano malware zwane Carbanak – to był koń trojański, wymagał pomocy użytkownika żeby przejść przez ścianę zabezpieczeń. Celowano w pracowników banków, w ich identyfikacji pewnie pomagały sieci społecznościowe.
  2. Carbank instalował oprogramowanie monitorujące pracę komputera, rejestrujące co użytkownik wpisał, wysyłające zrzuty ekranów. Poszukiwano przede wszystkim komputerów użytkowników uprzywilejowanych (administratorzy) i mających dostęp do systemu bankowego.
  3. Zainfekowane komputery były śledzone przez wiele miesięcy a zbierane dane analizowane. Na ich podstawie grupa odtwarzała bankowe procedury i uczyła się budować transakcje, na tyle bliskie legalnym, ze system wykrywania nadużyć używany przez bank uznawał je za prawdziwe.
  4. Mając rozpracowane procedury bankowe grupa wykonywała szereg transakcji, za pomocą których wyprowadzała środki z banku i przelewała je na swoje konta. Czasem służyły do tego przelewy ale były też przypadki wykorzystywania bankomatów. Podobno firmę Kaspersky zaangażowano do badania sprawy po tym jak jeden z bankomatów w Kijowie zaczął spontanicznie wypłacać pieniądze, które zgarniali pozornie przypadkowi przechodnie.

Dlaczego jest to nowa jakość?

  1. Świadomość używanych przez bank zabezpieczeń i systematyczne podejście do ich ominięcia wskazuje, na kooperację specjalistów z wielu dziedzin (IT, bankowość, wywiad). To jest zorganizowana przestępczość oparta na wiedzy.
  2. Organizacja przedsięwzięcia – długotrwałą analiza i opracowanie systemu pozwalającego na wyprowadzanie środków z banku wymagała pewnie sporego zaplecza. Za Carbanak musiała stać duża dobrze zorganizowana grupa. Ciekawe jak taka grupa powstała i dlaczego stróże prawa nic o niej nie wiedzieli?
  3. Skala strat, które być może przekraczają miliard dolarów i to, że (prawdopodobnie) okradziony został system bankowy (bank nie jego klienci). Banki niechętnie przyznają się do takich zdarzeń jak utrata środków skutkiem luk w wewnętrznym bezpieczeństwie, bo to bije w ich reputację i pociąga za sobą działania nadzoru. Czasem wygodniej jest milczeć i zaksięgować zdarzenie w straty nadzwyczajne.

Zwalczanie tego typu przestępczości będzie wymagać zmiany podejścia do bezpieczeństwa w świecie korporacyjnym. Być może dlatego w USA powstaje CTIIC – nowy urząd zajmujący się bezpieczeństwem cyberprzestrzeni ukierunkowany na wymianę informacji między firmami i rządem. Może zobaczymy nawet zmiany w prawie wprowadzające sankcje za zamiatanie pod dywan skutków działania cyberprzestępców? Bez otwartej wymiany informacji między ofiarami takich działań zwalczanie zorganizowanej przestępczości w sieci będzie bardzo trudne.

Według dotychczasowych informacji grupa Carbanak okradała banki. Nie znaczy to jednak,  że klienci banków są całkowicie bezpieczni. Stopień penetracji infrastruktury i procesów banku był olbrzymi, grupa na pewno miała dostęp do danych klientów (dane osobowe, informacje o rachunkach, kartach kredytowych). Pewnie miała także możliwość wykonywania transakcji w imieniu klientów lub podmiany danych, choćby takich jak numery rachunków na stałych zleceniach, rachunków zdefiniowanych lub rachunków zaufanych. Jeżeli klient wykona przelew, na podmieniony rachunek udowodnienie, że wina leżała całkowicie po stronie banku może być wątpliwe. Można też stać się mimowolnym wspólnikiem grupy jeżeli nasz rachunek będzie wykorzystywany jako stacja przesiadkowa do wysyłania wykradzionych z banku pieniędzy na rachunek grupy w innym banku. Klient banku może ograniczyć takie ryzyko i we własnym interesie powinien z takiej możliwości korzystać:

  1. Regularnie kontrolować historię swojego rachunku bankowego.
  2. Sprawdzać numer rachunku zdefiniowanego kontrahenta wysyłając przelew, zwłaszcza na większą kwotę.
  3. Ustawić powiadomienia o transakcjach jeżeli bank oferuje taką możliwość.
  4. Przechowywać kopie wyciągów bankowych poza systemem banku.
  5. Przeczytać umowę rachunku bankowego i regulamin zwłaszcza część określającą odpowiedzialność klienta i banku i procedurę powiadamiania banku o wykrytym ataku

Klient banku ma umiarkowane możliwości zapobiegania atakom, ale przez regularne śledzenie aktywności na swoim rachunku może szybko wykryć włamanie i powiadomić o nim bank ograniczając przez to ryzyko dużych strat. W czasach bankowości elektronicznej staromodny wyciąg bankowy staje się istotnym elementem systemu bezpieczeństwa.

 

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.