Crimeware: rozpoczyna si臋 nowa runda starcia...
11 maja 2010 |
Analityk zagro偶e艅, Kaspersky Lab
- Wprowadzenie
- Cyberprzest臋pcy w natarciu
- Czy bran偶a antywirusowa natrafi艂a na 艣cian臋 technologiczn膮?
- Organizacje finansowe a ochrona klient贸w
- Czy istniej膮 efektywne rozwi膮zania?
- Wsparcie rz膮dowe
- Wnioski
- S艂owniczek
Wprowadzenie
Artyku艂 ten przedstawia analiz臋 ostatnich atak贸w przeprowadzonych przez szkodliwe programy na klient贸w organizacji finansowych. Autor skoncentrowa艂 si臋 na rywalizacji o kontrol臋 pomi臋dzy "finansowym" szkodliwym oprogramowaniem, zwanym crimeware, a bran偶膮 antywirusow膮. Ponadto, przyjrza艂 si臋 konfrontacji pomi臋dzy oprogramowaniem crimeware a sektorem finansowym jako ca艂o艣ci膮.
W artykule nie zosta艂y om贸wione metody infekowania komputer贸w u偶ytkownik贸w ani inne taktyki, takie jak phishing czy socjotechnika, stosowane przez cyberprzest臋pc贸w do atakowania organizacji finansowych. Zagadnienia te nadal s膮 aktualne, jednak zosta艂y szczeg贸艂owo om贸wione w artyku艂ach opublikowanych wcze艣niej, na przyk艂ad tutaj: http://www.viruslist.pl/analysis.html?newsid=510.
Celem tego artyku艂u jest odpowied藕 na pytanie - czy w obecnych warunkach mo偶na skutecznie zatrzyma膰 fal臋 szkodliwego oprogramowania atakuj膮cego bran偶臋 finansow膮?
Artyku艂 ten jest przeznaczony g艂贸wnie dla ekspert贸w i specjalist贸w pracuj膮cych w instytucjach finansowych, jak r贸wnie偶 specjalist贸w z dziedziny IT zainteresowanych tym tematem.
Zanim przejd臋 dalej, chcia艂bym podkre艣li膰, 偶e rankingi organizacji finansowych zawarte w tym artykule nie odzwierciedlaj膮 ich wiarygodno艣ci (lub jej braku). Rankingi te cz臋sto opieraj膮 si臋 na popularno艣ci systemu, na kt贸rym pracuje u偶ytkownik. Wnioskowanie o wiarygodno艣ci systemu bezpiecze艅stwa banku na podstawie materia艂贸w przedstawionych w tym artykule by艂oby niew艂a艣ciwe.
Cyberprzest臋pcy w natarciu
Coraz cz臋艣ciej s艂yszymy o udanych atakach cyberprzest臋pc贸w na klient贸w organizacji finansowych. Ataki wykorzystuj膮ce szkodliwe oprogramowanie zwykle przeprowadzane s膮 wed艂ug utartego schematu: poszukiwanie odpowiedniej ofiary i infekcja komputera, kradzie偶 danych umo偶liwiaj膮cych logowanie do system贸w bankowo艣ci online, a nast臋pnie pobranie 艣rodk贸w z konta ofiary.
Doskona艂ym przyk艂adem takiego szkodliwego oprogramowania jest szkodnik (zestaw narz臋dzi) nale偶膮cy do rodziny Zbot, znany r贸wnie偶 jako ZeuS.
