03.12.2009.
I hrvatske banke na udaru 'trojanaca'
Ove godine štete nastale internet napadima na banke u SAD-u po prvi puta su premašile one nastale fizičkim pljačkama i iznos tih šteta već je premašio 100 milijuna dolara. Predstavljena su i dva 'trojanca' koji napadaju hrvatske banke kroz internet bankarstvo - trojan.banker i clampi
Potrošnja na informatičke tehnologije u Hrvatskoj u ovoj godini bit će za 15 posto manja u odnosu na prošlu godinu.
Riječ je o revidiranoj procjeni IDC Adriaticsa koju je na 1. konferenciji o hakerskim prijetnjama, prevencijama i protumjerama iznio Boris Žitnik, direktor i glavni analitičar te analitičke kuće specijalizirane za informatičko-telekomunikacijsku industriju.
U 2008. na IT usluge, opremu, i aplikacije uloženo je 6,63 milijarde kuna ili 1,34 milijarde dolara, što znači da će ovogodišnja potrošnja iznositi oko 5,6 milijardi kuna.
U prethodnim prognozama objavljenim u proljeće ove godine IDC je predvidio pad tržišta od 7 posto, no tada se očekivao pad BDP-a od 2 posto, dok je sada razvidno da će na godišnjoj razini pad BDP-a iznosti oko 6 posto, pojasnio je Žitnik.
Ulaganja u informacijsku sigurnost manje su pogođena krizom u odnosu na ukupnu IT potrošnju i kod njih će pad u ovoj godini biti manji u odnosu na pad ukupnog tržišta, rekao je Žitnik. Prošle godine u informatičku sigurnost uloženo je 15,5 milijuna dolara, odnosno 28 posto više nego 2007. godine, dok je cijelo tržište u dolarima raslo za 7 posto.
Manjem padu ulaganja u IT sigurnost nesumnjivo su pridonijeli i regulatorni zahtjevi prema financijskim institucijama koje su postavili Hrvatska narodna banka i Hrvatska agencija za nadzor financijskih usluga. Žitnik smatra da nema nikakvih naznaka da će se situacija, što se ukupne IT potrošnje tiče, u idućoj godini popraviti.
Trevor LaFleche, stariji analitičar Financial Insightsa za područje Europe, Srednjeg istoka i Afrike, istaknuo je kako se današnje banke temelje na tri stvari: brandu, novcima i informatičkoj tehnologiji. U krizi je još više na značenju dobilo očuvanje povjerenja klijenta: s jedne strane treba očuvati povjerljivost podataka, a s druge zadovoljiti zahtjeve klijenata za transparetnošću i jednostavnošću.
Nije dovoljno više ponuditi osnovne bankarske usluge, već klijenti danas od banaka traže da se prilogode njihovom životnom stilu, što uključuje primjenu novih tehnologija poput internet bankarstva, rekao je LaFleche. Pri tome podaci više nisu izolirani, nego se nalaze u mreži. Banke tako gube kontrolu nad njima, što postavlja pred njih sve veće sigurnosne izazove. Dodatni izazov su web 2.0 tehnologije.
Među mjerama koje banke poduzimaju LaFleche je naveo unificiranje IT procesa te reduciranje vanjskih troškova, a ključno je povećati efikasnost, što opet traži uvođenje novih tehnologija.
|
Ove godine štete nastale Internet napadima na banke u SAD-u po prvi puta su premašile štete nastale fizičkim pljačkama, rekao je Bojan Ždrnja, stariji konzultant za financijsku sigurnost u tvrtki Infigo IS. Iznos šteta od internetskih napada, prema javno dostupnim podacima, već je premašila 100 milijuna dolara, dok je u fizičkim napadima na banke počinjena šteta od 60 milijuna dolara.
Tri vodeće zemlje u razvoju trojanskih programa koji napadaju bankovne sustave su Brazil, Rusija i Ukrajina, a u svojoj prezentaciji Ždrnja je predstavio i dva "trojanca" koji napadaju hrvatske banke kroz Internet bankarstvo - trojan.banker i clampi. Prvi u svojoj konfiguraciji sadrži domene dviju najvećih hrvatskih banaka, dok drugi obuhvaća petnaestak domaćih banaka.
Prvi sadrži generički keylogger koji, nakon što prepozna domenu, prikuplja povjerljive podatke. Osim toga ovaj "trojanac" mijenja HTML kod web stranice pri čemu korisnik teško razaznaje lažnu stranicu od originalne stranice banke. Na lažnoj stranici od korisnika se traži upis dodatnih podataka (na primjer PIN-a), kako bi se podaci mogli iskoristiti za izradu lažne kartice.
Clampi je jedan od najnaprednijih trojanskih programa, izuzetno je kompleksan i težak za analizu, a otkrili smo ga prije petnaestak dana, rekao je Bojan Ždrnja. Program omogućava ubacivanje u komunikaciju između računala klijenta i računala banke, mijenjajući podatke o broju računa primatelja i iznosu transakcije koje klijent šalje prema banci. Nakon što banka zatraži od klijenta autentifikaciju transakcije, program presreće poruku i ponovo mijenja zapis u originalni, tako da klijent ne može zamijetiti da se događa nešto neobično i potvrđuje lažnu transakciju.
Ždrnja je istaknuo da naše banke prema zahtjevima HNB-a koriste dvostruku autentifikaciju i po tome su među naprednijima u svijetu. Mnoge američke i australske banke, na primjer, još uvijek koriste samo korisničko ime i lozinku, što je vrlo jednostavno probiti. Te banke boje se da će prekompliciranim sigurnosnim procedurama izgubiti klijente.
Kod Internet bankarstva teško je provesti zaštitu jer banka ne može kontrolirati računalo korisnika, tako da mnogo ovisi o njegovim navikama - redovitoj nadogradnji antivirusnih programa, vatrozida i drugih zaštitnih programa.
Što se banaka tiče, jedan od načina za dodatnu sigurnost je da se povratna poruka banke prilikom autentifikacije ne šalje putem interneta, nego SMS-om, tumači Ždrnja. Engleska banka Barclays koristi pak interaktivni token, i od korisnika traži da upišu i broj računa primatelja, što donosi sigurnost od virusa poput Clampija, ali komplicira korištenje Internet bankarstva korisniku.
|
Sanjay Bavisi, predsjednik EC-Councila, upozorio je na nesavršenost standardnih zaštitinih mjera poput antivirusnih programa, biometrije, vatrozida i drugih. Upotreba takvih programa kod većine ljudi stvara lažni dojam sigurnosti jer im se čini da sve funkcionira u redu. No, hakeri danas više ne rade kao nekad, kada im je bio cilj da se pokažu, nego nastoje biti neprimjećeni kako bi prikupili podatke.
Prikupljene informacije prodaju se na crnom tržištu, na kojem je cijena kreditne kartice izmeđ 0,10 i 25 dolara, dok se podaci o bankovnom računu prodaju za 10 do 1000 dolara - ovisno o banci i stanju na računu.
Konferenciju o hakerskim prijetnjama, prevencijama i protumjerama organizirali su Učilište Algebra i IDC Adriatics. (Bankamagazin)
|
|
 |
|