Tomáš Doležal: Po útoku hackerů můžete i dlužit

Jak si stojí Česko na globální mapě hackerů?

Přinejmenším v rámci Evropy má Česko neslavně výlučnou pozici, funguje v některých případech jako pilotní země pro testování malwaru (softwaru, který dokáže zneužít účastnický počítač – pozn. red.). Například v roce 2013 takto Česko hackerům posloužilo při testu malwaru „hesperbot“, který byl následně masově použit v Turecku. Česko bylo také mezi prvními na světě, kde hackeři testovali technologii vzdáleného přístupu k napadenému počítači.

Proč jsme tak vděčnou testovací oblastí?

Jedním z důvodů je paradoxně dobře a rychle fungující domácí platební styk. Zatímco třeba zahraniční platby se dají často zablokovat v bance příjemce i den po zadání příkazu, v rámci domácích plateb trvá celý proces od zadání po připsání v cílové bance jednotky hodin. Vedle toho stojí velká popularita internetového bankovnictví, kdy přibližně 95 procent platebního styku se odehrává přes elektronické kanály a banky je nabízejí i v anglické verzi. Bezpečnostní prvky používané v českých bankách zároveň odpovídají standardům ve světě, co tedy funguje v Česku, to se dá použít i v jiných zemích.

Pokud klient věděl, že má zavirovaný počítač, ale přesto se přihlašoval do internetového bankovnictví a platil, od banky k náhradě nedojde

Kolik počítačů, odkud Češi platí přes internet, je zavirovaných?

Jde o tisíce stanic, které obsahují malware. V mnohých případech je malware neaktivní a čeká na povely z řídícího centra, které reaguje na objednávku zákazníka. Obchod s malwarem funguje jako každý jiný byznys, je jen nelegální. Zákazník si nakliká, jaký typ útoku nebo malwaru chce, a výrobce jej buď vytvoří na zakázku, nebo prodá již existující malware infikovaný na potřebný počet stanic. Je možné volit i rozsah funkcí, které má malware umět, od sledování klávesnice přes vyhledávání a odesílání klientských certifikátů používaných pro internetové bankovnictví až po vzdálený přístup k infikovanému počítači.

Kde se s malwarem obchoduje?

Na takzvaném dark či deep webu, který je přístupný ze speciálních prohlížečů, jako je například Tor. Tam je možné objednat nejen malware, ale kupovat čísla karet nebo již existující malware infikovaný v počítačích klientů. Jde o byznys, který má svou produktovou nabídku. Například útočníci ukradnou z obchodního řetězce čísla karet, udělají na nich testy, aby zjistili, zda jsou aktivní, a následně je nabízejí k prodeji. Ceník pro kupujícího se odvíjí od parametrů karty, jako třeba limit na kartě, typ karty či banka, která ji vystavila. Údaje k takové kartě jsou pak k dispozici třeba za několik dolarů.

Co ještě obsahuje takové „obchodnické“ menu?

Třeba služby jako intenzivní útok na nějakou instituci, jehož smyslem je vyřadit její stránky z provozu. Takovýto útok v řádu jedné hodiny může vyjít třeba na 15 dolarů, nejde totiž o nic složitého. Pokud má útočník například půl milionu stanic, na kterých je malware nasazen a v jeden okamžik vyšle požadavek na připojení všech těchto stanic najednou na vybranou internetovou adresu, jednoduše dosáhne toho, že stránka bude zahlcena požadavky, a tudíž nebude pro uživatele dostupná.

Jak úzce spolupracujete s českou policií?

Situace v této oblasti je komplikovaná. Pokud máme poškozeného klienta, který podává trestní oznámení, tak mu policie oznámí, že pro účely vyšetřování je nutné zajistit jeho počítač v původním stavu bez jakéhokoliv dalšího zásahu. My ale pro analýzu chování malwaru potřebujeme kopii jeho disku. Policie takový případ vyšetřuje několik měsíců, a vzhledem k rychlosti vývoje malwaru je pro nás už měsíc stará informace bezpředmětná. Snažíme se najít cesty jako pořízení kopie disku specializovanou firmou s certifikací s možností poskytnutí kopie disku policii. Klientovi by tak mimochodem zůstal počítač, který by mu jinak policie vzala. Bohužel zatím v této oblasti k žádné konkrétní dohodě nedošlo.

Kolik vám zmizí peněz z účtů, jaká byla třeba loňská úspěšnost hackerů?

Kolem 98 procent pokusů o zneužití účtu zastavíme ve fázi, kdy identifikujeme podezřelou platbu, následně po telefonickém ověření s klientem zjistíme, že klient platbu nezadával. Takový podvodný příkaz vyřadíme ze zpracování a platba vůbec neopustí banku.

Za schopností naší banky identifikovat podvod stojí obrovské investice do softwarových opatření, která zdarma nabízíme svým klientům, například program Trusteer Raport od IBM. Ten umožňuje odhalit a odstranit škodlivý malware. Další možností jsou systémy vyhodnocující na pozadí rizikovost transakcí. Ty začaly banky masivně rozvíjet až po intenzivních útocích v roce 2013, v minulosti byla úspěšnost detekce nižší.

Tomáš Doležal|Michael Tomes

Kde vidíte nejnovější trendy mezi hackery?