Jest to szkodliwe narz臋dzie do kradzie偶y danych uwierzytelniaj膮cych podczas logowania si臋 u偶ytkownika do kont bankowych online. ZeuS by艂 bardzo aktywny przez ca艂y 2009 rok i nadal stanowi powa偶ne zagro偶enie, najwyra藕niej 艣miej膮c si臋 w twarz specjalistom bezpiecze艅stwa IT, kt贸rzy wiele razy pr贸bowali zdj膮膰 botnety ZeuSa . Nadal dzia艂a ponad 700 centr贸w kontroli tego botnetu, z kt贸rych ka偶de kontroluje 艣rednio dwadzie艣cia do pi臋膰dziesi臋ciu tysi臋cy zainfekowanych komputer贸w. Na podstawie tych danych mo偶emy si臋 jedynie domy艣la膰, jaka jest liczba potencjalnych ofiar. Dodajmy, 偶e te centra kontroli s膮 rozsiane po ca艂ym 艣wiecie (zobacz Rysunek 1):
Tak du偶y zasi臋g geograficzny centr贸w kontroli zapewnia botnetowi d艂ugowieczno艣膰. Jak pokazuje do艣wiadczenie, nie wystarczy zamkn膮膰 kilka stron hostingowych, aby niszczy膰 botnet. 9 marca Roman Husse, kt贸ry monitorowa艂 botnet przy u偶yciu narz臋dzia ZeuS Tracker, zauwa偶y艂 gwa艂towny spadek liczby centr贸w kontroli i stwierdzi艂, 偶e ma to zwi膮zek z "od艂膮czeniem" dostawcy us艂ug internetowych o nazwie Troyak. Do 11 marca liczba centr贸w kontroli zmniejszy艂a si臋 do 104. Jednak dwa dni p贸藕niej Troyak znalaz艂 nowego dostawc臋 i do 13 marca liczba centr贸w kontroli ponownie wzros艂a do 700, zatem nied艂ugo mogli艣my cieszy膰 si臋 dobrymi wiadomo艣ciami.
Rodzina szkodliwego oprogramowania ZeuS nie jest jedynym zestawem narz臋dzi, kt贸ry zosta艂 stworzony, aby umo偶liwi膰 kradzie偶 danych logowania u偶ytkownika w celu uzyskania dost臋pu do jego finans贸w online. Na przyk艂ad zestaw narz臋dzi Spy Eye potrafi nie tylko kra艣膰 wymagane dane, ale r贸wnie偶 niszczy膰 swojego konkurenta ZBot/Zeus, co oznacza, 偶e tu偶 obok nas toczy si臋 wirtualna wojna. Podobn膮 s艂aw膮 cieszy艂 si臋 botnet Mariposa, kt贸ry sk艂ada艂 si臋 z 13 milion贸w komputer贸w na ca艂ym 艣wiecie i zosta艂 zdj臋ty przez policj臋 hiszpa艅sk膮 w grudniu 2009.
W panelu kontrolnym botnetu Spy Eye cyberprzest臋pcy stosowali ikonki w stylu ma艂ych sakiewek pieni臋dzy do przedstawienia ka偶dego u偶ytkownika zainfekowanego komputera wchodz膮cego w sk艂ad botnetu.
Czy bran偶a antywirusowa natrafi艂a na 艣cian臋 technologiczn膮?
Botnety pe艂ni膮 rol臋 cieplarni w rozprzestrzenianiu "finansowego" szkodliwego oprogramowania. To w艂a艣nie przy u偶yciu tego rodzaju program贸w cyberprzest臋pcy mog膮 najszybciej ukra艣膰 pieni膮dze u偶ytkownik贸w i ci膮gle znajdowa膰 nowe ofiary. Statystyki pokazuj膮 wyra藕ny wzrost liczby szkodliwych program贸w atakuj膮cych klient贸w bank贸w i innych organizacji finansowych w ci膮gu minionych kilku lat (zobacz Rysunek 2):
Rysunek 2. Wzrost liczby unikatowych szkodliwych program贸w wykorzystywanych do kradzie偶y pieni臋dzy u偶ytkownik贸w Internetu
殴r贸d艂o: Kaspersky Lab
Zaprezentowane dane pokazuj膮 wyk艂adniczy wzrost liczby finansowych szkodliwych program贸w - od momentu, gdy pojawi艂y si臋 po raz pierwszy, do chwili obecnej. Sytuacj臋 pogarsza fakt, 偶e ogromny odsetek takich szkodliwych program贸w nie jest wykrywany przez rozwi膮zania antywirusowe wi臋kszo艣ci producent贸w w momencie ich pojawienia si臋. Na przyk艂ad, wed艂ug informacji dostarczanych przez ZeuS Tracker Center, w po艂owie marca ponad po艂owa szkodliwego oprogramowania rozprzestrzenianego za po艣rednictwem botnetu ZBot/Zeus nie zosta艂a wykryta. To oznacza, 偶e atak tego szkodliwego oprogramowania powi贸d艂 si臋. Zanim u偶ytkownicy uzyskali odpowiedni膮 ochron臋 od firm antywirusowych, cyberprzest臋pcy zdo艂ali przechwyci膰 wszystkie potrzebne informacje.
Dlaczego tak si臋 dzieje? Aby odpowiedzie膰 na to pytanie, przyjrzymy si臋, jak wygl膮da proces "leczenia" przy u偶yciu typowych antywirusowych baz danych. Proces ten mo偶e si臋 r贸偶ni膰 w zale偶no艣ci od producenta rozwi膮zania antywirusowego, og贸lnie jednak w ka偶dym przypadku zawiera te same kluczowe kroki (zobacz Rysunek 3):
Przyjrzyjmy si臋 teraz bli偶ej poszczeg贸lnym krokom:
- Krok 1: gdy cyberprzest臋pca wypu艣ci nowy szkodliwy program, zadaniem numer jeden firmy antywirusowej jest zidentyfikowanie i uzyskanie jego pr贸bki. Odbywa si臋 to na wiele sposob贸w: plik jest wysy艂any ofiarom, zostaje schwytany przez system automatycznego przechwytywania czy te偶 gromadzenia szkodliwego oprogramowania lub firma antywirusowa uzyskuje go w ramach wymiany plik贸w z partnerami itd. Jednak bior膮c pod uwag臋 metody rozprzestrzeniania stosowane przez szkodliwe oprogramowanie, mimo sporej liczby kana艂贸w, kt贸rymi mog膮 zosta膰 uzyskane przyk艂ady szkodliwego kodu, nie zawsze da si臋 szybko uzyska膰 pr贸bk臋 wyst臋puj膮c膮 na wolno艣ci (ang. ITW - In-The-Wild).
- Krok 2: po uzyskaniu pr贸bki rozpoczyna si臋 proces analizy. Etap ten mo偶e zosta膰 przeprowadzony przez automatyczne systemy i analityk贸w wirus贸w. Ko艅czy si臋 dodaniem sygnatury do antywirusowej bazy danych.
- Krok 3: po dodaniu sygnatury do antywirusowej bazy danych rozpoczyna si臋 proces testowania. Celem test贸w jest zidentyfikowanie potencjalnych b艂臋d贸w w dodanych wpisach.
- Krok 4: po zako艅czeniu fazy test贸w aktualizacje s膮 dostarczane u偶ytkownikom programu antywirusowego.
Od pojawienia si臋 szkodliwego pliku do otrzymania przez u偶ytkownika aktualizacji antywirusowych baz danych mo偶e min膮膰 kilka godzin. Na tak du偶e op贸藕nienie sk艂ada si臋 czas potrzebny do przeprowadzenia ka偶dego kroku opisanego wy偶ej procesu. Naturalnie, po takim czasie u偶ytkownik uzyska niezawodn膮 ochron臋. Paradoks polega na tym, 偶e taka ochrona przypomina zamkni臋cie drzwi stajni po ucieczce konia. Je偶eli komputer u偶ytkownika jest zainfekowany, to znaczy, 偶e cyberprzest臋pca ukrad艂 ju偶 jego dane osobiste. Antywirusowa baza danych mo偶e pom贸c ostrzec u偶ytkownika, 偶e kto艣 w艂ama艂 si臋 do jego systemu, jednak dane zosta艂y ju偶 utracone.
Cyberprzest臋pcy doskonale orientuj膮 si臋, jak wygl膮da, od pocz膮tku do ko艅ca, proces publikowania uaktualnie艅. Wiedz膮, ile czasu zajmuje aktualizacja bazy danych, zdaj膮 sobie r贸wnie偶 spraw臋, 偶e ich twory w ko艅cu zostan膮 wykryte. Dlatego cz臋sto wybieraj膮 nast臋puj膮cy plan ataku: wypuszczaj膮 szkodliwy plik, nast臋pnie po up艂ywie kilku godzin, gdy programy antywirusowe zaczn膮 ju偶 go wykrywa膰, przeprowadzaj膮 nowy atak przy u偶yciu kolejnego programu, za ka偶dym razem zyskuj膮c sobie dodatkowy czas kilku godzin - i tak dalej, i tak dalej. W rezultacie, nawet je偶eli bran偶a antywirusowa potrafi skutecznie wykrywa膰 zagro偶enia, stare dobre technologie antywirusowe musz膮 walcz膮, aby dotrzyma膰 kroku, co oznacza, 偶e ochrona nie zawsze jest zapewniana natychmiast, tak jak powinna.