V poslední době se setkáváme s těmi nejjednoduššími metodami založenými na sociálním inženýrství, kdy podvržené e-maily odkazují na falešné stránky informující třeba o potřebě obnovení certifikátu. V druhé řadě pak sofistikovanější malware cílící například na firemní klientelu s čipovou autorizací, protože pokud se podaří takový malware do počítače oběti „nasadit“, má útočník šanci, že odcizí větší objem peněz.

Dá se řádově říct, o kolik peněz klienti v bankách přicházejí?

Podle zprávy Policie ČR za rok 2014 byly škody způsobené internetovými podvodníky ve výši 1,2 miliardy korun, což jen dokladuje to, že útočníci se začínají chovat komerčně a chtějí dostat za svou „práci“ zaplaceno. Toto dokládá i fakt, že celosvětově zhruba třetina všech hackerských útoků je směrovaná na oblast financí, a to nejen na banky, ale také e-shopy či na herní portály, například třeba i Sony Playstation.

Existuje oblíbená metoda hackerů, jak ukradené peníze vybrat?

Útočníci například nakoupí něco v internetovém obchodě, zboží si vyzvednou a vzápětí ho vrátí a dostanou zpět peníze v hotovosti. Obecně jsou oblíbené metody, kde se dá něco koupit přes internet a následně to rychle proměnit na hotovost.

Máte nějaké povědomí o tom, odkud jsou skupiny, které se za hackerskými útoky skrývají?

Konkrétní IP adresy, které jsme předávali policii a o kterých jsme se domnívali, že jsou konečným článkem řetězce, mířily na území bývalého Sovětského svazu.

Dostali jste z těchto zemí někdy nějaký výsledek vyšetřování?

Prozatím prakticky žádný, jen u pár případů máme informaci o tom, že se věc odložila.

Je Rusko na hackerské mapě globálním hráčem?

V této oblasti tam mají lidé dobré školy, dobré vzdělání a omezenější možnost profesního uplatnění, což vytváří podmínky pro rozvoj třídy hackerů. Jedná se však o celosvětový problém a zdaleka se neomezuje jen na tuto oblast.

Jak se v čase vyvíjí objem útoků?

Jde o celosvětově rostoucí trend, každý rok se počet útoků zhruba zdvojnásobuje. Pro nás je dobré, že hlavně po roce 2013 se v Česku podstatně zefektivnila osvěta mezi lidmi a jednodušší typy útoků už není tak snadné provést. Část útočníků se tak přesouvá do zemí, kde má jejich produkt větší šanci na úspěch, obvykle dále na východ.

Nakolik rizikové jsou nákupy přes zahraniční e-shopy?

Po Novém roce některé banky varovaly klienty před nákupy v některých e-shopech v Číně, spíše těch menších, lokálně výhodnějších obchodů, kde bylo možné koupit zboží velice výhodně. Následně jsme pozorovali zneužití těchto karet, s největší pravděpodobností tak došlo k úniku karetních dat od obchodníků, či dokonce k jejich možnému cílenému zneužití za aktivní účasti obchodníka.

Co mohu čekat od banky, pokud mi hacker vykrade bankovní konto?

Záleží na tom, jak hrubé pochybení na straně klienta nastalo. Kolem 90 procent pochybení je skutečně na straně klienta. Pokud klient věděl o tom, že má zavirovaný počítač, ale přesto se přihlašoval do internetového bankovnictví a platil, od banky k náhradě nedojde. Obdobné je to i s phishingem, když klient poskytne třetí osobě údaje o své kartě. Jiná situace je u typů útoků, kterým říkáme „den 0“, kdy útočníci přijdou s novým typem malwaru, který antiviry neodhalí a běžný klient může velice těžce takovému útoku zabránit. V takových případech posuzujeme nárok na kompenzaci individuálně případ od případu.

Kolik jste loni řádově nahrazovali klientům?

V několika případech jsme klientům vzniklé škody kompenzovali, jednalo se řádově o stovky tisíc korun.

Už za několik dolarů jsou k mání údaje o klientských platebních kartách nebo armáda spících virů instalovaných na stovkách tisíc počítačů a čekajících na povel útočníků

Co stojí banku investovat do bezpečnostních mechanismů?

Investice do posílení bezpečnosti ať na straně banky či klientů jsou velice nákladnou záležitostí a banky do toho investují řádově stovky milionů korun. Je nutné si uvědomit, že v internetovém bankovnictví zpracováváme denně až 300 tisíc transakcí, mezi nimiž musíme v reálném čase najít ty rizikové.

Mění se nějak povaha útoků?

V internetovém bankovnictví už nejde jen o elektronické platby a stav účtu. Je to taková virtuální pobočka, kde si můžete zažádat o úvěr, povolený debet, případně upravit limity na platebních kartách či aktivovat nebo deaktivovat kartu pro platby na internetu. Útočník nejenže vám může převést všechny peněžní prostředky, které aktuálně máte na účtu, ale zároveň požádá o spotřební úvěr nebo povolený debet. Klient pak nemusí skončit pouze s nulou na svém bankovním účtu, ale může bance i dlužit.

Jak jsou na tom s bezpečností mobily?

Mobily mají jednu výhodu, standardní uživatel do nich instaluje aplikace převážně z oficiálních zdrojů, jako jsou Google play či Apple store. Zavirovat mobilní zařízení malwarem, který bude například přeposílat potvrzovací SMS zprávy z banky, je pro útočníka těžší. Na druhou stranu je to zařízení exponovanější, hlásíte se přes něj na veřejné wifi sítě třeba v kavárnách a i wi-fi síť může být pod kontrolou útočníka.