Podsumowuj膮c:
- Czas reakcji wi臋kszo艣ci technologii antywirusowych, takich jak wykrywanie oparte na sygnaturach i wykrywanie generyczne, nie spe艂nia dzisiejszych potrzeb. To oznacza, 偶e szkodliwy program cz臋sto kradnie dane u偶ytkownik贸w i przekazuje je cyberprzest臋pcom, zanim nowy wpis zostanie dodany do antywirusowej bazy danych, a u偶ytkownik ko艅cowy otrzyma uaktualnienia;
- Liczba atak贸w z wykorzystaniem oprogramowania crimeware na klient贸w organizacji finansowych ro艣nie wyk艂adniczo.
Organizacje finansowe a ochrona klient贸w
Maj膮c na wzgl臋dzie opisywan膮 sytuacj臋, tj. aktualizacje antywirusowe nie s膮 w stanie sprosta膰 obecnemu poziomowi zagro偶e艅, organizacje finansowe pr贸buj膮 opracowa膰 i stosowa膰 w艂asne metody uwierzytelniania klient贸w w celu zminimalizowania ryzyka i zmaksymalizowania ich odporno艣ci na wysi艂ki cyberprzest臋pc贸w.
Trzeba podkre艣li膰, 偶e ostatnio wiele czo艂owych organizacji finansowych zacz臋艂o wprowadza膰 dodatkowe rozwi膮zania i metody elektronicznego uwierzytelniania swoich klient贸w. Poni偶ej przedstawiamy kilka z nich:
- Wprowadzenie kod贸w TAN (Transaction Authorization Numbers, jednorazowe has艂o potwierdzenia transakcji)
- Wirtualne klawiatury
- Powi膮zanie klient贸w ze sta艂ym adresem IP
- Tajne pytania i has艂a
- Wykorzystywanie kluczy sprz臋towych lub urz膮dze艅 USB w celu dodatkowej autoryzacji
- Biometryczne systemy uwierzytelniania
Nie zamierzam omawia膰 tu metod wykorzystywanych przez cyberprzest臋pc贸w w celu obej艣cia tych przeszk贸d, poniewa偶 zosta艂y one ju偶 szczeg贸艂owo opisane w artykule "Ataki na banki", o kt贸rym wspomina艂em wcze艣niej. Trzeba jednak zaznaczy膰, 偶e cyberprzest臋pcy wiedz膮, w jaki spos贸b skutecznie "przechytrzy膰" istniej膮ce systemy ochrony.
Bez w膮tpienia kroki podj臋te przez instytucje finansowe znacznie utrudni艂y 偶ycie cyberprzest臋pc贸w, nie stanowi膮 jednak panaceum na wszystkie zagro偶enia. Wiadomo艣ci o stratach na skutek takich atak贸w nadal nap艂ywaj膮, podobnie jak doniesienia z pierwszej linii frontu.
- FDIC: w trzecim kwartale 2009 roku ameryka艅skie firmy straci艂y 120 milion贸w dolar贸w (prawie wszystkie z nich mia艂y zwi膮zek ze szkodliwym kodem) computerworld.com;
- Brytyjskie stowarzyszenie emitent贸w kart kredytowych: straty w sektorze bankowo艣ci online w Wielkiej Brytanii w 2009 roku zwi臋kszy艂y si臋 o14%, wynosz膮c oko艂o 60 milion贸w funt贸w ;
- FBI: w 2009 roku cyberprzest臋pcy w Stanach Zjednoczonych ukradli u偶ytkownikom ponad po艂ow臋 miliarda dolar贸w, dwa razy wi臋cej ni偶 w 2008 roku [PDF 4,77 Mb].
Wed艂ug danych firmy Kaspersky Lab opartych na wynikach dla pierwszego kwarta艂u 2010 roku, lista organizacji finansowych najcz臋艣ciej atakowanych przez cyberprzest臋pc贸w wygl膮da nast臋puj膮co:
Organizacja | Odsetek ca艂kowitej liczby atak贸w |
Bradesco group | 6,65% |
Banco Santander group | 4,71% |
Banco do Brasil | 3,92% |
Citibank | 3,74% |
Banco Itau | 3,33% |
Caixa | 2,93% |
Banco de Sergipe | 2,84% |
Bank Of America | 2,36% |
ABN AMRO banking group | 2,28% |
Banco Nossa Caixa | 1,39% |
Other | 14,51% |
Tabela 1. 10 instytucji finansowych najcz臋艣ciej atakowanych przez szkodliwych u偶ytkownik贸w (Kaspersky Lab)
Lista ta praktycznie nie zmieni艂a si臋 od kilku lat.
Celem atak贸w s膮 g艂贸wnie brazylijskie banki. Wed艂ug danych dostarczanych przez Kaspersky Lab, liczba bank贸w, kt贸re ucierpia艂y w wyniku podobnych atak贸w w ci膮gu pierwszych trzech miesi臋cy 2010 roku zbli偶a si臋 do tysi膮ca.
Cyberprzest臋pcy nieustannie znajduj膮 nowe i bardziej zaawansowane sposoby przechwytywania informacji u偶ytkownik贸w, mimo 偶e stowarzyszenie bank贸w wprowadza dodatkowe zabezpieczenia w celu ochrony swoich klient贸w online.
Podsumowuj膮c:
- Instytucje finansowe wprowadzi艂y dodatkowe sposoby autoryzacji, na co cyberprzest臋pcy znale藕li nowe sposoby obej艣cia uaktualnionych metod bezpiecze艅stwa. Proces ten b臋dzie kontynuowany: zwi臋kszanie bezpiecze艅stwa - znajdowanie nowych luk - zwi臋kszanie bezpiecze艅stwa - znajdowanie nowych luk itd.
- Wysoko艣膰 strat spowodowanych dzia艂aniami cyberprzest臋pc贸w nieustannie wzrasta.
Czy istniej膮 efektywne rozwi膮zania?
Spr贸bujmy teraz odpowiedzie膰 na g艂贸wne pytanie: czy w dzisiejszych realiach mo偶na pokona膰 oprogramowanie crimeware?
Przyjrzyjmy si臋 zasygnalizowanym wcze艣niej problemom, kt贸re dotykaj膮 bank贸w i innych instytucji finansowych i domagaj膮 si臋 niezw艂ocznego rozwi膮zania.
- Op贸藕nienia w dostarczaniu aktualizacji antywirusowych baz danych. Czas, jaki mija pomi臋dzy pojawieniem si臋 nowego szkodliwego programu na wolno艣ci a otrzymaniem aktualizacji przez u偶ytkownika ko艅cowego, nie spe艂nia dzisiejszych wymaga艅;
- Liczba zagro偶e艅 dla klient贸w instytucji finansowych wzrasta wyk艂adniczo;
- Metody bezpiecze艅stwa oferowane przez organizacje finansowe nie rozwi膮zuj膮 problemu utraty 艣rodk贸w przez klient贸w w przypadku wykorzystania trojana.
Obraz sytuacji przedstawia si臋 do艣膰 ponuro. Bran偶a antywirusowa nie jest w stanie zareagowa膰 wystarczaj膮co szybko, szkodliwi u偶ytkownicy pozostaj膮 na wolno艣ci, a klienci bank贸w nie zawsze s膮 wystarczaj膮co dobrze chronieni. Nie wszystko jednak stracone. Nieustannie rozwijane s膮 nowe technologie, a dzisiejsze czo艂owe firmy antywirusowe oferuj膮 rozwi膮zania potrafi膮ce odpiera膰 ataki cyberprzest臋pc贸w.
Niekt贸rzy gracze na rynku antywirusowym ju偶 teraz wykorzystuj膮 technologie w chmurze. Znacz膮co pomagaj膮 one w wykrywaniu i blokowaniu szkodliwej zawarto艣ci, jak r贸wnie偶 ograniczaj膮 jego 藕r贸d艂a. M贸wimy tu o technologiach klient-serwer, kt贸re analizuj膮 metadane zawieraj膮ce informacje o aktywno艣ci szkodliwego oprogramowania na komputerach u偶ytkownik贸w. Jednak metadane mog膮 by膰 wysy艂ane tylko za zgod膮 u偶ytkownika i nie zawieraj膮 prywatnych informacji.
Technologia ta r贸偶ni si臋 od metod wykrywania opartego na antywirusowych bazach danych pod wzgl臋dem analizy pr贸bek. Silnik antywirusowy mo偶e analizowa膰 pr贸bki wed艂ug ustalonych regu艂, takich jak rozpoznawanie nietypowych schemat贸w zachowania. Analiza online metadanych otrzymywanych od wielu u偶ytkownik贸w jednocze艣nie pozwala na wykrywanie "podejrzanej aktywno艣ci", a nast臋pnie blokowanie wykrytych zagro偶e艅, zapobiegaj膮c rozszerzeniu si臋 problemu. W praktyce u偶ytkownicy takich rozproszonych sieci mog膮 uzyska膰 ochron臋 w kilka minut po pojawieniu si臋 zagro偶e艅.
Wykorzystanie technologii antywirusowych w chmurze oferuje wiele zalet:
- Szybkie wykrywanie - kilka minut od pojawienia si臋 nowego zagro偶enia w por贸wnaniu z kilkoma godzinami wymaganymi do aktualizacji antywirusowych baz danych;
- Znacznie wy偶szy poziom wykrywania przez produkty antywirusowe dzi臋ki po艂膮czeniu nowych technologii ze sprawdzonymi metodami; podej艣cie to jest bardzo skuteczne w identyfikowaniu nowych zagro偶e艅;
- Natychmiastowe wykrywanie i blokowanie zagro偶e艅 oraz ograniczanie ich rozprzestrzeniania si臋;
- Dodatkow膮 korzy艣ci膮 tej technologii jest ukazywanie "pe艂niejszego" obrazu: o kt贸rej godzinie i gdzie mia艂 miejsce atak, kto go przeprowadzili, ile by艂o ofiar, jak wielu u偶ytkownik贸w mia艂o ochron臋 itd.
Jakie korzy艣ci zyskuj膮 organizacje finansowe? Opisane rozwi膮zania potrafi膮 ostrzec instytucje finansowe o pojawieniu si臋 wszelkich nowych zagro偶e艅 dla klient贸w automatycznie i w czasie rzeczywistym. Takie ostrze偶enia mog膮 zawiera膰 szczeg贸艂owe informacje o zagro偶eniach i instrukcje ich zwalczania.
Istnieje r贸wnie偶 zapotrzebowanie na us艂ug臋 zapewniania organizacjom finansowym osobistego dost臋pu do tak zwanej "sali dowodzenia". Jest to rodzaj zasobu sieciowego, kt贸ry wymaga indywidualnego loginu i has艂a. U偶ytkownicy mog膮 uzyska膰 o wiele wi臋cej informacji ni偶 te, kt贸re s膮 dost臋pne w powiadomieniach e-mail. Na przyk艂ad, sala dowodzenia online obejmowa艂aby raporty i analizy istotne dla danej organizacji, jej regionu oraz 藕r贸d艂a atak贸w na klient贸w organizacji.
Jednak wprowadzenie takiego systemu powiadamiania i raportowania mo偶e nie przynie艣膰 optymalnych rezultat贸w z kilku powod贸w:
- Nie wszyscy klienci bank贸w posiadaj膮 oprogramowanie antywirusowe zainstalowane na swoich komputerach, co utrudnia uzyskanie wszystkich danych dotycz膮cych ataku.
- Pe艂ne i centralne analizowanie informacji wymaga艂oby wykorzystywania przez klient贸w bankowo艣ci online tego samego programu antywirusowego, co w praktyce okazuje si臋 niemo偶liwe.
- Istnieje r贸wnie偶 kwestia zaufania: instytucje finansowe surowo zabraniaj膮 wysy艂ania zewn臋trznym firmom jakichkolwiek informacji dotycz膮cych klient贸w ze wzgl臋du na du偶e ryzyko utraty cennych danych lub przenikni臋cia do ich sieci.
Wszystkie te czynniki komplikuj膮 identyfikowanie ukierunkowanych atak贸w.
Aby uzyska膰 pe艂ny obraz dzia艂a艅 cyberprzest臋pc贸w w 艣wiecie bankowo艣ci, niezb臋dna jest bezpo艣rednia wsp贸艂praca mi臋dzy firmami antywirusowymi a instytucjami finansowymi.
- Rozwi膮zanie wykrywaj膮ce szkodliwe oprogramowanie mog艂oby zosta膰 zintegrowane z bankowo艣ci膮 online po stronie klienta, poniewa偶 nie wymaga艂oby to danych osobistych. Wprowadzenie tego rodzaju us艂ugi mo偶na zintegrowa膰 z polityk膮 bezpiecze艅stwa, co w przysz艂o艣ci zmniejszy艂oby wydatki bank贸w na rekompensaty i kary.
- Centra wst臋pnej automatycznej analizy zagro偶e艅 mog艂yby by膰 zarz膮dzane przez w艂asne dzia艂y bezpiecze艅stwa bank贸w, co umo偶liwi艂oby im niezale偶ne przeprowadzanie analiz w razie potrzeby. Obecnie du偶e korporacje finansowe posiadaj膮 zwykle w艂asne dzia艂y IT. Dzi臋ki pe艂nej kontroli nad otrzymywanymi danymi wewn臋trzny dzia艂 bezpiecze艅stwa m贸g艂by podejmowa膰 niezale偶ne decyzje o tym, jakie informacje nale偶y wys艂a膰 firmie antywirusowej do analizy. Nale偶y pami臋ta膰, 偶e ustanowienie tego rodzaju centrum analizy w instytucji finansowej jest zalecane jedynie wtedy, gdy firma chce kontrolowa膰 przep艂yw danych, kt贸re nale偶y przetworzy膰, i chce bra膰 udzia艂 w procesie analizy atak贸w. Z powod贸w, kt贸re zosta艂y wymienione wcze艣niej, jest to optymalne rozwi膮zanie dla du偶ych graczy rynkowych: utworzenie wewn臋trznego dzia艂u IT zdolnego do przeprowadzania analiz atak贸w szkodliwego oprogramowania.
- Osoby korzystaj膮ce z us艂ug bankowo艣ci online otrzymywa艂yby niezw艂ocznie informacje z centr贸w analitycznych o neutralizacji nowych zagro偶e艅 i ich 藕r贸d艂ach.
艢ci艣lejsza wsp贸艂praca pomi臋dzy firmami antywirusowymi a instytucjami finansowymi w dziedzinie walki z oprogramowaniem crimeware mog艂aby pom贸c upiec dwie pieczenie na jednym ogniu. Organizacje finansowe mog艂yby zastosowa膰 takie podej艣cie, aby zminimalizowa膰 ryzyko i zmniejszy膰 koszty ponoszone w zwi膮zku z takimi incydentami. Firmy antywirusowe mia艂yby szans臋 skuteczniej zwalcza膰 ataki ukierunkowane.
Wsparcie rz膮dowe
Do tej pory analizowali艣my dwie strony zaanga偶owane w walk臋 z cyberprzest臋pcami: firmy antywirusowe i organizacje finansowe. Istnieje jednak trzeci gracz, kt贸ry mimo mo偶liwo艣ci zaanga偶owania si臋 nie odgrywa wystarczaj膮co aktywnej roli - mowa tu o rz膮dzie.
Bez wsparcia rz膮dowego szansa na pokonanie cyberprzest臋pc贸w jest minimalna. W przeciwie艅stwie do pa艅stw Internet nie posiada granic, co daje cyberprzest臋pcom ca艂kowit膮 wolno艣膰 dzia艂ania. Czy korea艅ski bank mo偶e szybko zamkn膮膰 brazylijsk膮 stron臋 rozprzestrzeniaj膮c膮 szkodliwe oprogramowanie, 艣ci艣le przestrzegaj膮c wszystkich procedur krajowych oraz prawa mi臋dzynarodowego? Czy bank brazylijski mo偶e zrobi膰 to samo w Chinach? Odpowied藕 jest oczywista i w obu przypadkach brzmi "nie". Podj臋cie walki z cyberprzest臋pcami w sytuacji, gdy nie istniej膮 skuteczne mechanizmy wsp贸艂pracy z odpowiednimi w艂adzami innego kraju jest co najmniej problematyczne. Takie zmagania przypominaj膮 zawody w przeci膮ganiu liny. Jak tylko pojawi膮 si臋 nowe technologie przeznaczone do zwalczania dzia艂a艅 cyberprzest臋pc贸w, natychmiast rozwijaj膮 oni nowe sposoby obej艣cia tych metod. Nast臋pnie proces rozpoczyna si臋 od nowa i tak w niesko艅czono艣膰.
Tabela poni偶ej prezentuje rozk艂ad geograficzny us艂ug hostingowych rozprzestrzeniaj膮cych oprogramowanie crimeware w pierwszym kwartale 2010 roku.
Kraj | Odsetek ca艂kowitej liczby atak贸w |
Brazylia | 30,28% |
Stany Zjednoczone | 26,55% |
Chiny | 7,39% |
Rosja | 5,70% |
Niemcy | 4,41% |
Francja | 3,26% |
Hiszpania | 2,88% |
Wielka Brytania | 2,10% |
Korea Po艂udniowa | 1,53% |
Holandia | 1,39% |
Inne | 14,51% |
Tabela 2. Dziesi臋膰 czo艂owych pa艅stw obejmuj膮cych zasoby, do kt贸rych najcz臋艣ciej prowadzi oprogramowanie crimeware.
殴r贸d艂o: Kaspersky Security Network (KSN)
Wnioski
Zasygnalizowali艣my wiele problem贸w, z jakimi borykaj膮 si臋 obecnie firmy antywirusowe i instytucje finansowe w swojej walce z cyberprzest臋pczo艣ci膮 oraz kradzie偶膮 pieni臋dzy klient贸w bankowo艣ci online. Om贸wili艣my r贸wnie偶 potencjalne rozwi膮zanie tego problemu.
Opr贸cz bankowo艣ci online rozwi膮zanie to mo偶na stosowa膰 r贸wnie偶 do innych system贸w. Mo偶e by膰 wykorzystywane do efektywnego monitorowania atak贸w na graczy gier online, system贸w p艂atno艣ci elektronicznych oraz platform wymiany. Warto zauwa偶y膰, 偶e tego rodzaju ataki s膮 o wiele cz臋stsze ni偶 ataki na systemy bankowo艣ci online.
Warto po raz kolejny zaznaczy膰, 偶e du偶膮 rol臋 maj膮 do odegrania rz膮dy. Bez poparcia rz膮dowego niewiele mo偶na osi膮gn膮膰 w walce z cyberprzest臋pcami. Problem pozostanie nierozwi膮zany, dop贸ki nie b臋d膮 istnia艂y efektywne i wydajne mechanizmy umo偶liwiaj膮ce komunikacj臋 i interakcj臋 pomi臋dzy w艂a艣ciwymi w艂adzami.
S艂owniczek
Crimeware - Rodzaj szkodliwego oprogramowania, kt贸re zosta艂o stworzone w celu automatycznego pope艂niania przest臋pstw finansowych. Do tej kategorii nale偶膮 r贸wnie偶 programy o podobnym szkodliwym zachowaniu, takie jak trojany bankowe, trojany kradn膮ce has艂a itd.
Pr贸bki ITW (In-The-Wild) - Szkodliwe programy wykrywane "na wolno艣ci" w systemach u偶ytkownika, kt贸re 艣wiadcz膮 o infekcji.
Kaspersky Security Network (KSN) - System gromadzenia danych o istniej膮cych zagro偶eniach w czasie rzeczywistym. Ponadto, system ten efektywnie identyfikuje nieznane zagro偶enia i ich 藕r贸d艂a oraz oferuje szybk膮 reakcj臋 w celu zapewnienia ochrony u偶ytkownikom.
Botnet - Botnet to grupa zainfekowanych komputer贸w, z kt贸rych utworzono sie膰 kontrolowan膮 przez centrum sterowania umo偶liwiaj膮ce szkodliwym u偶ytkownikom centralne zarz膮dzanie sieci膮 oraz wykorzystanie zainfekowanych komputer贸w do w艂asnych cel贸w.
殴r贸d艂o:![]() |